探秘CVE-2014-0038：本地root权限漏洞利用工具

1、项目介绍

这是一款针对CVE-2014-0038安全漏洞的本地root权限exploit。这个项目允许开发者或安全研究人员深入理解该漏洞并测试其影响范围。它通过利用X86_X32架构下recvmmsg系统调用的不足，修改内核内存中的特定地址，进而获取系统的最高权限。

2、项目技术分析

此exploit的核心在于能够传递一个指向内核地址的指针作为recvmmsg的超时参数。如果原本存储在该地址的数据已知，那么可以将其替换为预设数据。特别是在位0为0xff的情况下，等待255秒会使其变为0x00。然而，这种方法受限于目标地址上的两个长整数限制（tv_sec必须为正，tv_nsec需小于10亿）。

exploit的具体策略是定位到ptmx_fops结构体的release函数指针，这个指针位于未初始化且可写的内核内存中。然后将三个高位字节置零，使其变成指向用户空间的有效地址。当打开并关闭/dev/ptmx设备后，释放指针会被触发，从而达到目的。

3、项目及技术应用场景

• 教学研究：对安全研究人员和学生而言，这是一个深入了解系统级安全漏洞以及如何编写exploit的绝佳案例。
• 漏洞评估：系统管理员可以使用这个工具来检测他们的系统是否易受CVE-2014-0038的影响。
• 安全审计：在进行渗透测试或安全审计时，此exploit可以帮助识别系统中的弱点。

4、项目特点

• 简单可靠：虽然实现方法不是特别优雅，但经过测试，这个exploit在符号解析正确的情况下相当稳定。
• 跨平台：支持Ubuntu 13.10，并可通过提取远程服务器的kallsyms信息构建适用于不同环境的二进制文件。
• 自动化脚本：提供build.sh脚本来简化编译和部署过程。
• 灵活配置：支持从vmlinux映像中提取符号信息，适用于多种Linux发行版。

想要亲身体验这个exploit的强大威力吗？只需执行简单的命令，就可以开始你的探索之旅了：

./build.sh && ./timeoutpwn

对于远程服务器，你可以先获取符号信息，然后构建和传输exploit：

ssh user@host 'cat /proc/kallsyms' > syms.txt
CFLAGS=-static ./build.sh syms.txt
scp timeoutpwn user@host:
...

如果你在kallsyms中找不到ptmx_fops，不妨尝试从对应的内核头文件包获取vmlinux信息。

这个开源项目为你打开了理解内核安全漏洞的大门，让我们一起深入探讨，提高系统的安全性。