【转】cve-2013-2094 perf_event_open 漏洞分析

cve-2013-2094是于2013年4月前后发现的linux kernel本地漏洞,该漏洞影响3.8.9之前开启了PERF_EVENT的linux系统。利用该漏洞,通过perf_event_open系统调用,本地用户可以获得系统的最高权限。

发生漏洞的是linux kernel中的perf event子系统,perf event是linux系统中提供性能分析接口的子系统,于2.6.31之后引入linux,之前被称为 Performance Counters for Linux (PCL)。通过syscall函数,用户可以调用perf event子系统提供的功能。由于perf event中的漏洞,用户可以通过精心构造的调用在任何内存地址写入数据,从而获得系统的最高权限。

引起cve-2013-2094漏洞的是位于kernel/events/core.c文件中的perf_swevent_init函数。当使用syscall打开perf_event的file descriptor时,该函数被调用。

在受影响的版本中,core.c关键部分内容如下:

static int perf_swevent_init(struct perf_event *event)
{
    int event_id = event->attr.config;  //dangerous!

    /*
     * ....omit some code...
     */

    if (event_id >= PERF_COUNT_SW_MAX)
        return -ENOENT;

    /*
     * .........omit........
     */

}

由于将event_id定义为了有符号型整数,而后面又只检查了event_id的上界,所以当值为负时,即可越过检查,继续执行后面的代码

if (!event->parent) {
    int err;

    err = swevent_hlist_get(event);
    if (err)
        return err;

    atomic_inc(&perf_swevent_enabled[event_id]);
    event->destroy = sw_perf_event_destroy;
}

其中,static_key_slow_inc函数将某地址内容做inc。

当使用负数值的event_id调用时,perf_swevent_enabled[event_id]将指向内核空间,如,在Cent OS 64bit系统中,当event_id = -1调用时,perf_swevent_enabled[event_id]的地址为:

0xfffffffffffffffe * 4 + 0xffffffff81f360c0 == 0xFFFFFFFF81F360B8

该地址指向内核空间。

而当file descriptor关闭时,由于event_id定义为u64型,所以关闭时做dec时,地址指向的是用户空间。

所以当我们用负数值调用perf_event_open时,将可以在perf_swevent_enabled地址后面任意地址写入数据。

x64下的利用思路

x64架构下,该漏洞比较容易利用,需要的信息更少,exploit执行更快。方法简单来说是修改IDT中 int 4 的中断向量。x64的linux中,Offset hight bits和Offset middle bits是分别保存的,而将 int 4 的高位 0xffffffff 加1之后,中断向量将指向用户空间。而将shellcode放置在用户空间的这段内存上,即可获得系统最高权限。

具体来说,

  1. 使用-1和-2调用,得到数组的偏移值。

    使用-1和-2调用,在file descriptor被关闭后,将使 0x38000000 附近的内存中某两个值减1,通过搜索可以确定perf_swevent_enabled的编译值,并保存起来方便利用。

  2. 将shellcode放入适当的用户空间内存中

    使用 sidt 指令可以获得IDT的地址,然后使用 mmap 将 shellcode 放入适当的地址。使 IDT 中的中断向量高位+1之后落在shellcode上。

  3. 修改shellcode

    将 shellcode 中的 MARKER 修改为实际的 uid 和 gid 的保存地址。这样当shellcode运行时,即可找到 task_struct 和 thread_info 的地址,从而直接修改 real_cred 值,使当前进程获得 root 权限。

  4. 修改 IDT

    从 1 中得到的信息,和IDT 地址做计算,用计算好的负数值调用 perf_event_open ,可以使 int 4 的中断向量的高位 +1,从而指向shellcode。

  5. int 0x4

    触发shellcode

  6. 在shellcode中提权,并弹shell

    修改 real_cred 获得root权限,并修复被修改的 IDT 和其他部分内存,

    最后execl("/bin/bash", "-sh", NULL);

    得到root权限的shell

移植到android系统

Android采用了linux内核,且更新较linux在PC上的发行版慢。即使linux内核在2013年4月13日修复了该漏洞,原生Android系统和大量基于Android系统的第三方ROM仍然存在该漏洞。

在ARM linux下,该漏洞仍然存在,仍然可以通过负数的event_id将任意内存地址+1。

但由于手机使用的ARM架构和x64架构下,linux内核代码有所不同,该漏洞的利用方式也有所不同。

但是在ARM linux下,IDT的结构如下

struct _idt_entry {
  unsigned short base_lo;
  unsigned short sel;
  unsigned char unused;
  unsigned char flags;
  unsigned short base_hi;
} __attribute__((packed));

注意到base_hi是short型,而perf_swevent_enabled是int型的数组,所以无法将地址修改base_hi到用户空间地址。

所以在ARM下我们没有修改IDT,而是在linux内核中寻找合适的函数指针。反复调用perf_event_open,将函数指针的值加到用户能控制的地址,然后调用函数。ptmx_fops结构中的fsync函数指针被初始化为0,且不需要特殊的权限即可调用。

利用的基本思路是:

/* file_operations 结构fsync函数的偏移为56 */
int target = pmtx_ops + 56;
int payload = -((perf_table - target)/4)

struct perf_event_attr event_attr;
event_attr.config = payload;
...

/* 反复调用将fsync的值修改为合适的值 */
syscall(__NR_perf_event_open, &event_attr, 0, -1, -1, 0);
...

/* 调用 */
int ptmx = open("/dev/ptmx", O_RDWR);
fsync(ptmx);

但是,linux系统中单个进程能够打开的file descriptor数量是有限制的,所以需要fork出足够多的进程,反复修改。

受影响的ROM

目前,测试了三款国内比较流行的手机,共4个ROM,该漏洞的情况如下:

|| Nexus 4 官方Rom 4.2.1|| 成功 || || Nexus 4 Cyanogenmod 10.1.2|| 内核已修补 || || Lenove 860i 官方ROM || 内核不支持perf_event || || Huawei U9508 官方ROM || 内核不支持perf_event ||

 

 

CVE-2013-2094 exploit for Android 

posted @ 2015-04-21 16:53  cgj  阅读(2151)  评论(0编辑  收藏  举报