高级逆向与漏洞利用：从内核到用户态的权限跨越

1. 引言

本文档基于一份公开的漏洞分析与利用技术报告，旨在系统性地阐述一个从内核态权限提升（Privilege Escalation）到用户态进程注入（Process Injection）的完整攻击链。所涉及的漏洞利用技术复杂且层级较深，覆盖了内核利用、内存操作、进程控制等多个核心安全领域。本教学文档将详尽拆解其关键步骤、技术原理与实现细节，适用于具备操作系统、内存管理和C语言基础的安全研究人员。

2. 漏洞核心：内核空指针解引用

漏洞的根源在于Linux内核的io_uring子系统中的一个空指针解引用缺陷。

2.1 漏洞成因

• 位置：io_uring在处理异步I/O请求时，其清理路径（io_ring_ctx_wait_and_kill函数）存在条件竞争。
• 触发条件：
  1. 攻击者创建一个io_uring实例（称为ring A）。
  2. 通过特定io_uring操作（如注册文件描述符）在内部触发一个等待完成的操作。
  3. 在操作未完成时，攻击者关闭ring A的文件描述符。这会启动异步的清理流程。
  4. 在清理过程中，内核线程尝试将ring A的上下文（ctx）置为NULL。
• 竞争窗口：存在一个极短的时间窗口，在此期间，ctx指针已被置NULL，但内核代码后续仍尝试解引用此指针以访问其中的成员（例如ctx->rings），导致内核崩溃（Oops）或为攻击者提供可利用的状态。

2.2 利用目标：modprobe_path

• modprobe_path是什么：它是内核中的一个全局字符数组（位于.data节），存储了modprobe程序的路径（默认为/sbin/modprobe）。当内核需要加载一个未知格式的可执行文件时，会执行此路径指向的程序。
• 攻击价值：若能覆盖modprobe_path，将其指向攻击者控制的脚本，则当内核触发modprobe机制时，将以root权限执行任意命令，从而实现稳定的权限提升。

3. 利用链第一阶段：内核权限提升

3.1 利用竞争实现任意读写

1. 制造崩溃而非利用：最初的竞争直接导致空指针解引用，引发崩溃。这并非可利用的状态。
2. 关键技巧：堆喷射与msg_msg：
   • 利用内核的System V消息队列（msg_msg）结构进行堆内存喷射。
   • 精心构造消息内容，使得msg_msg结构体的m_ts（消息大小）字段和next指针（指向消息下一部分）位于可控内存的相对固定偏移处。
3. 将崩溃转化为原语：
   • 在触发竞争的同时，进行堆风水（Heap Feng-Shui），目标是让一个msg_msg结构体恰好分配到ctx指针被释放后（且被置NULL前）的同一个内存地址。
   • 当内核后续解引用ctx->rings时，实际上访问的是msg_msg结构体的m_ts字段。攻击者可以通过发送的消息内容控制m_ts的值。
   • 通过将m_ts设置为一个极大值，当内核后续使用这个值作为拷贝长度时，便可能触发越界读取。

3.2 构造任意读原语

1. 从越界读到信息泄露：利用上述越界读取，攻击者可以读取msg_msg结构之后的内核内存数据。
2. 泄露内核基址：目标是找到内核代码指针（如security_ops）。通过喷射大量包含特定模式的内存对象，并利用越界读扫描，可以定位到这些指针，从而计算出内核的基址，绕过KASLR。
3. 泄露modprobe_path地址：同样通过信息泄露，在内存中找到modprobe_path全局变量的地址。

3.3 构造任意写原语

1. 升级堆布局：在获取信息泄露后，需要更强大的写入能力。
2. 利用pipe_buffer：
   • 内核的管道（pipe）数据存储在pipe_buffer结构体数组中，每个结构体包含一个page指针（指向存储数据的物理页）和len等字段。
   • 通过堆风水，将一个pipe_buffer结构体布置到攻击者可控的内存区域。
3. 劫持控制流：通过任意读/写原语，修改这个pipe_buffer的page指针，使其指向目标地址（例如modprobe_path的地址）。
4. 实现任意写：随后，向这个管道写入数据。内核会将数据拷贝到page指针指向的地址，从而完成对modprobe_path字符串内容的覆盖。攻击者将其覆盖为自定义脚本路径（如/tmp/x）。

3.4 触发权限提升

1. 创建一个格式签名错误的“魔法”文件（例如，文件头部为\xff\xff）。
2. 尝试执行这个文件。内核因无法识别其格式，会调用被篡改的modprobe_path（即/tmp/x）来解释它。
3. /tmp/x是一个事先准备好的shell脚本，其内容通常为chmod u+s /bin/bash或类似命令，用于为/bin/bash设置SUID位。
4. 脚本执行后，攻击者运行/bin/bash -p即可获得root权限的shell。至此，内核权限提升完成。

4. 利用链第二阶段：用户态进程注入

在获得root权限后，攻击者不满足于单一shell，而是希望将代码注入到一个高权限、稳定且隐蔽的宿主进程中。

4.1 目标进程选择

• 选择systemd：它是所有用户态进程的父进程（PID 1），具有最高权限，且永远不会退出。注入其中的代码将获得极高的隐蔽性和持久性。

4.2 注入技术：ptrace与memfd_create

1. 挂载目标进程：使用ptrace(PTRACE_ATTACH, ...)附加到systemd进程，暂停其执行，从而能够操作其内存和寄存器。
2. 准备共享库载荷：
   • 攻击者编写一个恶意共享库（.so文件），其中包含注入的代码（例如反向shell、后门功能）。
   • 使用memfd_create()系统调用在内存中创建一个匿名文件描述符。
   • 将恶意.so文件的内容写入这个内存文件描述符。此方法避免在磁盘留下痕迹。
3. 远程进程内存操作：
   • 使用ptrace(PTRACE_PEEKTEXT / PTRACE_POKETEXT)或更高效的方法（如通过/proc/[pid]/mem）读写systemd进程的内存空间。
   • 在systemd的地址空间中分配一段内存（例如通过调用mmap，这需要通过PTRACE_SYSCALL拦截并控制其系统调用），用于存放内存文件描述符的路径字符串和库的初始化代码。
4. 触发库加载：
   • 覆盖systemd的某个关键寄存器（如x86_64下的RIP）或函数指针，使其指向一段精心构造的shellcode，或者更巧妙地利用其现有的代码流。
   • 这段注入的代码需要执行dlopen()，但其参数（库路径）需要是一个文件路径。这里使用了一个Linux特性：/proc/self/fd/[memfd_id]可以作为文件路径被dlopen()识别并加载。
   • 因此，注入的代码（或劫持的控制流）最终会调用dlopen("/proc/self/fd/[memfd_id]", RTLD_LAZY)，从而将攻击者的恶意共享库加载到systemd的地址空间中。
5. 库初始化执行：恶意共享库的构造函数（__attribute__((constructor))修饰的函数）会在库被加载时自动执行，从而在systemd上下文中运行攻击者代码。
6. 恢复执行：清理痕迹，恢复被修改的寄存器和内存，并使用ptrace(PTRACE_DETACH, ...)让systemd继续正常运行，此时注入的代码已经在其内部驻留并执行。

5. 技术总结与防御启示

5.1 攻击链总览

内核空指针竞争 -> 堆布局操控 -> 信息泄露（突破KASLR）-> 构造任意写原语 -> 覆盖modprobe_path -> 触发modprobe以root执行脚本 -> 获得root shell -> 向systemd进程注入共享库内存载荷 -> 实现持久化、高权限后门。

5.2 关键技术点

1. 内核利用：条件竞争、堆风水、利用内核对象构造任意读/写原语。
2. 权限提升：利用内核内部机制（modprobe）实现稳定提权。
3. 进程注入：ptrace调试接口滥用、memfd_create内存文件、/proc/self/fd/特性、远程dlopen。

5.3 防御与缓解措施

1. 内核层面：
   • 及时更新内核，修复io_uring等相关漏洞。
   • 启用所有安全机制：KASLR, SMEP, SMAP, KPTI, 堆栈保护。
   • 将modprobe_path等关键内核符号设置为只读（const），或将其移至只读内存节（如.rodata），这是最根本的缓解措施。
2. 系统与运维层面：
   • 限制ptrace的使用（通过ptrace_scope或seccomp过滤器），防止非特权用户调试高权限进程。
   • 使用完整性监控工具，检测/proc/sys/kernel/modprobe等关键路径的更改。
   • 实施最小权限原则，减少不必要的特权进程。

本文档基于对公开技术报告《io_uring竞争漏洞到systemd注入的完整利用链》的详尽解析，旨在用于安全技术研究。所涉及的技术具有高度破坏性，严禁用于非法用途。