CVE-2016-8655,af_packet Linux 內核通殺提權漏洞淺析

簡單寫一下思路 這個東西須要namespace方面的支援,
首先open socket , 一連串路徑(packet_set_ring()->init_prb_bdqc()->
prb_setup_retire_blk_timer()->prb_init_blk_timer()->
prb_init_blk_timer()->init_timer())後產生 timer object, 搶著在socket close.
以前控制po->tp_version 使其走其餘路徑搶先free timer object.
這時候用add_key來heap sprey 覆蓋 被free的time object.
內核攻擊老司機都懂, 被蓋掉的time object裡面已經放了 我們事先準備好的
time object 其內部function pointer已經被我們hijacked.
從user mode 調用 hijacked function in time object.
這時候能夠從user mode call hijacked function獲得root.

summary :
0x0. race condition -> UAF. 在這牛逼的時代, 不算新。
0X1. vsyscall的利用 (跟vDSO差很少), and set_memory_rx().
0X2. 改用add_key()來作heap spraying. 有別於以往科恩(Keen Team)用sendmmsg來heap spraying.
0x3. 安卓上可利用 gid=3004/AID_NET_RAW 創建AF_PACKET sockets
(mediaserver) and can trigger the bug.

Ref:
http://seclists.org/oss-sec/2016/q4/607

寫的倉促 歡迎討論指教.