CVE-2022-0847linux内核提权漏洞复现/原理讲解

admin
admin
admin
138635
文章
114
评论
2022年3月8日11:33:25评论247 views字数 2076阅读6分55秒阅读模式

本文来自每天一个入狱小技巧

简介

这是 CVE-2022-0847 的故事,它是自 5.8 以来 Linux 内核中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入根进程。

它类似于CVE-2016-5195 “Dirty Cow”,但更容易被利用。

该漏洞 在 Linux 5.16.11、5.15.25 和 5.10.102 中修复。

原理

在我的第一个漏洞利用(我用于 bisect 的“writer”/“splicer”程序)中,我假设这个 bug 只能在特权进程写入文件时被利用,并且它取决于时间。

当我意识到真正的问题是什么时,我能够大大扩大漏洞:即使在没有写入器的情况下,也可以在没有时间限制的情况下,在(几乎)任意位置使用任意数据覆盖页面缓存. 限制是:

  • 攻击者必须具有读取权限(因为它需要将 splice()页面放入管道)

  • 偏移量不能在页面边界上(因为该页面的至少一个字节必须已拼接到管道中)

  • 写入不能跨越页面边界(因为将为其余部分创建一个新的匿名缓冲区)

  • 文件无法调整大小(因为管道有自己的页面填充管理,并且不会告诉页面缓存附加了多少数据)

要利用此漏洞,您需要:

  1. 创建管道。

  2. 用任意数据填充管道( PIPE_BUF_FLAG_CAN_MERGE在所有环条目中设置标志)。

  3. 排干管道(在环上的所有实例中设置标志)。struct pipe_bufferstruct pipe_inode_info

  4. 将目标文件(以 开头O_RDONLY)中的数据从目标偏移之前的位置拼接到管道中。

  5. 将任意数据写入管道;此数据将覆盖缓存的文件页面,而不是创建新的异常,因为已设置。struct pipe_bufferPIPE_BUF_FLAG_CAN_MERGE

为了让这个漏洞更有趣,它不仅可以在没有写权限的情况下工作,它还可以用于不可变文件、只读 btrfs 快照和只读挂载(包括 CD-ROM 挂载)。这是因为页面缓存始终是可写的(由内核),并且写入管道从不检查任何权限。

影响版本


Linux kali 5.10.0-kali7-amd64 #1 SMP Debian 5.10.28-1kali1 (2021-04-12) x86_64 GNU/Linux


复现

CVE-2022-0847linux内核提权漏洞复现/原理讲解

时间线

  • 2021-04-29:关于文件损坏的第一个支持票

  • 2022-02-19:文件损坏问题被确定为 Linux 内核错误,结果证明这是一个可利用的漏洞

  • 2022-02-20:向Linux 内核安全团队发送错误报告、漏洞利用和补丁

  • 2022-02-21:在 Google Pixel 6 上重现错误;发送给 Android 安全团队的错误报告

  • 2022-02-21: 按照 Linus Torvalds、Willy Tarreau 和 Al Viro 的建议,将补丁发送到 LKML(不含漏洞详细信息)

  • 2022-02-23:带有我的错误修复的Linux稳定版本 5.16.11、5.15.25、5.10.102

  • 2022-02-24:Google 将我的错误修复合并到 Android 内核中

  • 2022-02-28:通知linux-distros 邮件列表

  • 2022-03-07:公开披露

exp下载

公众号后台回复20220308获取下载链接

参考链接

https://github.com/Arinerron/CVE-2022-0847-DirtyPipe-Exploit

https://github.com/imfiver/CVE-2022-0847

https://dirtypipe.cm4all.com/



CVE-2022-0847linux内核提权漏洞复现/原理讲解


本文最终解释权归本文作者所有!

    任何公众号场、本项目涉及的任何工具,仅用于商业商业用途,不能保证其合法性和使用性,并能用于研究项目中的应用,目标和有效的实施情况自己判断;

     文章、项目内场所有资源文件,杜绝任何靶本公众号、自媒体进行形式的擅自转载、发布

    公众对脚本及任何概不负责包括不由任何脚本错误导致的工具损失或损害及任何法律责任;

    直接使用本或公众发布的技术、靶场文章项目中涉及的脚本工具,但在某些行为不符合任何国家/地区或相关地区的情况下进行传播时,引发的隐私或其他任何法律问题的后果概不负责;

    如果任何单位或个人认为项目或文章的内容可能侵犯其权利,则应及时通知并证明其身份,证明我们将在收到证明文件后删除相关内容;

    以方式或使用此项目的任何人或直接使用项目的直接用户都应仔细阅读此声明;

    本公众号保留更改或补充,免责随时声明的权利;

    访问本公众号的任何文章或项目,请您立即接受此免责声明。

您在本声明未发出之时,或者使用访问已接受此声明,请查看本公众号。

                                                                                              此致

    由于、利用的信息而造成的任何或直接的此文传播后果,均由用户本人负责,作者不承担任何直接责任。

一切法律后果均由攻击者承担!!!

日站不规范,亲人两行泪!!!

不规范,亲人两行!!!

不规范,亲人两行!!!

原文始发于微信公众号(阿乐你好):CVE-2022-0847linux内核提权漏洞复现/原理讲解

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月8日11:33:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2022-0847linux内核提权漏洞复现/原理讲解https://cn-sec.com/archives/821434.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息