骗你的， 其实是….

展开文章>
< 收缩文章

2007 Oct 09
在发布的Linux kernel 2.6.23 中
加入了vmsplice_to_user()函数和copy_from_user_mmap_sem()函数,也存在同样的漏洞。

2007 Dec 03
ID为CVE-2008-0009和CVE-2008-0010的漏洞报告被提交到CVE。
分别指出vmsplice_to_user()和copy_from_user_mmap_sem()存在这个漏洞。
但这两份报告有个错误：这两个漏洞存在于2.6.23-2.6.24而不是报告里说的2.6.22-2.6.24,因为这两个函数是在2.6.23里正式被加进来的。

2008 Feb 05
ID为CVE-2008-0600的漏洞报告被提交到CVE
指出:

The vmsplice_to_pipe function in Linux kernel 2.6.17 through 2.6.24.1 does not validate a certain userspace pointer before dereference, which allows local users to gain root privileges via crafted arguments in a vmsplice system call, a different vulnerability than CVE-2008-0009 and CVE-2008-0010.

事实上，问题出在get_iovec_page_array()函数。但因为get_iovec_page_array()函数只被vmsplice_to_pipe()调用，数据参数都来自vmsplice_to_pipe()，所以，get_iovec_page_array()没有验证用户数据的合法性也可以被认为vmsplice_to_pipe()没有验证用户数据的合法性。

2008 Feb 08
在发布的Linux kernel 2.6.24.1和2.6.23.15补丁中补上了CVE-2008-0009和CVE-2008-0010提到这个这两个漏洞。

2008 Feb 09
ID为qaaz的Geek在milw0rm上公布了两个对应的POC代码，第一个是针对vmsplice_to_user()函数和copy_from_user_mmap_sem()函数的，另外一个是针对get_iovec_page_array()函数，

2008 Feb 11
在发布的Linux kernel 2.6.24.2 、2.6.23.16和 2.6.22.18补丁中补上了get_iovec_page_array()函数的漏洞。

三、漏洞攻击效果

攻击成功

打了补丁的2.6.24.2就攻击不成功了

四、漏洞攻击真实案例

This bug is being actively exploited in the wild — our server was just broken in to by an attacker using it. (They got a user’s password by previously compromising a machine somewhere else where that user had an account, and installed a modified ssh binary on it to record user names and passwords. Then they logged in to our site as that user, exploited CVE-2008-0010, and became root).

五、the vmsplice() exploit story

1. 整个过程可以概括为下图：

Online view: http://share.xmind.net/shidelai/vmsplice-loopholes-in-the-success-of-the-attack-1/

2. 攻击程序做了如下六件事情

1)定义 kernel_code()
这个函数会修改当前用户的udi和gid，所有者一切的目的就是让内核执行这个函数。

2)定义了pages[5]，其中：

proc_pages[0]->flags = 1 << PG_compound;
proc_pages[0]->private = (unsigned long) proc_pages[0];
proc_pages[0]->count = 1;

这是为了把这个proc_page伪装成compound page，保证内核执行到/mm/Swap.c的

void put_page(struct page *page)
{
if (unlikely(PageCompound(page)))
put_compound_page(page);
else if (put_page_testzero(page))
__page_cache_release(page);
}

时候，内核进入put_compound_page(page);

proc_pages[1]->lru.next = (long) kernel_code;

内核执行到/mm/Swap.c的

static void put_compound_page(struct page *page)
{
….
dtor = get_compound_page_dtor(page);
(*dtor)(page);
}

的时候，get_compound_page_dtor会返回proc_pages[1]->lru.next。这样，kernel_code()就被内核执行了。

3)将proc_pages[0] mmap到0×0 address
到时候内核被骗执行0地址第二个page的lru.next指向的函数时候，实际上执行的就是这里定义的proc_pages[1]->lru.next所指向的kernel_code()。

4)close(pi[0]); close pipe_read，当内核执行到/fs/Splice.c的splice_to_pipe()

for (;;) {
if (!pipe->readers) {
send_sig(SIGPIPE, current, 0);
if (!ret)
ret = -EPIPE;
break;
}
…
}
…
while (page_nr < spd_pages)
page_cache_release(spd->pages[page_nr++]);

时候，if判断会返回真，于是跳出for循环，于是导致page_cache_release(spd->pages[page_nr++]);被执行。

5)iov.iov_len = ULONG_MAX;
iov.iov_len等于32个1。这个是关键，它保证了内核中数值溢出，结果将内核骗到攻击程序设定的page上来。

6)_vmsplice(pi[1], &iov, 1, 0);
执行vmsplice系统调用。

3. 内核代码执行细节

1)执行_vmsplice(pi[1], &iov, 1, 0);后，/fs/Splice.c中的

long sys_vmsplice(int fd, const struct iovec __user *iov, unsigned long nr_segs, unsigned int flags)
{
…
if (file->f_mode & FMODE_WRITE)//往管道写
error = vmsplice_to_pipe(file, iov, nr_segs, flags);
…
}

被调用。
2)接着内核进入/fs/Splice.c中的

static long vmsplice_to_pipe(struct file *file, const struct iovec __user *iov,
unsigned long nr_segs, unsigned int flags)
{
struct pipe_inode_info *pipe;
struct page *pages[PIPE_BUFFERS]; //请注意这里
struct partial_page partial[PIPE_BUFFERS]; //#define PIPE_BUFFERS (16) //请注意这里
struct splice_pipe_desc spd = {//请注意这里
.pages = pages,
.partial = partial,
.flags = flags,
.ops = &user_page_pipe_buf_ops,
};
…
spd.nr_pages = get_iovec_page_array(iov, nr_segs, pages, partial,
flags & SPLICE_F_GIFT);
…
return splice_to_pipe(pipe, &spd);
}

3)接着内核进入/fs/Splice.c中的

static int get_iovec_page_array(const struct iovec __user *iov,
unsigned int nr_vecs, struct page **pages,
struct partial_page *partial, int aligned)
{
……

if (copy_from_user_mmap_sem(&entry, iov, sizeof(entry))) //entry = iov
break;
base = entry.iov_base;//内核缓冲区基地址
len = entry.iov_len;//长度
……
npages = (off + len + PAGE_SIZE – 1) >> PAGE_SHIFT;
// npages = （0+ 32个1 + 1后面12个0 – 1 ）>> PAGE_SHIFT = （32个1 + 1 -1 + 1后面12个0 – 1）>> PAGE_SHIFT =0
if (npages > PIPE_BUFFERS – buffers)
npages = PIPE_BUFFERS – buffers;
error = get_user_pages(current, current->mm,
(unsigned long) base, npages, 0, 0,
&pages[buffers], NULL);
……
}

4) 于是内核进入/mm/Memory.c中的

int get_user_pages(struct task_struct *tsk, struct mm_struct *mm,
unsigned long start, int len, int write, int force,
struct page **pages, struct vm_area_struct **vmas)
{
……
do {
……
i++;
start += PAGE_SIZE;
len–;
continue;
}
do {
……
i++;
start += PAGE_SIZE;
len–;
} while (len && start < vma->vm_end);
} while (len);
return i;
}

len这里已经是int型了，而不是ulong int，len从0被减到-32768(0xf0000000)再减1变成+32767(0×7fffffff)，最终返回i=46。

5) 然后i返回给/fs/Splice.c中的

static int get_iovec_page_array(const struct iovec __user *iov,
unsigned int nr_vecs, struct page **pages,
struct partial_page *partial, int aligned)
{
……
error = get_user_pages(current, current->mm,
(unsigned long) base, npages, 0, 0,
&pages[buffers], NULL);
//error = 46
……
for (i = 0; i < error; i++) {
const int plen = min_t(size_t, len, PAGE_SIZE – off);
partial[buffers].offset = off;
partial[buffers].len = plen;
off = 0;
len -= plen;
buffers++;
}
……
}

在这个for循环中，partial[]数组大小是16，而循环确循环了46次，所以，溢出了。比partial先定义的pages[]指针数组被0覆盖。

6) 接着，函数返回到/fs/Splice.c的

static long vmsplice_to_pipe(struct file *file, const struct iovec __user *iov,
unsigned long nr_segs, unsigned int flags)
{
……
spd.nr_pages = get_iovec_page_array(iov, nr_segs, pages, partial,
flags & SPLICE_F_GIFT);
……
return splice_to_pipe(pipe, &spd);
}

7) 进入/fs/Splice.c的

ssize_t splice_to_pipe(struct pipe_inode_info *pipe,
struct splice_pipe_desc *spd)
{
……
for (;;) {
if (!pipe->readers) {
send_sig(SIGPIPE, current, 0);
if (!ret)
ret = -EPIPE;
break;
}
…….
}
……
while (page_nr < spd_pages)
page_cache_release(spd->pages[page_nr++]);
return ret;
}

因为之前提到的pipe的读已经被关掉了，所以从for循环跳出。内核执行进入page_cache_release(spd->pages[page_nr++]);
请注意：这里的spd->pages就是之前被溢出被0覆盖的pages[]指针数组。

8)由于

#define page_cache_release(page) put_page(page)

9) 于是进入了/mm/Swap.c中的

void put_page(struct page *page)
{
if (unlikely(PageCompound(page)))
put_compound_page(page);
else if (put_page_testzero(page))
__page_cache_release(page);
}

由于之前提到的，攻击程序已经将其已经被mmap到0地址空间的proc_pages[]伪装成compound page，所以，这里if判断后

10)内核进入同在/mm/Swap.c 的

static void put_compound_page(struct page *page)
{
page = compound_head(page);
if (put_page_testzero(page)) {
compound_page_dtor *dtor;
dtor = get_compound_page_dtor(page);
(*dtor)(page);
}
}

11)再进入/include/linux/Mm.h中的

static inline compound_page_dtor *get_compound_page_dtor(struct page *page)
{
return (compound_page_dtor *)page[1].lru.next;
}

OK，到此，proc_pages[1].lru.next所指向的函数指针也即kernel_code()函数指针返回给dtor，随后(*dtor)(page);执行了这个函数，于是，攻击成功。

展开文章>
< 收缩文章

[!]
例子4：
rm myfile[!9] 将删除除myfile9 之外的名为 myfile 加一个字符的所有文件。

‘’单引号
例子5：
echo ‘[fo]*’ > newfile.txt  创建了包含字符串[fo]*的文件。
如果echo [fo]* > newfile.txt 则 newfile.txt 里面不会有任何东西
例子6：
如果用户目录下有12* 12333这么两个文件，那么
rm 12* 会删除12＊ 和 12333
rm ‘12＊’ 则只会删除12＊
总结：用引号引起来则说明引号里面的是纯字符串无须进行通配符的相关处理

\
功能与单引号类似，
例子7：
rm 12\＊ 则只会删除12＊，这里\代表起后面的字符是纯字符没有其他意思，这与C 语言里面的转义字符类似的。很自然的，如果要表示字符\，你必须使用\\。

展开文章>
< 收缩文章

展开文章>
< 收缩文章

/etc/inputrc ReadLine控件设定
/etc/profile 用户首选项
/etc/bash.bashrc bash配置文件
系统环境
/etc/environment 环境变量
/etc/updatedb.conf 文件检索数据库配置信息
/etc/issue 发行信息
/etc/issue.net
/etc/screenrc 屏幕设定
网络
/etc/iftab 网卡MAC地址绑定
/etc/hosts 主机列表
/etc/hostname 主机名
/etc/resolv.conf 域名解析服务器地址
/etc/network/interfaces 网卡配置文件

用户配置文件
————
“/etc/”目录下的所有文件，只有root用户才有修改权限。应用软件的全局配置文件，普通用户也不能够修改，如果您想配置软件，以适应您的需求，您可以修改它的用户配置文件。

用户配置文件通常为全局配置文件的同名隐藏文件，放在您的$HOME目录下，例如：
/etc/inputrc /home/user/.inputrc
/etc/vim/vimrc /home/user/.vim/vimrc
也有少数例外，通常是系统程序
/etc/bash.bashrc /home/user/.bashrc

——————————————————————————————————————

acpi-support 高级电源管理支持
acpid acpi守护程序.这两个用于电源管理，非常重要
alsa 声音子系统
alsa-utils
anacron cron的子系统，将系统关闭期间的计划任务，在下一次系统运行时执行。
apmd acpi的扩展
atd 类似于cron的任务调度系统。建议关闭
binfmt-support 核心支持其他二进制的文件格式。建议开启
bluez-utiles 蓝牙设备支持
bootlogd 启动日志。开启它
cron 任务调度系统，建议开启
cupsys 打印机子系统。
dbus 消息总线系统(message bus system)。非常重要
dns-clean 使用拨号连接时，清除dns信息。
evms 企业卷管理系统（Enterprise Volumn Management system）
fetchmail 邮件用户代理，用于收取邮件
gdm gnome登录和桌面管理器。
gdomap
gpm 终端中的鼠标支持。
halt 别动它。
hdparm 调整硬盘的脚本，配置文件为“/etc/hdparm.conf”。
hibernate 系统休眠
hotkey-setup 笔记本功能键支持。支持类型包括： HP, Acer, ASUS, Sony, Dell,和IBM。
hotplug andhotplug-net 即插即用支持，比较复杂，建议不要动它。
hplip HP打印机和图形子系统
ifrename 网络接口重命名脚本。如果您有十块网卡，您应该开启它
inetd 在文件“/etc/inetd.conf”中，注释掉所有你不需要的服务。如果该文件不包含任何服务，那关闭它是很安全的。
klogd 重要。
linux-restricted-modules-common 受限模块支持。“/lib/linux-restricted-modules/”文件夹中的模块为受限模块。
例如某些驱动程序，如果您没有使用受限模块，就不需要开启它。
lvm 逻辑卷管理系统支持。
makedev 创建设备文件，非常重要。
mdamd 磁盘阵列
module-init-tools 从/etc/modules加载扩展模块，建议开启。
networking 网络支持。按“/etc/network/interfaces”文件预设激活网络，非常重要。
ntpdate 时间同步服务，建议关闭。
pcmcia pcmcia设备支持。
powernowd 移动CPU节能支持
ppp andppp-dns 拨号连接
readahead 预加载库文件。
reboot 别动它。
resolvconf 自动配置DNS
rmnologin 清除nologin
rsync rsync守护程序
sendsigs 在重启和关机期间发送信号
single 激活单用户模式
ssh ssh守护程序。建议开启
stop-bootlogd 在2，3，4，5运行级别中停止bootlogd服务
sudo 检查sudo状态。重要
sysklogd 系统日志
udev & udev-mab用户空间dev文件系统（userspace dev filesystem）。重要
umountfs 卸载文件系统
urandom 随机数生成器
usplash 开机画面支持
vbesave 显卡BIOS配置工具。保存显卡的状态
xorg-common 设置X服务ICEsocket。
adjtimex 调整核心时钟的工具
dirmngr 证书列表管理工具,和gnupg一起工作。
hwtools irqs优化工具
libpam-devperm 系统崩溃之后，用于修理设备文件许可的守护程序。
lm-sensors 板载传感器支持
mdadm-raid 磁盘陈列管理器
screen-cleanup 清除开机屏幕的脚本
xinetd 管理其他守护进程的一个inetd超级守护程序

展开文章>
< 收缩文章

有个技巧:敲好sudocp后把要复制的文件或文件夹用左键拉到控制台窗口既可,会自动填写.

文件的打包和解包

解tar包

例：tar -xvzf gaim-0.77.tar.gz

tar-jxvf XXX.tar.bz2

生成tar包

例：tar cvf – /etc | gzip-9c > backup.tar.gz

生成rar包3

rara test.rar file1.txt

rara test.rar dir1

解rar包

rarx test.rar

解zip 包

unzip lumaqq_p3.zip

挂装一个iso 文件

mout -t iso9660 -o loop,iocharset=cp936 /data/myarc.iso/mnt/iso

除iso文件外，其他各类型压缩包均可以在图形界面下使用“压缩工具”进行管理。卸装iso文件

umout /mnt/iso

生成一个iso 文件

cp/dev/cdrom /home/gsh/TomJerry1.iso

展开文章>
< 收缩文章