cve-2019-15666 xfrm_policy

最新推荐文章于 2025-10-28 11:34:13 发布
原创 最新推荐文章于 2025-10-28 11:34:13 发布 · 1.2k 阅读 · 0
本文揭示了一个存在于Linux内核XFRM模块中的数组越界漏洞,通过精心构造的输入,攻击者可绕过权限检查,触发使用后释放(UAF)漏洞,进一步导致提权。漏洞涉及XFRM_MSG_NEWSA请求处理中的policy插入流程,以及xfrm_policy_id2dir函数中的方向计算错误。利用过程中,结合堆喷和用户故障注入技术,实现了对特定内存位置的零字节写入,从而修改了cred结构体中的suid字段,完成提权。

这个漏洞比较强,官方说明漏洞只会导致拒绝服务攻击,但实际上利用得当可以实现提权。影响范围3.x-5.x

漏洞成因,数组越界。需要插入用户定义的 index timer set。
XFRM_MSG_NEWSA请求的路劲添加policy。

添加policy需要通过verify_newpolicy_info的认证。但漏洞版本认证缺陷。
https://duasynt.com/blog/ubuntu-centos-redhat-privesc

static int xfrm_add_policy(struct sk_buff *skb, struct nlmsghdr *nlh,
struct nlattr **attrs)
{
   
   
struct net *net = sock_net(skb->sk);
struct xfrm_userpolicy_info *p = nlmsg_data(nlh);
struct xfrm_policy *xp;
struct km_event c;
int err;
int excl;
err = verify_newpolicy_info(p); [1]
if (err)
return err;
err = verify_sec_ctx_len(attrs);
if (err)
return err;
c 2020 DUASYNT Pty Ltd Page 1 of 6Technical report: 01-0311-2018 rev 0.2
xp = xfrm_policy_construct(net, p, attrs, &err);
if (!xp)
return err;
excl = nlh->nlmsg_type == XFRM_MSG_NEWPOLICY;
err = xfrm_policy_insert(p->dir, xp, excl); [2]
xfrm_audit_policy_add(xp, err ? 0 : 1, true);
...

static int verify_newpolicy_info(struct xfrm_userpolicy_info *p)
{
   
   
...
ret = verify_policy_dir(p->dir); [3]
if (ret)
return ret;
if (p->index && ((p->index & XFRM_POLICY_MAX) != p->dir)) [4]
return -EINVAL;
return 0;
}

甚至在3.0版本中,根本没有检测。

static int verify_policy_dir(u8 dir)
{
   
   
	switch (dir) {
   
   
	case XFRM_POLICY_IN:
	case XFRM_POLICY_OUT:
	case XFRM_POLICY_FWD:
		break;

	default:
		return -EINVAL;
	}

	return 0;
}

伪造index = 4 , direction = 0; 将可以通过所有的认证。

触发越界位于 xfrm_policy_timer函数中。

if (unlikely(xp->walk.dead))
goto out
最低0.47元/天 解锁文章
允许 WordPress 上传任意文件的方法
09-29
从 WP 2.8.5 开始文件上传使用预定义的文件扩展名列表过滤,管理员也不例外。
wp-revslider:WordPress RevSlider 文件上传和执行漏洞
06-04
wp-revslider WordPress RevSlider 文件上传和执行漏洞
Digitalworld.local (Development)--VulnHub靶机学习记录
weixin_45509443的博客
07-24 838
1.端口扫描 2.登录8080看下,根据说明有隐藏页面,然而nikto dirb等都无法目录扫描,应该也是像页面提示说的一样被入侵检测系统拦截了,那怎么找目录呢,这就有点脑洞了,原来隐藏目录就是html_pages 进入隐藏目录,接下来就是一顿翻目录了 最后在/development.html目录,查看源码发现提示,进入秘密页面 /developmentsecretpage 发现登录页面 ,无论输入什么都是报错,爆破注入什么的别想了,都是连接超时,smb服务爆破同样结局,看来..
【漏洞复现】Wordpress AI Engine插件-任意文件上传-Upload
漏洞复现
06-20 651
wordpress是一种自由和开放源代码的内容管理系统,基于php和mysql,使用wordpress,用户可以很容易地创建和维护个人或商业网站、博客、电子商务网站或应用程序,而无需深入了解编程语言或数据库管理。Wordpress saveconfiguration接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
【转载】 走进Linux内核之XFRM框架
日积月累
02-02 520
linux xfrm 框架
cuberite 文件读取 (CVE-2019-15516)
m0_65150886的博客
01-08 845
借此漏洞,可以访问攻击者想要的敏感数据,包括配置文件、日志、源代码等信息,更加方便攻击者对网站进行渗透。Cuberite是一款使用C++语言编写的、轻量级、可扩展的多人游戏服务器。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。1.访问http://ip:port,出现如下页面,开始实验。Cuberite 2019-06-11之前版本中存在路径。攻击者可利用该漏洞访问受限目录之外的内容。3.查看/etc/passwd。
【漏洞复现】CVE-2019-11043(PHP远程代码执行漏洞)信息安全论文_含漏洞复现完整过程_含Linux环境go语言编译环境安装
最新发布
2509_93873707的博客
10-28 1924
在PHP5.4版本之前,Nginx处理PHP的流程是调用php-fpm,php-fpm再创建进程,调用php-cgi,以此实现了Ngixn对PHP的解析问题,此时php-fpm起到的是管理php-cgi的作用。fast-cgi协议改进了进程的处理模式,当一次通信完成后,通信进程会得以保留,不会杀死通信使用的进程,其他的通信还可以继续使用这个进程,这样一来,就大大提升了系统资源使用效率。最后,信息安全是一个持续的过程,需要不断地学习和更新知识,跟踪最新的漏洞和攻击技术,并采取相应的防护措施。
漏洞扫描--需要整改的
冰恋云的专栏
07-18 2310
执行未经身份验证的代码。使用用户cookie,代理。中,DataBinder上的disallowedFields模式区分大小写,这意味着除非字段同时列出字段的第一个字符小写,包括属性路径中所有嵌套字段的第一个字符的大写。要创建ptrace关系的进程的凭据记录,这允许本地用户通过利用某些具有父子关系的场景来获得root访问权限进程关系,其中父级放弃特权并调用execve(可。限的经过身份验证的低权限用户都可以与文件管理器功能交互,例如从远程URL下载文件和更改文件权限(chmod)。......
[文件读取]cuberite 文件读取 (CVE-2019-15516)
wj33333的博客
11-14 435
描述: Cuberite是一款使用C++语言编写的、轻量级、可扩展的多人游戏服务器。Cuberite 2019-06-11之前版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。网站后台地址:/....//....//webadmin.ini。查看/tmp/passwd。
XFRM -- ipsec协议的内核实现框架
01-24 4634
目录 1 Overview 1.1 XFRM 实例 1.2 Netlink 通道 1.3 XFRM State 1.3 XFRM Policy 2 接收发送IPsec报文 2.1 接收 2.2 发送 IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才
走进Linux内核之XFRM框架
北观止的博客
09-21 3881
笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等。下面开始上才艺,带你走进Linux内核之XFRM框架。
XFRM-IPsec内核实现框架
wq897387的专栏
03-20 5554
XFRM是个传输数据包(比如加密载荷payloads)的IP层框架。这个框架被用来实现IPsec协议套件(Security Association Database 和 Security Policy Database)。也可以被用来压缩IP层载荷payload。 IPsec is implemented by the XFRM (pronounced “transform”) framework, originated in the USAGI project, which aimed at pro
Linux内核中的IPSEC实现(1)
dolphin98629的专栏
12-31 5203
Java代码   1. 前言      在Linux2.6内核中自带了IPSEC的实现,这样就不用象2.4那样打补丁来实现了。该实现包括以下几个部分: PF_KEY类型套接口, 用来提供和用户层空间进行PF_KEY通信,代码在net/key目录下,前面已经介绍过;安全联盟SA和安全策略SP管理,是使用xfrm库来实现的,代码在net/xfrm/目录下定义;ESP,AH等协议实现,
Linux网络协议栈9--ipsec收发包流程
bigsheng2的博客
02-04 2906
IPSec协议帮助IP层建立安全可信的数据包传输通道。当前已经如strongswan、openswan等比较成熟稳定的开源项目做协议层的控制。但他们最终都是使用的内核的XFRM框架做报文的封装发送和接收解封,只不过内核的转发表项数据是由他们生成的。 XFRM,是transfrom的简写。 ######IPSec收包解封流程 流程路径:ip_rcv() --> ip_rcv_finish() --> ip_local_deliver() --> ip_local_deliver_fini
Linux 内核源码分析---IPsec 互联网安全协议
学习记录
08-20 1983
学习记录
基于内核4.19版本的XFRM框架
日积月累
01-29 1455
XFRM框架
Exim缓冲区溢出漏洞(CVE-2019-15846、CNVD-2019-30794) 排查方法
手机用户小可爱的博客
09-12 1313
一、漏洞概述 Exim是一个运行于Unix系统中的开源消息传送代理(MTA),它主要负责邮件的路由、转发和投递。 Exim存在缓冲区溢出漏洞,攻击者可利用该漏洞使用root权限执行任意代码。 二、影响范围 受影响的版本: 4.92.1及以下的所有版本 详情请参考如下链接: https://exim.org/static/doc/security/CVE-2019-1...
Linux内核中的IPSEC实现(3)
dolphin98629的专栏
12-31 1869
Java代码   5. 安全策略(xfrm_policy)处理      本节所介绍的函数都在net/xfrm/xfrm_policy.c中定义。      5.1 策略分配      策略分配函数为xfrm_policy_alloc(), 该函数被pfkey_spdadd()函数调用      struct xfrm_policy *xfrm_policy_allo
ip xfrm配置nat穿越
xingyeping的博客
05-09 6548
环境:Linux CentOS4.5.3-1.el7.elrepo.x86_64 VMWare虚拟机VM1--VM2,两个口直连。VM1:192.168.233.180;VM2:192.168.233.190. 正常配置一个非NAT穿越报文封装的IPsec隧道,然后使用ping命令测试,没有问题,如下配置: ip xfrm state add src 192.1
ip层本机接受数据包处理
City_of_skey的博客
11-17 734
当数据包的目的地址是本机是,Ip_rcv_finish函数就会将skb->dst->input函数指针初始化为ip_local_deliver,ip层本地发送数据包也分为两个阶段分配分别有两个处理函数:ip_local_deliver和ip_local_deliver_finish。本地转发数据包的首要任务是重组数据包,前送的数据包可以不要重组,前送可以转发每个分片数据包。 一、本地...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值