久久精品国产精品国产精品污,男人扒开添女人下部免费视频,一级国产69式性姿势免费视频,夜鲁夜鲁很鲁在线视频 视频,欧美丰满少妇一区二区三区,国产偷国产偷亚洲高清人乐享,中文 在线 日韩 亚洲 欧美,熟妇人妻无乱码中文字幕真矢织江,一区二区三区人妻制服国产

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 运维知识 > linux >内容正文

linux

如何通过数据包套接字攻击Linux内核

發布時間:2025/3/15 linux 53 豆豆
生活随笔 收集整理的這篇文章主要介紹了 如何通过数据包套接字攻击Linux内核 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

一、前言


最近我花了一些時間使用syzkaller工具對Linux內核中與網絡有關的接口進行了模糊測試(fuzz)。除了最近發現的DCCP套接字漏洞之外,我還發現了另一個漏洞,該漏洞位于數據包套接字(packet sockets)中。在這篇文章中,我會向大家介紹這個漏洞的發現過程,以及我們如何利用這個漏洞來提升權限。

該漏洞本身(CVE-2017-7308)是一個符號類型漏洞,會導致堆越界(heap-out-of-bounds)寫入問題。在啟用TPACKET_V3版本的環形緩沖區(ring buffer)條件下,我們可以通過為AF_PACKET套接字的PACKET_RX_RING選項提供特定的參數來觸發這個漏洞。漏洞觸發成功后,在“net/packet/af_packet.c”源碼中,“packet_set_ring()”函數中的完整性檢查過程就會被繞過,最終導致越界訪問。“packet_set_ring()”函數中的完整性檢查過程如下所示:

1 2 3 4 4207?????????????????if?(po->tp_version?>=?TPACKET_V3?&& 4208?????????????????????(int)(req->tp_block_size?- 4209???????????????????????????BLK_PLUS_PRIV(req_u->req3.tp_sizeof_priv))?<=?0) 4210?????????????????????????goto?out;

2011年8月19日,這個bug與TPACKET_V3的實現一起提交到Github上編號為f6fb8f10的commit(“af-packet:TPACKET_V3靈活緩沖區的實現”)。2014年8月15日,在編號為dc808110的commit中,人們嘗試通過添加額外的檢查流程來修復這個bug,但根據本文的分析,我們發現這個修復過程并不完美。這個bug最終于2017年3月29日在編號為2b6867c2的commit中被修復。

如果Linux內核啟用了AF_PACKET套接字選項(CONFIG_PACKET=y),那么它就會受到這個漏洞影響,而大多數Linux分發版內核都啟用了該選項。漏洞利用需要具備CAP_NET_RAW權限,才能創建這類套接字。然而,如果啟用了用戶命名空間(user namespace,通過CONFIG_USER_NS=y實現),我們就可能在用戶命名空間中使用非特權用戶來利用這個漏洞。

由于數據包套接字是Linux內核中廣泛應用的一個功能,因此這個漏洞會影響包括Ubuntu、Android在內的許多流行的Linux發行版。需要注意的是,Android中除了某些特權組件之外,明確禁止任何未受信代碼訪問AF_PACKET套接字。新版的Ubuntu內核已經發布,此外Android也計劃在7月份推出更新。


二、Syzkaller簡介


我使用syzkaller以及KASAN工具發現了這個bug。Syzkaller是一款針對Linux系統調用的覆蓋型模糊測試器,KASAN是一款動態內存錯誤檢測器。我會向大家介紹syzkaller的工作原理,以及如何使用該工具對某些內核接口進行模糊測試,方便大家掌握這個工具。

讓我們先來看看syzkaller模糊測試器如何工作。在為每個系統調用(syscall)手動編寫描述模板的基礎上,syzkaller可以(按照syscall的調用順序)生成隨機的程序。這個模糊測試器會運行這些程序,收集每個程序的代碼覆蓋情況。通過代碼覆蓋信息,syzkaller會保存一個程序語料庫,觸發內核中的不同代碼路徑。每當新的程序觸發了一條新的代碼路徑(也就是說給出了新的覆蓋信息),syzkaller就會將其添加到語料庫中。除了生成全新的程序之外,syzkaller也可以更改語料庫中的已有程序。

Syzkaller最好搭配動態錯誤檢測器一起使用,如KASAN(從4.0版開始就可以檢測諸如越界訪問(out-of-bounds)以及釋放后重用(use-after-free)之類的內存錯誤)、KMSAN(可以檢查未初始化內存使用錯誤,原型版本剛剛發布)或者KTSAN(可以檢測數據沖突(data race)錯誤,原型版本已發布)之類的動態錯誤檢測器都可以。Syzkaller可以對內核進行壓力測試,執行各種有趣的代碼路徑,然后錯誤檢測器就能檢測并報告對應的錯誤。

使用syzkaller查找錯誤的通常流程如下:

1、確保已正確安裝syzkaller。可以參考使用說明以及wiki中的詳細安裝步驟。

2、為待測試的特定內核接口編寫模板描述。

3、在syzkaller選項中,指定該接口具體使用的系統調用。

4、運行syzkaller,直到它發現錯誤為止。通常情況下,如果該接口之前尚未使用syzkaller進行測試,那么這個過程會比較快。

Syzkaller自己有一套聲明語言,用來描述系統調用模板。我們可以參考sys/sys.txt中給出的樣例,也可以參考sys/README.md給出的語法信息。以下內容截取自我所使用的syzkaller描述信息,用來發現AF_PACKET套接字上的錯誤:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 resource?sock_packet[sock] define?ETH_P_ALL_BE?htons(ETH_P_ALL) socket$packet(domain?const[AF_PACKET],?type?flags[packet_socket_type],?proto?const[ETH_P_ALL_BE])?sock_packet packet_socket_type?=?SOCK_RAW,?SOCK_DGRAM setsockopt$packet_rx_ring(fd?sock_packet,?level?const[SOL_PACKET],?optname?const[PACKET_RX_RING],?optval?ptr[in,?tpacket_req_u],?optlen?len[optval]) setsockopt$packet_tx_ring(fd?sock_packet,?level?const[SOL_PACKET],?optname?const[PACKET_TX_RING],?optval?ptr[in,?tpacket_req_u],?optlen?len[optval]) tpacket_req?{ ?tp_block_size??int32 ?tp_block_nr??int32 ?tp_frame_size??int32 ?tp_frame_nr??int32 } tpacket_req3?{ ?tp_block_size??int32 ?tp_block_nr??int32 ?tp_frame_size??int32 ?tp_frame_nr??int32 ?tp_retire_blk_tov?int32 ?tp_sizeof_priv?int32 ?tp_feature_req_word?int32 } tpacket_req_u?[ ?req??tpacket_req ?req3??tpacket_req3 ]?[varlen]

大多數語法我們一看就能明白。首先,我們聲明了一個新的sock_packet類型。這種類型繼承自現有的sock類型。這樣一來,對于使用sock類型作為參數的系統調用而言,syzkaller也會在sock_packet類型的套接字上使用這種系統調用。

在這之后,我們聲明了一個新的系統調用:socket$packet。“$”符號之前的部分作用是告訴syzkaller應該使用哪種系統調用,而“$”符號之后的部分用來區分同一種系統調用的不同類型。這種方式在處理類似ioctl的系統調用時非常有用。“socket$packet”系統調用會返回一個sock_packet套接字。

然后我們聲明了setsockopt$packet_rx_ring以及setsockopt$packet_tx_ring。這些系統調用會在sock_packet套接字上設置PACKET_RX_RING以及PACKET_TX_RING套接字選項。我會在下文討論這兩個選項的具體細節。這兩者都使用了tpacket_req_u聯合體(union)作為套接字選項的值。tpacket_req_u聯合體包含兩個結構體成員,分別為tpacket_req以及tpacket_req3。

一旦描述信息添加完畢,我們就可以使用syzkaller對與數據包相關的系統調用進行模糊測試。我在syzkaller管理配置選項中的設置信息如下所示:

1 2 3 "enable_syscalls":?[ ??"socket$packet",?"socketpair$packet",?"accept$packet",?"accept4$packet",?"bind$packet",?"connect$packet",?"sendto$packet",?"recvfrom$packet",?"getsockname$packet",?"getpeername$packet",?"listen",?"setsockopt",?"getsockopt",?"syz_emit_ethernet" ?],

使用這些描述信息運行syzkaller一段時間之后,我開始觀察到內核崩潰現象。某個syzkaller應用所觸發的bug如下所示:

1 2 3 4 mmap(&(0x7f0000000000/0xc8f000)=nil,?(0xc8f000),?0x3,?0x32,?0xffffffffffffffff,?0x0) r0?=?socket$packet(0x11,?0x3,?0x300) setsockopt$packet_int(r0,?0x107,?0xa,?&(0x7f000061f000)=0x2,?0x4) setsockopt$packet_rx_ring(r0,?0x107,?0x5,?&(0x7f0000c8b000)=@req3={0x10000,?0x3,?0x10000,?0x3,?0x4,?0xfffffffffffffffe,?0x5},?0x1c)

KASAN的某個報告如下所示。需要注意的是,由于訪問點距離數據塊邊界非常遠,因此分配和釋放棧沒有對應溢出(overflown)對象。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 ================================================================== BUG:?KASAN:?slab-out-of-bounds?in?prb_close_block?net/packet/af_packet.c:808 Write?of?size?4?at?addr?ffff880054b70010?by?task?syz-executor0/30839 CPU:?0?PID:?30839?Comm:?syz-executor0?Not?tainted?4.11.0-rc2+?#94 Hardware?name:?QEMU?Standard?PC?(i440FX?+?PIIX,?1996),?BIOS?Bochs?01/01/2011 Call?Trace: ?__dump_stack?lib/dump_stack.c:16?[inline] ?dump_stack+0x292/0x398?lib/dump_stack.c:52 ?print_address_description+0x73/0x280?mm/kasan/report.c:246 ?kasan_report_error?mm/kasan/report.c:345?[inline] ?kasan_report.part.3+0x21f/0x310?mm/kasan/report.c:368 ?kasan_report?mm/kasan/report.c:393?[inline] ?__asan_report_store4_noabort+0x2c/0x30?mm/kasan/report.c:393 ?prb_close_block?net/packet/af_packet.c:808?[inline] ?prb_retire_current_block+0x6ed/0x820?net/packet/af_packet.c:970 ?__packet_lookup_frame_in_block?net/packet/af_packet.c:1093?[inline] ?packet_current_rx_frame?net/packet/af_packet.c:1122?[inline] ?tpacket_rcv+0x9c1/0x3750?net/packet/af_packet.c:2236 ?packet_rcv_fanout+0x527/0x810?net/packet/af_packet.c:1493 ?deliver_skb?net/core/dev.c:1834?[inline] ?__netif_receive_skb_core+0x1cff/0x3400?net/core/dev.c:4117 ?__netif_receive_skb+0x2a/0x170?net/core/dev.c:4244 ?netif_receive_skb_internal+0x1d6/0x430?net/core/dev.c:4272 ?netif_receive_skb+0xae/0x3b0?net/core/dev.c:4296 ?tun_rx_batched.isra.39+0x5e5/0x8c0?drivers/net/tun.c:1155 ?tun_get_user+0x100d/0x2e20?drivers/net/tun.c:1327 ?tun_chr_write_iter+0xd8/0x190?drivers/net/tun.c:1353 ?call_write_iter?include/linux/fs.h:1733?[inline] ?new_sync_write?fs/read_write.c:497?[inline] ?__vfs_write+0x483/0x760?fs/read_write.c:510 ?vfs_write+0x187/0x530?fs/read_write.c:558 ?SYSC_write?fs/read_write.c:605?[inline] ?SyS_write+0xfb/0x230?fs/read_write.c:597 ?entry_SYSCALL_64_fastpath+0x1f/0xc2 RIP:?0033:0x40b031 RSP:?002b:00007faacbc3cb50?EFLAGS:?00000293?ORIG_RAX:?0000000000000001 RAX:?ffffffffffffffda?RBX:?000000000000002a?RCX:?000000000040b031 RDX:?000000000000002a?RSI:?0000000020002fd6?RDI:?0000000000000015 RBP:?00000000006e2960?R08:?0000000000000000?R09:?0000000000000000 R10:?0000000000000000?R11:?0000000000000293?R12:?0000000000708000 R13:?000000000000002a?R14:?0000000020002fd6?R15:?0000000000000000 Allocated?by?task?30534: ?save_stack_trace+0x16/0x20?arch/x86/kernel/stacktrace.c:59 ?save_stack+0x43/0xd0?mm/kasan/kasan.c:513 ?set_track?mm/kasan/kasan.c:525?[inline] ?kasan_kmalloc+0xad/0xe0?mm/kasan/kasan.c:617 ?kasan_slab_alloc+0x12/0x20?mm/kasan/kasan.c:555 ?slab_post_alloc_hook?mm/slab.h:456?[inline] ?slab_alloc_node?mm/slub.c:2720?[inline] ?slab_alloc?mm/slub.c:2728?[inline] ?kmem_cache_alloc+0x1af/0x250?mm/slub.c:2733 ?getname_flags+0xcb/0x580?fs/namei.c:137 ?getname+0x19/0x20?fs/namei.c:208 ?do_sys_open+0x2ff/0x720?fs/open.c:1045 ?SYSC_open?fs/open.c:1069?[inline] ?SyS_open+0x2d/0x40?fs/open.c:1064 ?entry_SYSCALL_64_fastpath+0x1f/0xc2 Freed?by?task?30534: ?save_stack_trace+0x16/0x20?arch/x86/kernel/stacktrace.c:59 ?save_stack+0x43/0xd0?mm/kasan/kasan.c:513 ?set_track?mm/kasan/kasan.c:525?[inline] ?kasan_slab_free+0x72/0xc0?mm/kasan/kasan.c:590 ?slab_free_hook?mm/slub.c:1358?[inline] ?slab_free_freelist_hook?mm/slub.c:1381?[inline] ?slab_free?mm/slub.c:2963?[inline] ?kmem_cache_free+0xb5/0x2d0?mm/slub.c:2985 ?putname+0xee/0x130?fs/namei.c:257 ?do_sys_open+0x336/0x720?fs/open.c:1060 ?SYSC_open?fs/open.c:1069?[inline] ?SyS_open+0x2d/0x40?fs/open.c:1064 ?entry_SYSCALL_64_fastpath+0x1f/0xc2 Object?at?ffff880054b70040?belongs?to?cache?names_cache?of?size?4096 The?buggy?address?belongs?to?the?page: page:ffffea000152dc00?count:1?mapcount:0?mapping:??????????(null)?index:0x0?compound_mapcount:?0 flags:?0x500000000008100(slab|head) raw:?0500000000008100?0000000000000000?0000000000000000?0000000100070007 raw:?ffffea0001549a20?ffffea0001b3cc20?ffff88003eb44f40?0000000000000000 page?dumped?because:?kasan:?bad?access?detected Memory?state?around?the?buggy?address: ?ffff880054b6ff00:?00?00?00?00?00?00?00?00?00?00?00?00?00?00?00?00 ?ffff880054b6ff80:?00?00?00?00?00?00?00?00?00?00?00?00?00?00?00?00 >ffff880054b70000:?fc?fc?fc?fc?fc?fc?fc?fc?fb?fb?fb?fb?fb?fb?fb?fb ?????????????????????????^ ?ffff880054b70080:?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb ?ffff880054b70100:?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb?fb ==================================================================

你可以參考syzkaller的代碼倉庫以了解更多細節,也可以參考KASAN的內核文檔部分了解更多細節。如果你在使用syzkaller或者KASAN的過程中遇到任何問題,可以發郵件到syzkaller@googlegroups.com以及kasan-dev@googlegroups.com進行咨詢。


三、AF_PACKET套接字簡介


為了更好了解這個bug、bug所引發的漏洞以及如何利用這個漏洞,我們需要了解AF_PACKET套接字的相關內容,理解它們在內核中的具體實現方式。

3.1 概要

用戶可以使用AF_PACKET在設備驅動層發送或者接受數據包。這樣一來,用戶就可以在物理層之上實現自己的協議,也可以嗅探包含以太網和更高層協議頭部的數據包。為了創建一個AF_PACKET套接字,進程必須在用戶命名空間中具備CAP_NET_RAW權限,以便管理進程的網絡命名空間(network namespace)。你可以參考數據包套接字文檔了解更多細節。需要注意的是,如果內核啟用了非特權用戶命名空間,那么非特權用戶就能創建數據包套接字。

進程可以使用send和recv這兩個系統調用在數據包套接字上發送和接受數據包。然而,數據包套接字提供了一個環形緩沖區(ring buffer)方式使數據包的發送和接受更為高效,這個環形緩沖區可以在內核和用戶空間之間共享使用。我們可以使用PACKET_TX_RING以及PACKET_RX_RING套接字選項創建環形緩沖區。之后,用戶可以使用內存映射方式(mmap)映射這個緩沖區,這樣包數據就能直接讀取和寫入到這個緩沖區中。

內核在處理環形緩沖區時有幾種不同的處理方式。用戶可以使用PACKET_VERSION這個套接字選項選擇具體使用的方式。我們可以參考內核文檔(搜索“TPACKET versions”關鍵字),了解不同版本的環形緩沖區之間的區別。

人們熟知的AF_PACKET套接字的一個應用就是tcpdump工具。使用tcpdump嗅探某個接口上的所有數據包時,處理流程如下所示:

1 2 3 4 5 6 7 8 9 10 11 12 #?strace?tcpdump?-i?eth0 ... socket(PF_PACKET,?SOCK_RAW,?768)????????=?3 ... bind(3,?{sa_family=AF_PACKET,?proto=0x03,?if2,?pkttype=PACKET_HOST,?addr(0)={0,?},?20)?=?0 ... setsockopt(3,?SOL_PACKET,?PACKET_VERSION,?[1],?4)?=?0 ... setsockopt(3,?SOL_PACKET,?PACKET_RX_RING,?{block_size=131072,?block_nr=31,?frame_size=65616,?frame_nr=31},?16)?=?0 ... mmap(NULL,?4063232,?PROT_READ|PROT_WRITE,?MAP_SHARED,?3,?0)?=?0x7f73a6817000 ...

以上系統調用的順序對應如下操作:

1、創建一個套接字:socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL));

2、套接字綁定到eth0接口;

3、通過PACKET_VERSION套接字選項,將環形緩沖區版本設置為TPACKET_V2;

4、使用PACKET_RX_RING套接字選項,創建一個環形緩沖區;

5、將環形緩沖區映射到用戶空間。

在這之后,內核開始將來自于eth0接口的所有數據包存入環形緩沖區中,然后tcpdump會從用戶空間中對應的映射區域讀取這些數據包。

3.2 環形緩沖區(ring buffers)

讓我們了解一下如何在數據包套接字上使用環形緩沖區。出于一致性考慮,我們在下文引用的代碼片段全部來自于4.8版Linux內核。這個內核也是最新的Ubuntu 16.04.2所使用的內核。

現有的文檔主要關注的是TPACKET_V1以及TPACKET_V2版的環形緩沖區。由于本文提到的bug只影響TPACKET_V3版,因此我在下文假設我們處理的都是TPACKET_V3版。另外,我主要關注的是PACKET_RX_RING選項,會忽略另一個PACKET_TX_RING選項。

一個環形緩沖區就是一塊存放數據包的內存區域。每個數據包會存放在一個單獨的幀(frame)中,多個幀會被分組形成內存塊。在TPACKET_V3環形緩沖區中,幀的大小是不固定的,只要幀能夠存放到內存塊中,它的大小就可以取任意值。

為了使用PACKET_RX_RING套接字選項創建TPACKET_V3環形緩沖區,用戶必須為環形緩沖區提供準確的參數值。這些參數會通過一個指向tpacket_req3結構體的指針傳遞給setsockopt調用,該結構體的定義如下所示:

1 2 3 4 5 6 7 8 9 274?struct?tpacket_req3?{ 275?????????unsigned?int????tp_block_size;??/*?Minimal?size?of?contiguous?block?*/ 276?????????unsigned?int????tp_block_nr;????/*?Number?of?blocks?*/ 277?????????unsigned?int????tp_frame_size;??/*?Size?of?frame?*/ 278?????????unsigned?int????tp_frame_nr;????/*?Total?number?of?frames?*/ 279?????????unsigned?int????tp_retire_blk_tov;?/*?timeout?in?msecs?*/ 280?????????unsigned?int????tp_sizeof_priv;?/*?offset?to?private?data?area?*/ 281?????????unsigned?int????tp_feature_req_word; 282?};

tpacket_req3結構體中每個字段的含義如下所示:

1、tp_block_size:每個內存塊的大小;

2、tp_block_nr:內存塊的個數;

3、tp_frame_size:每個幀的大小,TPACKET_V3會忽視這個字段;

4、tp_frame_nr:幀的個數,TPACKET_V3會忽視這個字段;

5、tp_retire_blk_tov:超時時間(毫秒),超時后即使內存塊沒有被數據完全填滿也會被內核停用(參考下文);

6、tp_sizeof_priv:每個內存塊中私有區域的大小。用戶可以使用這個區域存放與每個內存塊有關的任何信息;

7、tp_feature_req_word:一組標志(目前實際上只有一個標志),可以用來啟動某些附加功能。

每個內存塊都有一個頭部與之相關,該頭部存放在為這個內存塊所分配的內存空間的開頭部位。內存塊的頭部結構為tpacket_block_desc,這個結構中有一個block_status字段,該字段用來標識內存塊目前是否正在被內核使用,還是可以提供給用戶使用。在通常的工作流程中,內核會將數據包存儲在某個內存塊中,直到該內存塊被填滿,之后內核會將block_status字段設置為TP_STATUS_USER。之后用戶就可以從內存塊中讀取所需的數據,讀取完畢后,會將block_status設置為TP_STATUS_KERNEL,以便釋放內存塊,歸還給內核使用。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 186?struct?tpacket_hdr_v1?{ 187?????????__u32???block_status; 188?????????__u32???num_pkts; 189?????????__u32???offset_to_first_pkt; ... 233?}; 234? 235?union?tpacket_bd_header_u?{ 236?????????struct?tpacket_hdr_v1?bh1; 237?}; 238? 239?struct?tpacket_block_desc?{ 240?????????__u32?version; 241?????????__u32?offset_to_priv; 242?????????union?tpacket_bd_header_u?hdr; 243?};

同樣,每個幀也有一個與之關聯的頭部,頭部結構為tpacket3_hdr,其中tp_next_offset字段指向同一個內存塊中的下一個幀。

1 2 3 4 162?struct?tpacket3_hdr?{ 163?????????__u32??tp_next_offset; ... 176?};

當某個內存塊完全被數據填滿時(即新的數據包不會填充到剩余的空間中),內存塊就會被關閉然后釋放到用戶空間中(也就是說被內核停用)。由于通常情況下,用戶希望盡可能快地看到數據包,因此內核有可能會提前釋放某個內存塊,即使該內存塊還沒有被數據完全填滿。內核會維護一個計時器,使用tp_retire_blk_tov參數控制超時時間,當超時發生時就會停用當前的內存塊。

還有一種方式,那就是指定每個塊的私有區域,內核不會觸碰這個私有區域,用戶可以使用該區域存儲與內存塊有關的任何信息。這個區域的大小通過tp_sizeof_priv參數進行傳遞。

如果你想更加詳細了解用戶空間程序如何使用TPACKET_V3環形緩沖區,你可以閱讀官方文檔中提供的具體示例(搜索“TPACKET_V3 example”關鍵詞)。


四、AF_PACKET套接字的具體實現


我們來快速了解一下AF_PACKET在內核中的具體實現。

4.1 結構體定義

每當創建一個數據包套接字時,內核中就會分配與之對應的一個packet_sock結構體對象,如下所示:

1 2 3 4 5 6 7 8 9 10 11 12 103?struct?packet_sock?{ ... 105?????????struct?sock?????????????sk; ... 108?????????struct?packet_ring_buffer???????rx_ring; 109?????????struct?packet_ring_buffer???????tx_ring; ... 123?????????enum?tpacket_versions???tp_version; ... 130?????????int?????????????????????(*xmit)(struct?sk_buff?*skb); ... 132?};

這個結構體中,tp_version字段保存了環形緩沖區的版本,在本文案例中,我們通過setsockopt調用,傳入PACKET_VERSION參數,將環形緩沖區的版本設置為TPACKET_V3。rx_ring以及tx_ring字段代表接收(receive)和傳輸(transmit)環形緩沖區,這類緩沖區使用設置了PACKET_RX_RING和PACKET_TX_RING選項的setsockopt調用來創建。這兩個字段的類型為packet_ring_buffer,此類型的定義如下:

1 2 3 4 5 56?struct?packet_ring_buffer?{ 57?????????struct?pgv??????????????*pg_vec; ... 70?????????struct?tpacket_kbdq_core????????prb_bdqc; 71?};

其中pg_vec字段為指向pgv結構體數組的一個指針,數組中的每個元素都保存了對某個內存塊的引用。每個內存塊實際上都是單獨分配的,沒有位于一個連續的內存區域中。

1 2 3 52?struct?pgv?{ 53?????????char?*buffer; 54?};


prb_bdqc字段的類型為tpacket_kbdq_core結構體,這個結構體的字段描述了環形緩沖區的當前狀態,如下所示:

1 2 3 4 5 6 7 8 14?struct?tpacket_kbdq_core?{ ... 21?????????unsigned?short??blk_sizeof_priv; ... 36?????????char????????????*nxt_offset; ... 49?????????struct?timer_list?retire_blk_timer; 50?};

其中blk_sizeof_priv字段包含每個內存塊所屬的私有區域的大小。nxt_offset字段指向當前活躍的內存塊的內部區域,表明下一個數據包的存放位置。retire_blk_timer字段的類型為timer_list結構體,用來描述超時發生后停用當前內存塊的那個計時器,如下所示:

1 2 3 4 5 6 7 8 12?struct?timer_list?{ ... 17?????????struct?hlist_node???????entry; 18?????????unsigned?long???????????expires; 19?????????void????????????????????(*function)(unsigned?long); 20?????????unsigned?long???????????data; ... 31?};

4.2 設置環形緩沖區

內核使用packet_setsockopt()函數處理數據包套接字的選項設置操作。當使用PACKET_VERSION套接字選項時,內核就會將po->tp_version參數的值設置為對應的值。

在這之后,內核會使用PACKET_RX_RING套接字選項,創建一個用于數據包接收的環形緩沖區。內核使用packet_set_ring()函數完成這一過程。這個函數做了很多工作,因此我只是摘抄其中比較重要的那部分代碼。首先,packet_set_ring()函數會對給定的環形緩沖區參數執行一系列完整性檢查操作,如下所示:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 4202?????????????????err?=?-EINVAL; 4203?????????????????if?(unlikely((int)req->tp_block_size?<=?0)) 4204?????????????????????????goto?out; 4205?????????????????if?(unlikely(!PAGE_ALIGNED(req->tp_block_size))) 4206?????????????????????????goto?out; 4207?????????????????if?(po->tp_version?>=?TPACKET_V3?&& 4208?????????????????????(int)(req->tp_block_size?- 4209???????????????????????????BLK_PLUS_PRIV(req_u->req3.tp_sizeof_priv))?<=?0) 4210?????????????????????????goto?out; 4211?????????????????if?(unlikely(req->tp_frame_size?<?po->tp_hdrlen?+ 4212?????????????????????????????????????????po->tp_reserve)) 4213?????????????????????????goto?out; 4214?????????????????if?(unlikely(req->tp_frame_size?&?(TPACKET_ALIGNMENT?-?1))) 4215?????????????????????????goto?out; 4216? 4217?????????????????rb->frames_per_block?=?req->tp_block_size?/?req->tp_frame_size; 4218?????????????????if?(unlikely(rb->frames_per_block?==?0)) 4219?????????????????????????goto?out; 4220?????????????????if?(unlikely((rb->frames_per_block?*?req->tp_block_nr)?!= 4221?????????????????????????????????????????req->tp_frame_nr)) 4222?????????????????????????goto?out;

之后,函數會分配環形緩沖區的內存塊空間:

1 2 3 4 5 4224?????????????????err?=?-ENOMEM; 4225?????????????????order?=?get_order(req->tp_block_size); 4226?????????????????pg_vec?=?alloc_pg_vec(req,?order); 4227?????????????????if?(unlikely(!pg_vec)) 4228?????????????????????????goto?out;

我們應該注意到,alloc_pg_vec()函數使用了內核頁分配器來分配內存塊(我們會在漏洞利用中使用這個方法):

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 4104?static?char?*alloc_one_pg_vec_page(unsigned?long?order) 4105?{ ... 4110?????????buffer?=?(char?*)?__get_free_pages(gfp_flags,?order); 4111?????????if?(buffer) 4112?????????????????return?buffer; ... 4127?} 4128? 4129?static?struct?pgv?*alloc_pg_vec(struct?tpacket_req?*req,?int?order) 4130?{ ... 4139?????????for?(i?=?0;?i?<?block_nr;?i++)?{ 4140?????????????????pg_vec[i].buffer?=?alloc_one_pg_vec_page(order); ... 4143?????????} ... 4152?}

最后,packet_set_ring()函數會調用init_prb_bdqc()函數,后者會通過一些額外的操作,創建一個接收數據包的TPACKET_V3環形緩沖區:

1 2 3 4 5 6 7 8 9 4229?????????????????switch?(po->tp_version)?{ 4230?????????????????case?TPACKET_V3: ... 4234?????????????????????????if?(!tx_ring) 4235?????????????????????????????????init_prb_bdqc(po,?rb,?pg_vec,?req_u); 4236?????????????????????????break; 4237?????????????????default: 4238?????????????????????????break; 4239?????????????????}

init_prb_bdqc()函數會將環形緩沖區參數拷貝到環形緩沖區結構體中的prb_bdqc字段,在這些參數的基礎上計算其他一些參數值,設置停用內存塊的計時器,然后調用prb_open_block()函數初始化第一個內存塊:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 604?static?void?init_prb_bdqc(struct?packet_sock?*po, 605?????????????????????????struct?packet_ring_buffer?*rb, 606?????????????????????????struct?pgv?*pg_vec, 607?????????????????????????union?tpacket_req_u?*req_u) 608?{ 609?????????struct?tpacket_kbdq_core?*p1?=?GET_PBDQC_FROM_RB(rb); 610?????????struct?tpacket_block_desc?*pbd; ... 616?????????pbd?=?(struct?tpacket_block_desc?*)pg_vec[0].buffer; 617?????????p1->pkblk_start?=?pg_vec[0].buffer; 618?????????p1->kblk_size?=?req_u->req3.tp_block_size; ... 630?????????p1->blk_sizeof_priv?=?req_u->req3.tp_sizeof_priv; 631? 632?????????p1->max_frame_len?=?p1->kblk_size?-?BLK_PLUS_PRIV(p1->blk_sizeof_priv); 633?????????prb_init_ft_ops(p1,?req_u); 634?????????prb_setup_retire_blk_timer(po); 635?????????prb_open_block(p1,?pbd); 636?}

prb_open_block()函數做了一些事情,比如它會設置tpacket_kbdq_core結構體中的nxt_offset字段,將其指向緊挨著每個內存塊私有區域的那個地址。

1 2 3 4 5 6 7 8 841?static?void?prb_open_block(struct?tpacket_kbdq_core?*pkc1, 842?????????struct?tpacket_block_desc?*pbd1) 843?{ ... 862?????????pkc1->pkblk_start?=?(char?*)pbd1; 863?????????pkc1->nxt_offset?=?pkc1->pkblk_start?+?BLK_PLUS_PRIV(pkc1->blk_sizeof_priv); ... 876?}

4.3 數據包接收

每當內核收到一個新的數據包時,內核應該會把它保存到環形緩沖區中。內核所使用的關鍵函數為__packet_lookup_frame_in_block(),這個函數的主要工作為:

1、檢查當前活躍的內存塊是否有充足的空間存放數據包;

2、如果空間足夠,保存數據包到當前的內存塊,然后返回;

3、如果空間不夠,就調度下一個內存塊,將數據包保存到下一個內存塊。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 1041?static?void?*__packet_lookup_frame_in_block(struct?packet_sock?*po, 1042?????????????????????????????????????????????struct?sk_buff?*skb, 1043?????????????????????????????????????????????????int?status, 1044?????????????????????????????????????????????unsigned?int?len 1045?????????????????????????????????????????????) 1046?{ 1047?????????struct?tpacket_kbdq_core?*pkc; 1048?????????struct?tpacket_block_desc?*pbd; 1049?????????char?*curr,?*end; 1050? 1051?????????pkc?=?GET_PBDQC_FROM_RB(&po->rx_ring); 1052?????????pbd?=?GET_CURR_PBLOCK_DESC_FROM_CORE(pkc); ... 1075?????????curr?=?pkc->nxt_offset; 1076?????????pkc->skb?=?skb; 1077?????????end?=?(char?*)pbd?+?pkc->kblk_size; 1078? 1079?????????/*?first?try?the?current?block?*/ 1080?????????if?(curr+TOTAL_PKT_LEN_INCL_ALIGN(len)?<?end)?{ 1081?????????????????prb_fill_curr_block(curr,?pkc,?pbd,?len); 1082?????????????????return?(void?*)curr; 1083?????????} 1084? 1085?????????/*?Ok,?close?the?current?block?*/ 1086?????????prb_retire_current_block(pkc,?po,?0); 1087? 1088?????????/*?Now,?try?to?dispatch?the?next?block?*/ 1089?????????curr?=?(char?*)prb_dispatch_next_block(pkc,?po); 1090?????????if?(curr)?{ 1091?????????????????pbd?=?GET_CURR_PBLOCK_DESC_FROM_CORE(pkc); 1092?????????????????prb_fill_curr_block(curr,?pkc,?pbd,?len); 1093?????????????????return?(void?*)curr; 1094?????????} ... 1101?}


五、漏洞分析


5.1 Bug分析

讓我們仔細分析一下packet_set_ring()函數中的檢查過程,如下所示:

1 2 3 4 4207?????????????????if?(po->tp_version?>=?TPACKET_V3?&& 4208?????????????????????(int)(req->tp_block_size?- 4209???????????????????????????BLK_PLUS_PRIV(req_u->req3.tp_sizeof_priv))?<=?0) 4210?????????????????????????goto?out;

這個檢查過程的目的是確保內存塊頭部加上每個內存塊私有數據的大小不超過內存塊自身的大小。這個檢查非常有必要,否則我們在內存塊中就不會有足夠的空間,更不用說能夠預留空間存放數據包了。

然而,事實證明這個檢查過程可以被繞過。如果我們設置了req_u->req3.tp_sizeof_priv的高位字節,那么將這個賦值表達式轉換為整數(int)則會導致一個非常大的正整數值(而不是負值)。如下所示:

1 2 3 4 5 A?=?req->tp_block_size?=?4096?=?0x1000 B?=?req_u->req3.tp_sizeof_priv?=?(1?<<?31)?+?4096?=?0x80001000 BLK_PLUS_PRIV(B)?=?(1?<<?31)?+?4096?+?48?=?0x80001030 A?-?BLK_PLUS_PRIV(B)?=?0x1000?-?0x80001030?=?0x7fffffd0 (int)0x7fffffd0?=?0x7fffffd0?>?0

之后,在init_prb_bdqc()函數中,當req_u->req3.tp_sizeof_priv被復制到p1->blk_sizeof_priv時(參考前文提到的代碼片段),它會被分割成兩個低位字節,而后者的類型是unsigned short。因此我們可以利用這個bug,將tpacket_kbdq_core結構體中的blk_sizeof_priv設置為任意值,以繞過所有的完整性檢查過程。

5.2 漏洞后果

如果我們遍歷net/packet/af_packet.c的源碼,搜索blk_sizeof_priv的用法,我們會發現源碼中有兩處使用了這個函數。

第一個調用位于init_prb_bdqc()函數中,此時blk_sizeof_priv剛被賦值,用來設置max_frame_len變量的值。p1->max_frame_len的值代表可以保存到內存塊中的某個幀大小的最大值。由于我們可以控制p1->blk_sizeof_priv,我們可以使BLK_PLUS_PRIV(p1->blk_sizeof_priv)的值大于p1->kblk_size的值。這樣會導致p1->max_frame_len取的一個非常大的值,比內存塊的大小更大。這樣當某個幀被拷貝到內存塊中時,我們就可以繞過對它的大小檢測過程,最終導致內核堆越界寫入問題。

問題還不僅限于此,blk_sizeof_priv的另一個調用位于prb_open_block()函數中,這個函數用來初始化一個內存塊(參考上文的代碼片段)。在這個函數中,當內核收到新的數據包時,數據包的寫入地址存放在pkc1->nxt_offset中。內核不想覆蓋內存塊頭部以及內存塊對應的私有數據,因此它會將這個地址指向緊挨著頭部和私有數據之后的那個地址。由于我們可以控制blk_sizeof_priv,因此我們也可以控制nxt_offset的最低的兩個字節。這樣我們就能夠控制越界寫入的偏移量。

總而言之,這個bug會導致內核堆越界寫入,我們能控制的大小和偏移量最多可達64k字節。


六、漏洞利用


現在讓我們研究下如何利用這個漏洞。我的目標系統是x86-64架構的Ubuntu 16.04.2,內核版本為4.8.0-41-generic,內核啟用了KASLR、SMEP以及SMAP選項。Ubuntu內核為非特權用戶啟用了用戶命名空間(CONFIG_USER_NS=y,且沒有對空間的使用做出限制),因此非特權用戶可以利用這個漏洞獲取root權限。以下所有的漏洞利用步驟都在用戶命名空間中完成。

Linux內核支持某些增強功能,會導致漏洞利用更加困難。KASLR(Kernel Address Space Layout Randomization,內核地址空間布局隨機化)機制會將內核文本(kernel text)存放到一個隨機的偏移地址,使得攻擊者無法通過跳轉到特定的固定地址完成攻擊;每當內核試圖從用戶空間內存執行代碼時,SMEP(Supervisor Mode Execution Protection,監督模式執行保護)機制就會觸發內核的oops錯誤;每當內核試圖直接訪問用戶空間的內存時,SMAP(Supervisor Mode Access Prevention,監督模式訪問防護)機制也能起到同樣效果。

6.1 堆操作

漏洞的利用思路是利用堆越界寫入bug,覆蓋內存中與溢出內存塊臨近的那個函數指針。因此我們需要對堆進行精確處理,使得某些帶有可觸發函數指針的對象被精確放置在某個環形緩沖區之后。我選擇前文提到的packet_sock結構體對象作為這類對象。我們需要找到一種辦法,使得內核將一個環形緩沖區內存塊和一個packet_sock對象緊緊分配在一起。

正如我前文提到的那樣,環形緩沖區內存塊通過內核頁面分配器進行分配。內核頁面分配器可以為內存塊分配2^n個連續的內存頁面。對于每個n值,分配器會為這類內存塊維護一個freelist表,并在請求內存塊時返回freelist表頭。如果某個n值對應的freelist為空,分配器就會查找第一個滿足m>n且其freelist不為空的值,然后將freelist分為兩半,直到所需的大小得到滿足。因此,如果我們開始以2^n大小重復分配內存塊,那么在某些時候,這些內存塊會由某個高位內存塊分裂所得,且這些內存塊會彼此相鄰。

packet_sock對象通過slab分配器使用kmalloc()函數進行分配。slab分配器主要用于分配比單內存頁還小的那些對象。它使用頁面分配器分配一大塊內存,然后切割這塊內存,生成較小的對象。大的內存塊稱之為slabs,這也就是slab分配器的名稱來源。一組slabs與它們的當前狀態以及一組操作(如“分配對象”操作,以及“釋放對象”操作)一起,統稱為一個緩存(cache)。slab分配器會按照2^n大小,為對象創建一組通用的緩存。每當kmalloc(size)函數被調用時,slab分配器會將size調整到與2的冪最為接近的一個值,使用這個size作為緩存的大小。

由于內核一直使用的都是kmalloc()函數,如果我們試圖分配一個對象,那么這個對象很大的可能會來自于之前已經創建的一個slab中。然而,如果我們開始分配同樣大小的對象,那么在某些時候,slab分配器將會將同樣大小的slab全部用光,然后不得不使用頁面分配器分配另一個slab。

新創建的slab的大小取決于這個slab所用的對象大小。packet_sock結構體的大小大約為1920,而1024 < 1920 <= 2048,這意味著對象的大小會調整到2048,并且會使用kmalloc-2048緩存。對于這個特定的緩存,SLUB分配器(這個分配器是Ubuntu所使用的slab分配器)會使用大小為0x8000的slabs。因此每當分配器用光kmalloc-2048緩存的slab時,它就會使用頁面分配器分配0x8000字節的空間。

了解這些知識后,我們就可以將一個kmalloc-2048的slab和一個環形緩沖區內存塊分配在一起,使用如下步驟:

1、分配許多大小為2048的對象(對我來說512個就可以),填充當前kmalloc-2048緩存中存在的slabs。我們可以創建一堆數據包套接字來分配packet_sock對象,最終達到這個目的。

2、分配許多大小為0x8000的頁面內存塊(對我來說1024個就可以),擠掉頁面分配器的freelists,使得某些高位頁面內存塊被拆分。我們可以創建另一個數據包套接字,將具有1024個大小為0x8000的內存塊的環形緩沖區附加在其后,最終達到這個目的。

3、創建一個數據包套接字,并附加一個內存塊大小為0x8000的環形緩沖區。最后一個內存塊(我總共使用了2個內存塊,原因在下面解釋)就是我們需要溢出的那個內存塊。

4、創建一堆數據包套接字來分配packet_sock結構體對象,最終導致至少有一個新的slab被分配。

這樣我們就可以對堆進行精確操作,如下圖所示:

為了排擠freelists、按照上述方法精確操作堆,我們需要分配的具體數量會根據設置的不同以及內存使用情況的不同而有所不同。對于一個大部分時間處于空閑狀態的Ubuntu主機來說,使用我上面提到的個數就以足夠。

6.2 控制覆蓋操作

上面我提到過,這個bug會導致某個環形緩沖區內存塊的越界寫入,我們可以控制越界的偏移量,也可以控制寫入數據的最大值。事實證明,我們不僅能夠控制最大值和偏移量,我們實際上也能控制正在寫入的精確數據(及其大小)。由于當前正在存放到環形緩沖區中的數據為正在通過特定網絡接口的數據包,我們可以通過回環接口,使用原始套接字手動發送具有任意內容的數據包。如果我們在一個隔離的網絡命名空間中執行這個操作,我們就不會受到外部網絡流量干擾。

此外我們還需要注意其他一些事項。

首先,數據包的大小至少必須為14字節(兩個mac地址占了12字節,而EtherType占了2個字節),以便傳遞到數據包套接字層。這意味著我們必須覆蓋至少14字節的數據,而數據包本身的內容可以取任意值。

其次,出于對齊目的,nxt_offset的最低3個比特必須取值為2。這意味著我們不能在8字節對齊的偏移處開始執行覆蓋操作。

再者,當數據包被接收然后保存到內存塊中時,內核會更新內存塊和幀頭中的某些字段。如果我們將nxt_offset指向我們希望覆蓋的某些特定偏移處,那么內存塊和幀頭結束部位的某些數據很有可能會被破壞。

另一個問題就是,如果我們將nxt_offset指向內存塊的尾部,那么當第一個數據包正在接收時,第一個內存塊會馬上被關閉,這是因為內核會認為第一個內存塊中沒有任何空余的空間(這是正確的處理流程,可以參考__packet_lookup_frame_in_block()函數中的代碼片段)。這不是一個真正的問題,因為我們可以創建一個具備2個內存塊的環形緩沖區。在第一個內存塊被關閉時,我們可以覆蓋第二個內存塊。

6.3 執行代碼

現在,我們需要弄清楚我們需要覆蓋哪個函數指針。在packet_sock結構體中,有一些函數指針字段,我最終使用了如下兩個字段:

1、packet_sock->xmit;

2、packet_sock->rx_ring->prb_bdqc->retire_blk_timer->func

每當用戶嘗試使用數據包套接字發送數據包時,就會調用第一個函數。提升到root權限的通常方法是在某個進程上下文中執行commit_creds(prepare_kernel_cred(0))載荷。對于第一個函數,進程上下文中會調用xmit指針,這意味著我們可以簡單地將其指向一個包含載荷的可執行內存區域就能達到目的。

因此,我使用的是retire_blk_timer字段(Philip Pettersson在他發現的CVE-2016-8655漏洞中也利用了這個字段)。這個字段包含一個函數指針,每當計時器超時時就會觸發這個指針。在正常的數據包套接字操作過程中,retire_blk_timer->func指向的是prb_retire_rx_blk_timer_expired(),調用這個函數時會使用retire_blk_timer->data作為參數,這個參數中包含了packet_sock結構體對象的地址。由于我們可以一起覆蓋函數字段和數據字段,因此我們可以獲得一個非常完美的func(data)覆蓋結果。

當前CPU核心的SMEP和SMAP狀態由CR4寄存器的第20和21個比特位所控制。為了禁用這兩個機制,我們應該將這兩個比特位清零。為了做到這一點,我們可以使用前面獲得的func(data)結果調用native_write_cr4(X)函數,其中X的第20和21個比特位設置為0。具體的X值可能取決于還有哪些CPU功能被啟用。在我測試漏洞利用的那臺機器上,CR4寄存器的值為0x10407f0(因為CPU不支持SMAP功能,因此只有SMEP比特被啟用),因此我使用的X值為0x407f0。我們可以使用sched_setaffinity系統調用,強迫漏洞利用程序在某個CPU核心上運行,由于這個我們禁用了這個核心的SMAP和SMEP功能,這樣一來就能確保用戶空間載荷會在同一個核心上執行。

綜合這些背景知識,我給出了如下的漏洞利用步驟:

1、找到內核文本地址,以繞過KASLR(具體方法參考下文描述)。

2、根據上文描述,操縱內核堆。

3、禁用SMEP和SMAP:

a) 在某個環形緩沖區內存塊之后分配一個packet_sock對象;

b) 將一個接收環形緩沖區附加到packet_sock對象之后,以設置一個內存塊停用計時器;

c) 溢出這個內存塊,覆蓋retire_blk_timer字段。使得retire_blk_timer->func指向native_write_cr4,并且使得retire_blk_timer->data的值與所需的CR4寄存器值相等;

d) 等待計時器執行,現在我們就可以在當前的CPU核心上禁用SMEP和SMAP了。

4、獲取root權限。

a) 分配另一對packet_sock對象和環形緩沖區內存塊。

b) 溢出這個內存塊,覆蓋xmit字段。使得xmit指向用戶空間中分配的一個commit_creds(prepare_kernel_cred(0))函數。

c) 在對應的數據包套接字上發送一個數據包,xmit就會被觸發,然后當前的進程就會獲得root權限。

相應的漏洞利用代碼可以在這個鏈接中找到。

需要注意的是,當我們覆蓋packet_sock結構體中的這兩個字段時,我們最終會破壞在這兩個字段之前的某些字段(因為內核會將某些值寫入內存塊和幀頭中),這可能會導致內核崩潰。然而,如果其他這些字段沒有被內核使用,那么一切都還好。我發現當我們在漏洞利用結束后,嘗試關閉所有的數據包套接字時,mclist這個字段會導致內核崩潰,但我們只要將其清零即可。

6.4 繞過KASLR

在這里我會介紹某些精心構造的技術,來繞過KASLR機制。由于Ubuntu默認情況下不會限制dmesg,我們可以使用grep命令,查找內核syslog日志中的“Freeing SMP“關鍵詞,我們可以在結果中找到一個內核指針,看起來與內核文本地址非常相似,如下所示:

1 2 3 4 5 6 7 8 9 10 #?Boot?#1 $?dmesg?|?grep?'Freeing?SMP' [????0.012520]?Freeing?SMP?alternatives?memory:?32K?(ffffffffa58ee000?-?ffffffffa58f6000) $?sudo?cat?/proc/kallsyms?|?grep?'T?_text' ffffffffa4800000?T?_text #?Boot?#2 $?dmesg?|?grep?'Freeing?SMP' [????0.017487]?Freeing?SMP?alternatives?memory:?32K?(ffffffff85aee000?-?ffffffff85af6000) $?sudo?cat?/proc/kallsyms?|?grep?'T?_text' ffffffff84a00000?T?_text

在dmesg中暴露的地址的基礎上,通過簡單的數學運算,我們可以計算出內核文本地址。使用這種方式計算出來的內核文本地址只有在啟動之后的一段時間內有效,因為syslog只存儲固定行數的這類日志,然后在某些時候抹掉這些日志。

我們可以使用幾個Linux內核加固功能來避免這類信息泄露。第一個功能是dmesg_restrict,它可以限制非特權用戶讀取內核syslog日志。需要注意的是,即使在受限dmesg下,Ubuntu的第一個用戶還是可以從“/var/log/kern.log”以及“/var/log/syslog”處讀取syslog日志,因為該用戶隸屬于adm用戶組。

另一個功能是kptr_restrict,這個功能不允許非特權用戶查閱內核使用“%pK”格式說明符打印的指針。然而,在4.8版內核中,free_reserved_area()函數使用的是“%p”格式符,因此這種情況下kptr_restrict不會發揮作用。4.10版內核中修復了free_reserved_area()函數,這個函數根本就不會打印地址范圍,但這個修改沒有做到向前兼容。


七、修復措施


我們來看看補丁原理。修復前的漏洞代碼如下所示。請記住,用戶可以完全控制tp_block_size和tp_sizeof_priv字段:

1 2 3 4 4207?????????????????if?(po->tp_version?>=?TPACKET_V3?&& 4208?????????????????????(int)(req->tp_block_size?- 4209???????????????????????????BLK_PLUS_PRIV(req_u->req3.tp_sizeof_priv))?<=?0) 4210?????????????????????????goto?out;

在考慮如何修復這個漏洞時,我們想到的第一個思路就是,我們可以比較這兩個值,避免這些值被轉化為非預期的整數(int):

1 2 3 4 4207?????????????????if?(po->tp_version?>=?TPACKET_V3?&& 4208?????????????????????req->tp_block_size?<= 4209???????????????????????????BLK_PLUS_PRIV(req_u->req3.tp_sizeof_priv)) 4210?????????????????????????goto?out;

有趣的是,這個修復措施并不會奏效。原因在于當tp_sizeof_priv接近于unsigned int的最大值時,在處理BLK_PLUS_PRIV時還是會出現溢出問題。

1 2 177?#define?BLK_PLUS_PRIV(sz_of_priv)?\ 178?????????(BLK_HDR_LEN?+?ALIGN((sz_of_priv),?V3_ALIGNMENT))

修改這個溢出問題的一種辦法就是在將tp_sizeof_priv傳遞給BLK_PLUS_PRIV之前,將其轉化為uint64類型值。這就是我在上游代碼中做的修復措施:

1 2 3 4 4207?????????????????if?(po->tp_version?>=?TPACKET_V3?&& 4208?????????????????????req->tp_block_size?<= 4209???????????????????????????BLK_PLUS_PRIV((u64)req_u->req3.tp_sizeof_priv)) 4210?????????????????????????goto?out;


八、緩解措施


我們需要CAP_NET_RAW權限才能創建數據包套接字,非特權用戶可以在用戶命名空間中獲取這個權限。非特權用戶命名空間暴露了許多內核攻擊面,這最終導致了許多可利用的漏洞(如CVE-2017-7184CVE-2016-8655等)。我們可以通過完全禁用用戶命名空間或者禁止非特權用戶使用這類空間來緩解這類內核漏洞。

要徹底禁用用戶命名空間,你可以在禁用CONFIG_USER_NS的條件下,重新編譯自己的內核。在基于Debian的內核中,我們可以將/proc/sys/kernel/unprivileged_userns_clone的值設為0,以限制只有特權用戶才能使用用戶命名空間。從4.9版內核起,上游內核中就具有類似的“/proc/sys/user/max_user_namespaces”設置。


九、總結


就目前而言,(從安全角度來看)Linux內核中存在大量沒有經過完善測試的接口,其中很多接口在諸如Ubuntu等流行的Linux發行版中處于啟用狀態,并且向非特權用戶開放。這種現象顯然是不好的,我們需要好好測試或者進一步限制這些接口。

Syzkaller是個令人驚奇的工具,允許我們對內核接口進行模糊測試。我們甚至可以為其他系統調用添加準系統(barebone)描述信息,這樣通常也能發現許多bug。由于內核中還有許多地方沒有覆蓋到(可能會有一大堆安全漏洞存在于內核中),我們因此也需要大家一起協作,編寫系統調用描述信息,對已有的問題進行修復。我們非常樂意看到讀者通過發起代碼的pull請求,貢獻自己的一份力。


十、參考鏈接


相應的參考鏈接為:

利用代碼:

https://github.com/xairy/kernel-exploits/tree/master/CVE-2017-7308?

修復代碼:

https://github.com/torvalds/linux/commit/2b6867c2ce76c596676bec7d2d525af525fdc6e2?

CVE編號:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7308?

我們用來查找Linux內核錯誤的工具為:

syzkaller:https://github.com/google/syzkaller?

KASAN:https://www.kernel.org/doc/html/latest/dev-tools/kasan.html?

KTSAN:https://github.com/google/ktsan/wiki?

KMSAN:https://github.com/google/kmsan

已整理的Linux內核漏洞利用資料:?

https://github.com/xairy/linux-kernel-exploitation?


原文地址:?http://bobao.360.cn/learning/detail/3885.html

總結

以上是生活随笔為你收集整理的如何通过数据包套接字攻击Linux内核的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。

成年美女黄网站色大免费视频 | 小sao货水好多真紧h无码视频 | 中文字幕无码热在线视频 | 少妇无套内谢久久久久 | 欧美丰满老熟妇xxxxx性 | 国产精品久久久久7777 | 女人色极品影院 | 性欧美牲交xxxxx视频 | 国产人妻精品一区二区三区不卡 | 成人无码精品1区2区3区免费看 | 久久综合网欧美色妞网 | 欧美三级不卡在线观看 | 国产人妖乱国产精品人妖 | 亚洲中文字幕无码中文字在线 | 99re在线播放 | 亚洲 a v无 码免 费 成 人 a v | 曰韩少妇内射免费播放 | 亚洲国产一区二区三区在线观看 | 亚洲一区二区三区含羞草 | 天天做天天爱天天爽综合网 | 内射白嫩少妇超碰 | 国产农村妇女高潮大叫 | 成人aaa片一区国产精品 | 亚洲综合色区中文字幕 | 亚洲欧美综合区丁香五月小说 | 精品亚洲韩国一区二区三区 | 无码人中文字幕 | 自拍偷自拍亚洲精品被多人伦好爽 | 欧美野外疯狂做受xxxx高潮 | 4hu四虎永久在线观看 | 亚洲欧美精品伊人久久 | 国产超碰人人爽人人做人人添 | 久久久久久国产精品无码下载 | 老司机亚洲精品影院 | 国产又爽又黄又刺激的视频 | 一本久道久久综合狠狠爱 | 少妇厨房愉情理9仑片视频 | 国产综合色产在线精品 | 男女下面进入的视频免费午夜 | 无码成人精品区在线观看 | 亚洲欧美中文字幕5发布 | 久久国产精品二国产精品 | 亚洲中文字幕久久无码 | 双乳奶水饱满少妇呻吟 | 国产精品丝袜黑色高跟鞋 | 97无码免费人妻超级碰碰夜夜 | 亚洲精品欧美二区三区中文字幕 | 少妇性荡欲午夜性开放视频剧场 | 亚洲人交乣女bbw | 国产xxx69麻豆国语对白 | 久久亚洲国产成人精品性色 | 国产精品久久久午夜夜伦鲁鲁 | 久久亚洲日韩精品一区二区三区 | 97色伦图片97综合影院 | 天堂在线观看www | 国产午夜精品一区二区三区嫩草 | 国内少妇偷人精品视频免费 | 丰满少妇弄高潮了www | 国产欧美熟妇另类久久久 | 狠狠噜狠狠狠狠丁香五月 | 国产精品二区一区二区aⅴ污介绍 | 日韩成人一区二区三区在线观看 | 又大又硬又爽免费视频 | 狠狠色噜噜狠狠狠7777奇米 | 日本免费一区二区三区最新 | 最近的中文字幕在线看视频 | 日产精品高潮呻吟av久久 | 狠狠色欧美亚洲狠狠色www | 亚洲一区二区三区 | 激情内射日本一区二区三区 | 国产精品久久久 | 一本无码人妻在中文字幕免费 | 熟女少妇在线视频播放 | 欧洲欧美人成视频在线 | 久久久精品国产sm最大网站 | 国产成人av免费观看 | 久久久久国色av免费观看性色 | 综合激情五月综合激情五月激情1 | 亚无码乱人伦一区二区 | 国产亚洲精品久久久久久久久动漫 | 久久久无码中文字幕久... | 亚洲日本va中文字幕 | 色欲av亚洲一区无码少妇 | 2020久久香蕉国产线看观看 | 鲁一鲁av2019在线 | 国产精品视频免费播放 | 我要看www免费看插插视频 | 久久99精品久久久久久动态图 | 日本精品久久久久中文字幕 | 亚洲区欧美区综合区自拍区 | 西西人体www44rt大胆高清 | 成人精品天堂一区二区三区 | 久久精品中文字幕一区 | 成人无码精品一区二区三区 | a在线亚洲男人的天堂 | 国产免费无码一区二区视频 | 在线播放亚洲第一字幕 | 一区二区三区高清视频一 | 久久人妻内射无码一区三区 | 国产av久久久久精东av | 精品日本一区二区三区在线观看 | 国产亚洲欧美在线专区 | 台湾无码一区二区 | 成人欧美一区二区三区黑人免费 | 日韩精品无码一区二区中文字幕 | 成人免费视频视频在线观看 免费 | 免费人成网站视频在线观看 | 久久国产自偷自偷免费一区调 | 国产亚洲人成在线播放 | 日本丰满熟妇videos | 中国大陆精品视频xxxx | 亚洲自偷自偷在线制服 | 99久久人妻精品免费一区 | 小泽玛莉亚一区二区视频在线 | 俄罗斯老熟妇色xxxx | 国产亚洲欧美日韩亚洲中文色 | 伊人久久大香线蕉av一区二区 | 久久精品一区二区三区四区 | 精品日本一区二区三区在线观看 | 白嫩日本少妇做爰 | 97夜夜澡人人双人人人喊 | 精品国产一区二区三区四区在线看 | 黑人巨大精品欧美黑寡妇 | 好男人社区资源 | 好屌草这里只有精品 | 无码av最新清无码专区吞精 | 亚洲人成影院在线观看 | 老头边吃奶边弄进去呻吟 | 亚洲欧洲日本综合aⅴ在线 | 高清国产亚洲精品自在久久 | 天堂а√在线中文在线 | 丰满人妻被黑人猛烈进入 | 亚洲の无码国产の无码影院 | 宝宝好涨水快流出来免费视频 | 亚洲中文无码av永久不收费 | 国产亚洲人成a在线v网站 | 亚洲a无码综合a国产av中文 | 国产精品久久久久久亚洲影视内衣 | 日韩视频 中文字幕 视频一区 | 国产人妻精品一区二区三区不卡 | 亚洲日韩中文字幕在线播放 | 荫蒂被男人添的好舒服爽免费视频 | 国产精品久久久一区二区三区 | www国产亚洲精品久久久日本 | 7777奇米四色成人眼影 | 成人无码视频免费播放 | 国内精品久久久久久中文字幕 | 久久人人爽人人人人片 | 国产suv精品一区二区五 | 成人欧美一区二区三区黑人免费 | 色婷婷欧美在线播放内射 | 麻豆成人精品国产免费 | 中文字幕无码日韩专区 | 人妻体内射精一区二区三四 | 无码av岛国片在线播放 | 久久久久成人精品免费播放动漫 | 亚洲成色在线综合网站 | 狠狠噜狠狠狠狠丁香五月 | 午夜丰满少妇性开放视频 | 日本va欧美va欧美va精品 | 色一情一乱一伦一视频免费看 | 国产成人精品无码播放 | 成人精品天堂一区二区三区 | 欧美老妇与禽交 | 亚洲男人av天堂午夜在 | 精品水蜜桃久久久久久久 | 久久这里只有精品视频9 | 在线观看欧美一区二区三区 | 国产高清不卡无码视频 | 国产三级久久久精品麻豆三级 | 国内揄拍国内精品人妻 | 国产农村妇女高潮大叫 | 精品厕所偷拍各类美女tp嘘嘘 | 国产精品久久久久久久9999 | 久久精品中文字幕大胸 | 97色伦图片97综合影院 | 男女性色大片免费网站 | 人人澡人人妻人人爽人人蜜桃 | 国产精品人人妻人人爽 | 久久久久久九九精品久 | 久久无码中文字幕免费影院蜜桃 | 玩弄中年熟妇正在播放 | 国产色视频一区二区三区 | 天干天干啦夜天干天2017 | 国产电影无码午夜在线播放 | 欧洲美熟女乱又伦 | 国产婷婷色一区二区三区在线 | 成年美女黄网站色大免费视频 | 亚洲爆乳精品无码一区二区三区 | 国产人妻精品午夜福利免费 | 午夜丰满少妇性开放视频 | 日韩欧美中文字幕在线三区 | 装睡被陌生人摸出水好爽 | 国产精品爱久久久久久久 | 中文无码精品a∨在线观看不卡 | 久久久中文久久久无码 | 1000部夫妻午夜免费 | 久久久久成人精品免费播放动漫 | 国产精品二区一区二区aⅴ污介绍 | 亚洲无人区午夜福利码高清完整版 | 欧美国产日产一区二区 | 亚洲国产精品久久久天堂 | 在线精品国产一区二区三区 | 又粗又大又硬又长又爽 | 欧美阿v高清资源不卡在线播放 | 久久国产精品萌白酱免费 | 精品无码一区二区三区爱欲 | 麻豆国产丝袜白领秘书在线观看 | 麻豆国产丝袜白领秘书在线观看 | 欧美性猛交内射兽交老熟妇 | 久久精品女人的天堂av | 人妻少妇被猛烈进入中文字幕 | 性做久久久久久久免费看 | 3d动漫精品啪啪一区二区中 | 色 综合 欧美 亚洲 国产 | 欧美国产日产一区二区 | 老头边吃奶边弄进去呻吟 | 中文字幕日产无线码一区 | 久久精品人人做人人综合试看 | 欧美日韩一区二区免费视频 | 精品日本一区二区三区在线观看 | 日韩人妻系列无码专区 | 在线精品亚洲一区二区 | aⅴ在线视频男人的天堂 | 麻豆果冻传媒2021精品传媒一区下载 | 亚洲人成影院在线无码按摩店 | 四虎永久在线精品免费网址 | 欧美野外疯狂做受xxxx高潮 | 久久精品国产一区二区三区 | 人妻aⅴ无码一区二区三区 | √天堂资源地址中文在线 | 伊人久久大香线焦av综合影院 | 久久精品国产亚洲精品 | 欧美亚洲日韩国产人成在线播放 | 久久99精品久久久久久动态图 | 99er热精品视频 | 成人试看120秒体验区 | 日本欧美一区二区三区乱码 | 少妇人妻大乳在线视频 | 四虎国产精品一区二区 | 18黄暴禁片在线观看 | 精品成在人线av无码免费看 | 国产女主播喷水视频在线观看 | 国产成人精品优优av | 久久婷婷五月综合色国产香蕉 | 国精产品一品二品国精品69xx | 狠狠亚洲超碰狼人久久 | 欧美丰满熟妇xxxx性ppx人交 | 色偷偷av老熟女 久久精品人妻少妇一区二区三区 | 国产国语老龄妇女a片 | 国产午夜手机精彩视频 | 亚洲中文字幕va福利 | 国産精品久久久久久久 | 激情内射亚州一区二区三区爱妻 | 成人欧美一区二区三区黑人 | 天堂无码人妻精品一区二区三区 | 蜜臀aⅴ国产精品久久久国产老师 | 成人免费视频视频在线观看 免费 | 乱人伦人妻中文字幕无码久久网 | 无人区乱码一区二区三区 | 夜夜夜高潮夜夜爽夜夜爰爰 | 亚洲熟妇色xxxxx欧美老妇 | 国产电影无码午夜在线播放 | 成人性做爰aaa片免费看不忠 | 精品无人国产偷自产在线 | 熟妇激情内射com | 成人性做爰aaa片免费看 | 免费网站看v片在线18禁无码 | 欧美zoozzooz性欧美 | 99久久精品日本一区二区免费 | 久久婷婷五月综合色国产香蕉 | 成年美女黄网站色大免费全看 | 无码纯肉视频在线观看 | 国产熟妇另类久久久久 | 六月丁香婷婷色狠狠久久 | 久久久久久av无码免费看大片 | 蜜桃无码一区二区三区 | 亚洲国产欧美在线成人 | 欧美性生交活xxxxxdddd | 无码成人精品区在线观看 | 97人妻精品一区二区三区 | 婷婷色婷婷开心五月四房播播 | 精品厕所偷拍各类美女tp嘘嘘 | 欧美高清在线精品一区 | 免费无码的av片在线观看 | 国产成人精品视频ⅴa片软件竹菊 | 精品偷拍一区二区三区在线看 | 日本www一道久久久免费榴莲 | 丰满人妻翻云覆雨呻吟视频 | 国产成人精品久久亚洲高清不卡 | 青青久在线视频免费观看 | 一本大道伊人av久久综合 | 妺妺窝人体色www婷婷 | 黄网在线观看免费网站 | 久久久久久a亚洲欧洲av冫 | 内射爽无广熟女亚洲 | 一本加勒比波多野结衣 | 日本成熟视频免费视频 | 亚洲国产成人av在线观看 | 国产精品久久久久久久影院 | 色婷婷久久一区二区三区麻豆 | 国产美女精品一区二区三区 | 双乳奶水饱满少妇呻吟 | 亚洲爆乳无码专区 | 婷婷六月久久综合丁香 | 国产精品久久久久久久影院 | 精品国产一区二区三区四区在线看 | 在教室伦流澡到高潮hnp视频 | 中文字幕av伊人av无码av | 日本丰满熟妇videos | 色综合久久久无码网中文 | 亚洲精品欧美二区三区中文字幕 | 亚洲伊人久久精品影院 | 亚洲精品欧美二区三区中文字幕 | 午夜成人1000部免费视频 | 久久亚洲a片com人成 | 国产午夜无码精品免费看 | 六月丁香婷婷色狠狠久久 | 久久久久成人片免费观看蜜芽 | 国产精品99爱免费视频 | 99精品国产综合久久久久五月天 | 麻豆国产97在线 | 欧洲 | 日本熟妇浓毛 | av无码电影一区二区三区 | 国内精品久久毛片一区二区 | 福利一区二区三区视频在线观看 | 最近免费中文字幕中文高清百度 | 午夜福利不卡在线视频 | 伊人久久大香线焦av综合影院 | 300部国产真实乱 | 无码免费一区二区三区 | 国产成人人人97超碰超爽8 | 国产高潮视频在线观看 | 5858s亚洲色大成网站www | 无码人妻出轨黑人中文字幕 | 久久久久久a亚洲欧洲av冫 | 国产熟妇高潮叫床视频播放 | 日本护士毛茸茸高潮 | 久久亚洲中文字幕无码 | 国产在线aaa片一区二区99 | 亚洲中文字幕无码一久久区 | 久久久精品欧美一区二区免费 | 国产成人综合美国十次 | 5858s亚洲色大成网站www | 亚洲一区二区三区 | 欧美性猛交xxxx富婆 | 亚洲色偷偷偷综合网 | 亚洲综合另类小说色区 | 激情国产av做激情国产爱 | 奇米影视888欧美在线观看 | 日本大乳高潮视频在线观看 | 国产亚洲精品久久久久久久 | 国产熟妇高潮叫床视频播放 | 国产精品久久久久久亚洲毛片 | 色综合视频一区二区三区 | 午夜精品久久久久久久久 | 亚洲天堂2017无码中文 | 国产精品国产三级国产专播 | 亚洲精品一区二区三区四区五区 | 天天爽夜夜爽夜夜爽 | 六月丁香婷婷色狠狠久久 | 国产精品人妻一区二区三区四 | 亚洲精品国偷拍自产在线麻豆 | 日韩欧美群交p片內射中文 | 国产激情一区二区三区 | 少妇性l交大片 | 无码国产激情在线观看 | 性做久久久久久久免费看 | 欧美丰满少妇xxxx性 | 人妻无码αv中文字幕久久琪琪布 | 无遮挡国产高潮视频免费观看 | 久久久久av无码免费网 | 国产综合久久久久鬼色 | 男女猛烈xx00免费视频试看 | 无码人妻少妇伦在线电影 | 久久无码专区国产精品s | 小鲜肉自慰网站xnxx | 午夜精品一区二区三区在线观看 | 精品久久久中文字幕人妻 | 亚洲а∨天堂久久精品2021 | 亚洲色大成网站www国产 | 草草网站影院白丝内射 | 国产午夜亚洲精品不卡下载 | 黑人玩弄人妻中文在线 | 男女作爱免费网站 | 十八禁视频网站在线观看 | 色综合久久久无码中文字幕 | 人妻少妇精品无码专区二区 | 国产在线精品一区二区高清不卡 | 夜夜影院未满十八勿进 | 无套内射视频囯产 | 老子影院午夜伦不卡 | 亚洲成av人在线观看网址 | 亚洲欧洲中文日韩av乱码 | 欧美黑人乱大交 | 国产人妻久久精品二区三区老狼 | 国产精华av午夜在线观看 | 狠狠躁日日躁夜夜躁2020 | 99久久精品国产一区二区蜜芽 | 精品一区二区不卡无码av | 国产人妻精品一区二区三区不卡 | 国产av久久久久精东av | 老子影院午夜精品无码 | 精品久久久久久亚洲精品 | 亚洲中文字幕va福利 | 精品一二三区久久aaa片 | 中文字幕av伊人av无码av | 乱中年女人伦av三区 | 亚洲综合在线一区二区三区 | 国产成人无码av在线影院 | 国产99久久精品一区二区 | 免费无码一区二区三区蜜桃大 | 亚洲精品一区二区三区大桥未久 | 最近中文2019字幕第二页 | 欧洲美熟女乱又伦 | 少妇无码一区二区二三区 | 亚洲第一网站男人都懂 | 图片小说视频一区二区 | 久久人人爽人人爽人人片ⅴ | 国产办公室秘书无码精品99 | 97久久超碰中文字幕 | 色窝窝无码一区二区三区色欲 | 国产精品爱久久久久久久 | 国产欧美精品一区二区三区 | 东京无码熟妇人妻av在线网址 | 国产成人综合色在线观看网站 | 丰满少妇熟乱xxxxx视频 | 亚洲中文字幕在线观看 | 纯爱无遮挡h肉动漫在线播放 | 亚洲日韩精品欧美一区二区 | 激情内射亚州一区二区三区爱妻 | 久久精品视频在线看15 | 国产真实乱对白精彩久久 | 午夜精品一区二区三区的区别 | 亚洲娇小与黑人巨大交 | av无码电影一区二区三区 | 人妻有码中文字幕在线 | 最新国产乱人伦偷精品免费网站 | 天天综合网天天综合色 | 娇妻被黑人粗大高潮白浆 | 一本久道久久综合婷婷五月 | 男人和女人高潮免费网站 | 日本乱偷人妻中文字幕 | 欧美日韩亚洲国产精品 | 好男人www社区 | 日韩av无码一区二区三区不卡 | 日韩 欧美 动漫 国产 制服 | 国产成人亚洲综合无码 | 久久精品国产99久久6动漫 | 国产美女精品一区二区三区 | 中文字幕乱码人妻无码久久 | 老熟妇乱子伦牲交视频 | 久久天天躁夜夜躁狠狠 | 欧美激情内射喷水高潮 | 老熟女乱子伦 | 欧美自拍另类欧美综合图片区 | 国产人妻人伦精品1国产丝袜 | 荫蒂添的好舒服视频囗交 | www一区二区www免费 | 国产精品99久久精品爆乳 | 婷婷色婷婷开心五月四房播播 | 国内综合精品午夜久久资源 | 日本精品人妻无码77777 天堂一区人妻无码 | 鲁鲁鲁爽爽爽在线视频观看 | 精品久久久无码人妻字幂 | 亚洲日韩av片在线观看 | 久久精品女人天堂av免费观看 | 亚洲精品一区二区三区在线观看 | 一区二区传媒有限公司 | 疯狂三人交性欧美 | 日韩无套无码精品 | 成人无码视频在线观看网站 | 色综合久久久无码网中文 | 老太婆性杂交欧美肥老太 | 欧美激情一区二区三区成人 | 国产精品人妻一区二区三区四 | 男女作爱免费网站 | 日本精品少妇一区二区三区 | 88国产精品欧美一区二区三区 | 真人与拘做受免费视频一 | 人妻aⅴ无码一区二区三区 | 少妇无码av无码专区在线观看 | 天天拍夜夜添久久精品大 | 欧美一区二区三区 | 久久99精品国产麻豆蜜芽 | 狠狠噜狠狠狠狠丁香五月 | 国产激情综合五月久久 | 国产人妻精品一区二区三区不卡 | 狠狠色丁香久久婷婷综合五月 | 亚洲精品无码人妻无码 | 久久人妻内射无码一区三区 | 黑人粗大猛烈进出高潮视频 | 男女性色大片免费网站 | 国精产品一品二品国精品69xx | 99久久精品国产一区二区蜜芽 | 国产精品久久久久9999小说 | 亚洲综合另类小说色区 | 粉嫩少妇内射浓精videos | 国产一区二区三区精品视频 | 亚洲a无码综合a国产av中文 | 少妇人妻偷人精品无码视频 | 国产亚洲精品久久久久久久 | 国产av一区二区三区最新精品 | 亚洲午夜久久久影院 | 国产精品无码一区二区桃花视频 | 亚洲欧美日韩国产精品一区二区 | 水蜜桃亚洲一二三四在线 | 久久这里只有精品视频9 | 欧美性猛交xxxx富婆 | 国产成人久久精品流白浆 | 色婷婷av一区二区三区之红樱桃 | 野狼第一精品社区 | 一本色道婷婷久久欧美 | 亚洲一区二区三区在线观看网站 | 丰满少妇熟乱xxxxx视频 | 精品无人国产偷自产在线 | 丰满护士巨好爽好大乳 | 精品久久久中文字幕人妻 | 色欲综合久久中文字幕网 | 人人妻人人澡人人爽欧美一区 | 国产无遮挡吃胸膜奶免费看 | 亚洲精品国产精品乱码视色 | 欧洲欧美人成视频在线 | 国产免费久久久久久无码 | 乱人伦中文视频在线观看 | 亚洲精品一区二区三区婷婷月 | 国产特级毛片aaaaaa高潮流水 | 亚洲国产av精品一区二区蜜芽 | 无人区乱码一区二区三区 | 一本久久a久久精品亚洲 | 久久精品国产99精品亚洲 | 日本熟妇人妻xxxxx人hd | 国产成人av免费观看 | 国产情侣作爱视频免费观看 | 国产九九九九九九九a片 | 内射欧美老妇wbb | 中文精品无码中文字幕无码专区 | 亚洲日韩中文字幕在线播放 | 高清不卡一区二区三区 | 日本在线高清不卡免费播放 | 人人妻人人澡人人爽人人精品 | 亚洲欧洲无卡二区视頻 | 97精品国产97久久久久久免费 | 野狼第一精品社区 | 亚洲欧洲无卡二区视頻 | 亚洲va欧美va天堂v国产综合 | 日韩av无码一区二区三区 | 真人与拘做受免费视频 | 欧美老人巨大xxxx做受 | 亚洲精品一区二区三区四区五区 | 国产激情综合五月久久 | 国产精品a成v人在线播放 | 精品国产乱码久久久久乱码 | 国产在线无码精品电影网 | 麻豆av传媒蜜桃天美传媒 | 强辱丰满人妻hd中文字幕 | 一区二区三区高清视频一 | 日日摸夜夜摸狠狠摸婷婷 | 欧美午夜特黄aaaaaa片 | 欧美日韩一区二区综合 | 精品夜夜澡人妻无码av蜜桃 | 内射欧美老妇wbb | а√天堂www在线天堂小说 | 国产成人综合美国十次 | 免费网站看v片在线18禁无码 | 日日天日日夜日日摸 | 1000部夫妻午夜免费 | 亚洲s色大片在线观看 | 大肉大捧一进一出好爽视频 | 一本色道久久综合亚洲精品不卡 | 亚洲综合伊人久久大杳蕉 | 1000部啪啪未满十八勿入下载 | av人摸人人人澡人人超碰下载 | 天天拍夜夜添久久精品大 | 夜夜躁日日躁狠狠久久av | 欧美肥老太牲交大战 | 麻豆国产人妻欲求不满谁演的 | 成人影院yy111111在线观看 | 97无码免费人妻超级碰碰夜夜 | 伊在人天堂亚洲香蕉精品区 | 乱码午夜-极国产极内射 | 日本一卡2卡3卡四卡精品网站 | 国产午夜手机精彩视频 | 丰满人妻一区二区三区免费视频 | 国产区女主播在线观看 | 亚洲自偷自偷在线制服 | 欧美亚洲日韩国产人成在线播放 | 国产成人精品久久亚洲高清不卡 | 99久久精品日本一区二区免费 | 国内精品久久久久久中文字幕 | 中文字幕乱码人妻二区三区 | 中文亚洲成a人片在线观看 | 97se亚洲精品一区 | 亚洲一区av无码专区在线观看 | 亚洲欧美国产精品久久 | 清纯唯美经典一区二区 | 全球成人中文在线 | 亚洲综合伊人久久大杳蕉 | 野狼第一精品社区 | 日本va欧美va欧美va精品 | 无码国产激情在线观看 | yw尤物av无码国产在线观看 | 国产情侣作爱视频免费观看 | 国产精品成人av在线观看 | 亚洲va欧美va天堂v国产综合 | 国产精品久久久久久亚洲毛片 | 丰满人妻一区二区三区免费视频 | 好男人社区资源 | 亚洲一区二区三区无码久久 | 波多野结衣av在线观看 | 99久久久国产精品无码免费 | 国语精品一区二区三区 | 久久久无码中文字幕久... | 精品厕所偷拍各类美女tp嘘嘘 | 奇米影视888欧美在线观看 | а√天堂www在线天堂小说 | 国产精品a成v人在线播放 | 少妇久久久久久人妻无码 | 精品久久综合1区2区3区激情 | 精品一区二区三区无码免费视频 | 亚洲综合另类小说色区 | 兔费看少妇性l交大片免费 | 国产特级毛片aaaaaaa高清 | 国产成人精品无码播放 | 图片小说视频一区二区 | 蜜桃视频韩日免费播放 | 亚洲精品国偷拍自产在线观看蜜桃 | 无码人妻精品一区二区三区下载 | 老子影院午夜伦不卡 | 老熟妇仑乱视频一区二区 | 美女极度色诱视频国产 | 亚洲精品久久久久久一区二区 | 国产精品久久久久久亚洲毛片 | 国产精品久久久 | 成熟女人特级毛片www免费 | 色窝窝无码一区二区三区色欲 | 国产97人人超碰caoprom | 国产成人无码av片在线观看不卡 | 久久综合给久久狠狠97色 | 亚洲一区二区三区四区 | 亚洲国产日韩a在线播放 | 人妻人人添人妻人人爱 | 国产午夜视频在线观看 | 强奷人妻日本中文字幕 | 天天综合网天天综合色 | 十八禁视频网站在线观看 | 午夜时刻免费入口 | 婷婷五月综合激情中文字幕 | 日日摸日日碰夜夜爽av | 日产精品高潮呻吟av久久 | 狠狠色噜噜狠狠狠狠7777米奇 | 人妻少妇精品久久 | 欧美激情内射喷水高潮 | 亚洲色偷偷男人的天堂 | 日本高清一区免费中文视频 | 久久精品成人欧美大片 | 荫蒂添的好舒服视频囗交 | 99麻豆久久久国产精品免费 | 中文字幕人成乱码熟女app | 久久午夜无码鲁丝片秋霞 | 特级做a爰片毛片免费69 | 又大又黄又粗又爽的免费视频 | 亚洲精品一区二区三区在线 | 99精品久久毛片a片 | 在线观看免费人成视频 | aa片在线观看视频在线播放 | 黑森林福利视频导航 | 亚洲一区二区三区播放 | 综合网日日天干夜夜久久 | 国产舌乚八伦偷品w中 | 一二三四社区在线中文视频 | 熟女俱乐部五十路六十路av | 99视频精品全部免费免费观看 | 成人精品一区二区三区中文字幕 | 中文字幕 亚洲精品 第1页 | 亚洲精品一区三区三区在线观看 | 亚洲国产精品成人久久蜜臀 | 黑人大群体交免费视频 | 国产熟妇高潮叫床视频播放 | 久久熟妇人妻午夜寂寞影院 | 九月婷婷人人澡人人添人人爽 | 久久国产劲爆∧v内射 | 精品久久久久久亚洲精品 | 天天躁夜夜躁狠狠是什么心态 | 免费中文字幕日韩欧美 | 日本免费一区二区三区最新 | 亚洲一区二区三区香蕉 | 免费无码的av片在线观看 | 日韩人妻无码一区二区三区久久99 | 国产极品美女高潮无套在线观看 | 欧美丰满熟妇xxxx性ppx人交 | 天天做天天爱天天爽综合网 | 夜夜夜高潮夜夜爽夜夜爰爰 | 久久精品国产一区二区三区 | 国産精品久久久久久久 | 国产精品自产拍在线观看 | 欧美性生交活xxxxxdddd | 欧美亚洲日韩国产人成在线播放 | 白嫩日本少妇做爰 | 久久国产自偷自偷免费一区调 | 欧美人与禽猛交狂配 | 图片区 小说区 区 亚洲五月 | 在线观看欧美一区二区三区 | 久久精品国产日本波多野结衣 | 免费人成网站视频在线观看 | 丝袜足控一区二区三区 | 无码av岛国片在线播放 | 国产精华av午夜在线观看 | 强辱丰满人妻hd中文字幕 | 精品无码一区二区三区的天堂 | 性啪啪chinese东北女人 | 成人欧美一区二区三区黑人免费 | 亚洲自偷自拍另类第1页 | 99久久精品无码一区二区毛片 | 欧美一区二区三区 | 久久99精品久久久久婷婷 | 久久熟妇人妻午夜寂寞影院 | 亚洲a无码综合a国产av中文 | 小泽玛莉亚一区二区视频在线 | 日韩精品a片一区二区三区妖精 | 婷婷五月综合激情中文字幕 | 欧美丰满熟妇xxxx | 亚洲阿v天堂在线 | 亚洲啪av永久无码精品放毛片 | 少妇无码一区二区二三区 | 超碰97人人做人人爱少妇 | 国产亚洲日韩欧美另类第八页 | 精品国产一区二区三区四区在线看 | 国产人成高清在线视频99最全资源 | 免费无码一区二区三区蜜桃大 | 午夜性刺激在线视频免费 | 青春草在线视频免费观看 | 久久久久av无码免费网 | 99er热精品视频 | 波多野结衣aⅴ在线 | 亚洲日本va中文字幕 | aⅴ亚洲 日韩 色 图网站 播放 | 熟女少妇在线视频播放 | 一区二区三区高清视频一 | 国产午夜精品一区二区三区嫩草 | 国产极品视觉盛宴 | 国产激情无码一区二区 | 亚洲 日韩 欧美 成人 在线观看 | 国产福利视频一区二区 | 亚洲爆乳精品无码一区二区三区 | 久久人人爽人人人人片 | 久久人人爽人人爽人人片ⅴ | 东京无码熟妇人妻av在线网址 | 欧美老妇与禽交 | 国产舌乚八伦偷品w中 | 丰满人妻翻云覆雨呻吟视频 | 国产亚洲日韩欧美另类第八页 | 欧美日韩在线亚洲综合国产人 | 强开小婷嫩苞又嫩又紧视频 | 欧美三级不卡在线观看 | 2019nv天堂香蕉在线观看 | 久久伊人色av天堂九九小黄鸭 | 中文字幕精品av一区二区五区 | 亚洲人交乣女bbw | 自拍偷自拍亚洲精品被多人伦好爽 | 欧美日韩人成综合在线播放 | 国产国语老龄妇女a片 | 无码一区二区三区在线 | 国产办公室秘书无码精品99 | 少妇高潮喷潮久久久影院 | 免费观看激色视频网站 | 国产乱人伦av在线无码 | 无码人妻丰满熟妇区毛片18 | 中文字幕乱码人妻二区三区 | 国产美女极度色诱视频www | 国精产品一品二品国精品69xx | 精品熟女少妇av免费观看 | 无码av岛国片在线播放 | 久久亚洲中文字幕精品一区 | 欧美兽交xxxx×视频 | 国产xxx69麻豆国语对白 | 天堂无码人妻精品一区二区三区 | 国産精品久久久久久久 | 久久久www成人免费毛片 | 天天躁夜夜躁狠狠是什么心态 | 精品国产福利一区二区 | 无码人妻出轨黑人中文字幕 | 东北女人啪啪对白 | 精品国产麻豆免费人成网站 | 思思久久99热只有频精品66 | 国产性猛交╳xxx乱大交 国产精品久久久久久无码 欧洲欧美人成视频在线 | 天天做天天爱天天爽综合网 | 一本大道伊人av久久综合 | 野外少妇愉情中文字幕 | 久久精品视频在线看15 | 国产亚洲精品久久久久久大师 | 欧美喷潮久久久xxxxx | 亚洲中文无码av永久不收费 | 天天av天天av天天透 | 丰满人妻翻云覆雨呻吟视频 | 日韩欧美群交p片內射中文 | 亚洲最大成人网站 | 无码毛片视频一区二区本码 | 国产热a欧美热a在线视频 | 国产麻豆精品精东影业av网站 | 人人妻人人澡人人爽欧美精品 | 性欧美videos高清精品 | 无码av岛国片在线播放 | 欧美大屁股xxxxhd黑色 | 人人爽人人澡人人高潮 | 精品国产精品久久一区免费式 | 精品久久久久久人妻无码中文字幕 | 国产在线aaa片一区二区99 | 国精品人妻无码一区二区三区蜜柚 | 国产亚洲精品久久久ai换 | 亚洲第一无码av无码专区 | 综合人妻久久一区二区精品 | 亚洲天堂2017无码中文 | 国产av久久久久精东av | 高潮喷水的毛片 | 好爽又高潮了毛片免费下载 | 内射巨臀欧美在线视频 | 欧美成人午夜精品久久久 | 亚洲成av人在线观看网址 | 免费网站看v片在线18禁无码 | 国产偷自视频区视频 | 无码人妻黑人中文字幕 | 国色天香社区在线视频 | 亚洲无人区午夜福利码高清完整版 | 无码帝国www无码专区色综合 | 亚洲欧美中文字幕5发布 | 国产高清不卡无码视频 | 国产精品内射视频免费 | 亚洲伊人久久精品影院 | 国产成人精品无码播放 | 亚洲综合无码一区二区三区 | 全黄性性激高免费视频 | 色婷婷欧美在线播放内射 | 97无码免费人妻超级碰碰夜夜 | 婷婷五月综合缴情在线视频 | 中国女人内谢69xxxxxa片 | 亚洲小说图区综合在线 | 性欧美牲交在线视频 | 麻豆国产丝袜白领秘书在线观看 | 色婷婷久久一区二区三区麻豆 | 377p欧洲日本亚洲大胆 | 亚洲国产日韩a在线播放 | 国产午夜福利100集发布 | 又大又硬又爽免费视频 | 精品欧洲av无码一区二区三区 | 东京一本一道一二三区 | 久久午夜无码鲁丝片秋霞 | 精品无码一区二区三区的天堂 | 国产激情精品一区二区三区 | 2020最新国产自产精品 | 国产精品久久久久久久9999 | 亚洲gv猛男gv无码男同 | 色窝窝无码一区二区三区色欲 | 欧美野外疯狂做受xxxx高潮 | 98国产精品综合一区二区三区 | 中文无码伦av中文字幕 | 欧美大屁股xxxxhd黑色 | 综合人妻久久一区二区精品 | 欧美成人免费全部网站 | 国产免费久久精品国产传媒 | 国产精品久久久av久久久 | 亚洲精品成人av在线 | 亚洲欧美精品aaaaaa片 | 国产综合色产在线精品 | 中文字幕乱码亚洲无线三区 | 丰满人妻精品国产99aⅴ | 国产av无码专区亚洲a∨毛片 | 成人精品视频一区二区三区尤物 | 免费无码午夜福利片69 | 最近免费中文字幕中文高清百度 | 嫩b人妻精品一区二区三区 | 国产又爽又猛又粗的视频a片 | 2019午夜福利不卡片在线 | 大肉大捧一进一出好爽视频 | 一本色道久久综合狠狠躁 | 久久精品国产精品国产精品污 | 亚洲色成人中文字幕网站 | 日本一卡2卡3卡4卡无卡免费网站 国产一区二区三区影院 | 一本一道久久综合久久 | 爆乳一区二区三区无码 | 男女超爽视频免费播放 | 国内精品九九久久久精品 | 国产做国产爱免费视频 | 国产精品人人爽人人做我的可爱 | 国产高清不卡无码视频 | 久久久国产一区二区三区 | 国产69精品久久久久app下载 | 熟妇人妻激情偷爽文 | 国产精品va在线观看无码 | 国产综合色产在线精品 | 国产午夜福利100集发布 | 国产一区二区不卡老阿姨 | 欧洲精品码一区二区三区免费看 | 欧美人妻一区二区三区 | 亚洲日韩乱码中文无码蜜桃臀网站 | 日韩精品无码一区二区中文字幕 | 最近的中文字幕在线看视频 | 亚洲国产精品成人久久蜜臀 | 中文字幕无线码 | 国产舌乚八伦偷品w中 | 鲁鲁鲁爽爽爽在线视频观看 | 牲欲强的熟妇农村老妇女 | 亚洲综合无码一区二区三区 | 麻豆果冻传媒2021精品传媒一区下载 | 亚洲の无码国产の无码影院 | 成在人线av无码免观看麻豆 | 青草青草久热国产精品 | 亚洲精品国产精品乱码视色 | 窝窝午夜理论片影院 | 中文字幕av无码一区二区三区电影 | 在线播放无码字幕亚洲 | 波多野42部无码喷潮在线 | 亚洲一区av无码专区在线观看 | 午夜成人1000部免费视频 | 亚洲一区二区三区国产精华液 | 久久综合久久自在自线精品自 | 亚洲国产精品无码久久久久高潮 | 亚洲欧美中文字幕5发布 | 在线视频网站www色 | 未满小14洗澡无码视频网站 | 亚洲精品久久久久中文第一幕 | 久久亚洲中文字幕无码 | 国产成人久久精品流白浆 | 亚洲精品无码人妻无码 | 久久久久国色av免费观看性色 | 国内综合精品午夜久久资源 | 性色欲网站人妻丰满中文久久不卡 | 亚洲精品久久久久久一区二区 | 牛和人交xxxx欧美 | 国产精品人人妻人人爽 | 午夜熟女插插xx免费视频 | 色婷婷av一区二区三区之红樱桃 | 色窝窝无码一区二区三区色欲 | 久久久亚洲欧洲日产国码αv | 久久综合久久自在自线精品自 | 欧美熟妇另类久久久久久不卡 | 未满小14洗澡无码视频网站 | 中文精品久久久久人妻不卡 | 久久精品人妻少妇一区二区三区 | 中文字幕无码乱人伦 | 人妻天天爽夜夜爽一区二区 | 国产九九九九九九九a片 | 成人片黄网站色大片免费观看 | 色老头在线一区二区三区 | 2019nv天堂香蕉在线观看 | 澳门永久av免费网站 | 撕开奶罩揉吮奶头视频 | 娇妻被黑人粗大高潮白浆 | 亚洲 a v无 码免 费 成 人 a v | 中文精品无码中文字幕无码专区 | 欧洲极品少妇 | 狠狠色噜噜狠狠狠狠7777米奇 | 青青青手机频在线观看 | 精品厕所偷拍各类美女tp嘘嘘 | 男人扒开女人内裤强吻桶进去 | 国产精品久久久 | 十八禁真人啪啪免费网站 | 天海翼激烈高潮到腰振不止 | 高潮毛片无遮挡高清免费视频 | 亚洲精品中文字幕乱码 | 97精品国产97久久久久久免费 | 欧美第一黄网免费网站 | 亚洲第一无码av无码专区 | 粉嫩少妇内射浓精videos | 日本精品少妇一区二区三区 | 波多野结衣av在线观看 | 在线精品国产一区二区三区 | 国产精品久久久久久久影院 | 无码午夜成人1000部免费视频 | 精品国偷自产在线视频 | 久久久无码中文字幕久... | 精品久久久中文字幕人妻 | 性生交大片免费看女人按摩摩 | 未满成年国产在线观看 | 国产精品久久久午夜夜伦鲁鲁 | 国产亚洲精品久久久闺蜜 | 久久天天躁狠狠躁夜夜免费观看 | 色诱久久久久综合网ywww | 久久午夜无码鲁丝片秋霞 | 熟妇女人妻丰满少妇中文字幕 | 免费无码的av片在线观看 | 天堂久久天堂av色综合 | 大乳丰满人妻中文字幕日本 | 国产偷自视频区视频 | 无码精品人妻一区二区三区av | av在线亚洲欧洲日产一区二区 | 领导边摸边吃奶边做爽在线观看 | 欧美第一黄网免费网站 | 狠狠噜狠狠狠狠丁香五月 | 人妻少妇精品无码专区动漫 | 一本久道久久综合狠狠爱 | 精品国产青草久久久久福利 | 亚洲va欧美va天堂v国产综合 | 成人无码影片精品久久久 | 免费观看激色视频网站 | 亚洲国产一区二区三区在线观看 | 国产免费无码一区二区视频 | 亚洲精品中文字幕乱码 | 国产成人精品优优av | 国产一区二区三区影院 | 免费中文字幕日韩欧美 | 精品国产av色一区二区深夜久久 | 欧美人与禽zoz0性伦交 | 漂亮人妻洗澡被公强 日日躁 | 欧美激情一区二区三区成人 | 国产成人午夜福利在线播放 | 亚洲中文字幕无码一久久区 | 日本www一道久久久免费榴莲 | 爱做久久久久久 | 国产在线一区二区三区四区五区 | 免费观看激色视频网站 | 国产亚洲欧美日韩亚洲中文色 | 国内精品九九久久久精品 | 一本大道伊人av久久综合 | 国产av一区二区精品久久凹凸 | 99久久精品无码一区二区毛片 | aⅴ在线视频男人的天堂 | 九九久久精品国产免费看小说 | 国产97人人超碰caoprom | 爽爽影院免费观看 | 人妻少妇精品无码专区二区 | 少妇太爽了在线观看 | 青青草原综合久久大伊人精品 | 色老头在线一区二区三区 | 国产猛烈高潮尖叫视频免费 | 丰腴饱满的极品熟妇 | 亚洲a无码综合a国产av中文 | 国产精品国产自线拍免费软件 | 久久久久成人片免费观看蜜芽 | 99久久精品午夜一区二区 | 亚洲成在人网站无码天堂 | 强辱丰满人妻hd中文字幕 | 精品国产麻豆免费人成网站 | 偷窥日本少妇撒尿chinese | 亚洲va欧美va天堂v国产综合 | 国产精品资源一区二区 | 亚洲小说春色综合另类 | 午夜福利电影 | 无码毛片视频一区二区本码 | 色 综合 欧美 亚洲 国产 | 色婷婷香蕉在线一区二区 | 一本加勒比波多野结衣 | 日韩人妻系列无码专区 | 性史性农村dvd毛片 | 亚洲中文字幕在线观看 | www国产精品内射老师 | 欧美人与动性行为视频 | 久久综合色之久久综合 | 婷婷五月综合缴情在线视频 | 成人欧美一区二区三区黑人免费 | 精品无人国产偷自产在线 | 丰满人妻被黑人猛烈进入 | 九月婷婷人人澡人人添人人爽 | 久久综合色之久久综合 | 日本一区二区更新不卡 | 国产特级毛片aaaaaa高潮流水 | 亚洲午夜久久久影院 | 国产精品无套呻吟在线 | 国产后入清纯学生妹 | 国产免费久久精品国产传媒 | 清纯唯美经典一区二区 | 欧美丰满熟妇xxxx | 欧美阿v高清资源不卡在线播放 | 国产精品久久久久7777 | 久久久av男人的天堂 | 熟妇激情内射com | 国产精品久久久久影院嫩草 | 两性色午夜免费视频 | 亚洲精品国产第一综合99久久 | 国产九九九九九九九a片 | 国产av无码专区亚洲a∨毛片 | 久久午夜夜伦鲁鲁片无码免费 | 国产真实夫妇视频 | 色婷婷综合中文久久一本 | 成人影院yy111111在线观看 | 国产精品无套呻吟在线 | 亚洲日本一区二区三区在线 | 亚洲中文无码av永久不收费 | 国产亚洲精品精品国产亚洲综合 | 国产精品对白交换视频 | 久青草影院在线观看国产 | 欧美丰满少妇xxxx性 | 国产激情一区二区三区 | 精品一区二区三区无码免费视频 | 人妻天天爽夜夜爽一区二区 | 狠狠色欧美亚洲狠狠色www | 丝袜美腿亚洲一区二区 | 免费人成网站视频在线观看 | 国产成人人人97超碰超爽8 | 国产国产精品人在线视 | 丁香花在线影院观看在线播放 | 亚洲中文字幕无码中字 | 日日噜噜噜噜夜夜爽亚洲精品 | 国产av人人夜夜澡人人爽麻豆 | 亚洲人成网站在线播放942 | 人人妻人人澡人人爽人人精品 | 亚洲性无码av中文字幕 | 大肉大捧一进一出视频出来呀 | 少妇性荡欲午夜性开放视频剧场 | 啦啦啦www在线观看免费视频 | 3d动漫精品啪啪一区二区中 | 久久久久99精品国产片 | 日日摸天天摸爽爽狠狠97 | 免费观看黄网站 | 精品人妻人人做人人爽 | 成熟女人特级毛片www免费 | 色一情一乱一伦一视频免费看 | 午夜无码人妻av大片色欲 | 97人妻精品一区二区三区 | 欧洲极品少妇 | 在线成人www免费观看视频 | 欧洲熟妇精品视频 | 天堂亚洲2017在线观看 | 东京热一精品无码av | 少妇愉情理伦片bd | 亚洲无人区午夜福利码高清完整版 | 亚洲国产精品一区二区美利坚 | 天海翼激烈高潮到腰振不止 | 久热国产vs视频在线观看 | 亚洲高清偷拍一区二区三区 | 国产亚洲精品久久久久久久久动漫 | 300部国产真实乱 | 亚洲熟妇色xxxxx亚洲 | 日本在线高清不卡免费播放 | 激情国产av做激情国产爱 | 国产精品亚洲一区二区三区喷水 | 免费国产黄网站在线观看 | 99精品视频在线观看免费 | 免费国产黄网站在线观看 | 午夜丰满少妇性开放视频 | 九九综合va免费看 | 久久99久久99精品中文字幕 | 亚洲中文字幕在线无码一区二区 | 国产av无码专区亚洲awww | 少妇高潮喷潮久久久影院 | 免费观看又污又黄的网站 | 日本一本二本三区免费 | 樱花草在线社区www | 国产亚洲欧美日韩亚洲中文色 | 色综合久久中文娱乐网 | 狠狠亚洲超碰狼人久久 | 麻豆人妻少妇精品无码专区 | 亚洲中文字幕成人无码 | 亚洲日韩一区二区三区 | 爆乳一区二区三区无码 | 国产精品办公室沙发 | 婷婷丁香五月天综合东京热 | 亚洲精品久久久久中文第一幕 | 无码av岛国片在线播放 | 伊人久久大香线蕉av一区二区 | 18禁黄网站男男禁片免费观看 | 欧美乱妇无乱码大黄a片 | 丰满护士巨好爽好大乳 | 日本大香伊一区二区三区 | 熟女少妇在线视频播放 | 亚洲中文字幕av在天堂 | 中文字幕无码av激情不卡 | 亚洲国产成人a精品不卡在线 | 无码毛片视频一区二区本码 | 一本久道高清无码视频 | 波多野结衣aⅴ在线 | 国产一区二区不卡老阿姨 | 四虎4hu永久免费 | 成年美女黄网站色大免费全看 | 性欧美牲交xxxxx视频 | 国产亚洲视频中文字幕97精品 | 在线а√天堂中文官网 | 国产精品久久久久9999小说 | 亚洲日本一区二区三区在线 | 成人欧美一区二区三区黑人免费 | 极品嫩模高潮叫床 | 无码av中文字幕免费放 | 亚洲va欧美va天堂v国产综合 | 中文字幕亚洲情99在线 | 国产亲子乱弄免费视频 | 日本精品少妇一区二区三区 | 亚欧洲精品在线视频免费观看 | 精品厕所偷拍各类美女tp嘘嘘 | 精品无码成人片一区二区98 | 国产办公室秘书无码精品99 | 国产内射爽爽大片视频社区在线 | 国产无遮挡吃胸膜奶免费看 | 久久亚洲a片com人成 | 亚洲精品一区三区三区在线观看 | 成 人影片 免费观看 | a国产一区二区免费入口 | 性生交大片免费看l | 色 综合 欧美 亚洲 国产 | 蜜臀aⅴ国产精品久久久国产老师 | 国产极品视觉盛宴 | 亚洲成a人一区二区三区 | 亚洲中文字幕成人无码 | 高清国产亚洲精品自在久久 | 红桃av一区二区三区在线无码av | 在线天堂新版最新版在线8 | 国产精品国产三级国产专播 | 少妇无码吹潮 | 18禁止看的免费污网站 | 亚洲国产av美女网站 | 又紧又大又爽精品一区二区 | 特黄特色大片免费播放器图片 | 2020久久香蕉国产线看观看 | 亚洲精品美女久久久久久久 | 青青青爽视频在线观看 | 日韩少妇白浆无码系列 | 成人亚洲精品久久久久软件 | 中国女人内谢69xxxx | 精品午夜福利在线观看 | 1000部夫妻午夜免费 | 蜜臀av在线播放 久久综合激激的五月天 | 麻豆国产97在线 | 欧洲 | 自拍偷自拍亚洲精品被多人伦好爽 | 天天躁夜夜躁狠狠是什么心态 | av人摸人人人澡人人超碰下载 | 中文字幕乱码人妻二区三区 | 在线成人www免费观看视频 | 动漫av一区二区在线观看 | a国产一区二区免费入口 | 女人色极品影院 | 一本久久伊人热热精品中文字幕 | 国产亚洲美女精品久久久2020 | 丰满肥臀大屁股熟妇激情视频 | 一本色道久久综合亚洲精品不卡 | 中文字幕无码av激情不卡 | 国产精品人妻一区二区三区四 | 未满小14洗澡无码视频网站 | 欧美日韩视频无码一区二区三 | 人妻少妇精品视频专区 | 中文字幕乱码亚洲无线三区 | 国产另类ts人妖一区二区 | 免费国产成人高清在线观看网站 | 成人免费视频视频在线观看 免费 | 久久久久人妻一区精品色欧美 | 国产成人精品一区二区在线小狼 | 国产在线精品一区二区三区直播 | 激情内射日本一区二区三区 | 无码精品人妻一区二区三区av | 九九久久精品国产免费看小说 | 欧美性生交xxxxx久久久 | 无码一区二区三区在线 | 亚洲狠狠色丁香婷婷综合 | 亚洲成a人片在线观看日本 | 人妻中文无码久热丝袜 | 成人欧美一区二区三区 | 熟女少妇人妻中文字幕 | 国产精品国产自线拍免费软件 | 亚洲精品成a人在线观看 | 一本久久伊人热热精品中文字幕 | 亚拍精品一区二区三区探花 | 激情五月综合色婷婷一区二区 | 一本色道久久综合亚洲精品不卡 | 在线 国产 欧美 亚洲 天堂 | av在线亚洲欧洲日产一区二区 | 亚洲一区二区三区 | 免费无码av一区二区 | 日本高清一区免费中文视频 | 国内精品人妻无码久久久影院 | 天堂无码人妻精品一区二区三区 | 国产精品鲁鲁鲁 | 丰满人妻翻云覆雨呻吟视频 | 午夜丰满少妇性开放视频 | 一本无码人妻在中文字幕免费 | 精品人人妻人人澡人人爽人人 | 日韩精品a片一区二区三区妖精 | 精品乱子伦一区二区三区 | 综合激情五月综合激情五月激情1 | 精品国偷自产在线视频 | 亚洲日韩精品欧美一区二区 | 日日鲁鲁鲁夜夜爽爽狠狠 | 中文久久乱码一区二区 | 中文无码成人免费视频在线观看 | 无码精品国产va在线观看dvd | 成人影院yy111111在线观看 | 欧美老妇与禽交 | 日本爽爽爽爽爽爽在线观看免 | 久热国产vs视频在线观看 | 波多野结衣一区二区三区av免费 | 国产亚洲精品久久久久久久 | 亚洲色成人中文字幕网站 | 精品偷拍一区二区三区在线看 | 7777奇米四色成人眼影 | 欧美人妻一区二区三区 | 亚洲国产精品毛片av不卡在线 | 高中生自慰www网站 | 久久久久成人片免费观看蜜芽 | 丰满肥臀大屁股熟妇激情视频 | 性欧美疯狂xxxxbbbb | 最新国产乱人伦偷精品免费网站 | 丁香啪啪综合成人亚洲 | 99久久精品日本一区二区免费 | 伊人色综合久久天天小片 | 国内揄拍国内精品少妇国语 | 久久99精品国产麻豆蜜芽 | 久久亚洲精品中文字幕无男同 | 成人免费视频一区二区 | 色 综合 欧美 亚洲 国产 | 少妇人妻大乳在线视频 | 亚洲欧美综合区丁香五月小说 | 国产凸凹视频一区二区 | 亚洲欧美日韩成人高清在线一区 | 日韩少妇白浆无码系列 | 天堂а√在线中文在线 | 国产莉萝无码av在线播放 | 精品久久久中文字幕人妻 | 国产精品福利视频导航 | 国产精品久久久久久亚洲毛片 | 国产精品久久久一区二区三区 | 一本久久伊人热热精品中文字幕 | 久久99精品久久久久久 | ass日本丰满熟妇pics | 久热国产vs视频在线观看 | 国产精品无码成人午夜电影 | 亚洲国产欧美日韩精品一区二区三区 | 亚洲综合伊人久久大杳蕉 | 曰本女人与公拘交酡免费视频 | 97久久国产亚洲精品超碰热 | 国产精品久久久久无码av色戒 | 又粗又大又硬毛片免费看 | 无码av岛国片在线播放 | 日韩亚洲欧美精品综合 | 国产精品鲁鲁鲁 | 亚洲男人av天堂午夜在 | 男人的天堂av网站 | 亚洲经典千人经典日产 | 初尝人妻少妇中文字幕 | 男女下面进入的视频免费午夜 | 日本大乳高潮视频在线观看 | 精品无码国产自产拍在线观看蜜 | 麻豆国产丝袜白领秘书在线观看 | 在线a亚洲视频播放在线观看 | 亚洲日韩av一区二区三区中文 | 久久精品国产精品国产精品污 | 亚洲啪av永久无码精品放毛片 | 久久久亚洲欧洲日产国码αv | 性欧美牲交xxxxx视频 | 亚洲国产精品久久久久久 | 九九综合va免费看 | 精品国产av色一区二区深夜久久 | 国产精品人人爽人人做我的可爱 | 国内少妇偷人精品视频免费 | 国产乡下妇女做爰 | 国内少妇偷人精品视频 | 亚洲日韩av一区二区三区中文 | 人妻互换免费中文字幕 | 我要看www免费看插插视频 | 亚洲欧美国产精品久久 | 亚洲の无码国产の无码步美 | 国产在线aaa片一区二区99 | 精品一区二区不卡无码av | 玩弄少妇高潮ⅹxxxyw | 婷婷六月久久综合丁香 | 国产深夜福利视频在线 | 天天摸天天透天天添 | 成熟女人特级毛片www免费 | 少妇高潮一区二区三区99 | 欧美丰满老熟妇xxxxx性 | 欧美丰满少妇xxxx性 | 亚洲综合色区中文字幕 | 亚无码乱人伦一区二区 | www国产精品内射老师 | 巨爆乳无码视频在线观看 | 乱人伦中文视频在线观看 | 亚洲成a人一区二区三区 | 曰本女人与公拘交酡免费视频 | 欧美日本精品一区二区三区 | 装睡被陌生人摸出水好爽 | 久久这里只有精品视频9 | 欧美黑人乱大交 | 色欲久久久天天天综合网精品 | 亚洲精品久久久久久久久久久 | 日韩 欧美 动漫 国产 制服 | 亚洲一区二区三区播放 | 亚洲国产精华液网站w | 国产精品资源一区二区 | 一个人看的视频www在线 | 精品成在人线av无码免费看 | 国产欧美精品一区二区三区 | 未满小14洗澡无码视频网站 | 亚洲欧美日韩国产精品一区二区 | 成人三级无码视频在线观看 | 日本一区二区三区免费播放 | 天堂亚洲2017在线观看 | 色噜噜亚洲男人的天堂 | 青青久在线视频免费观看 | 亚洲成色在线综合网站 | 国产成人一区二区三区别 | 国产av人人夜夜澡人人爽麻豆 | 中文毛片无遮挡高清免费 | 国产精品手机免费 | 成人精品一区二区三区中文字幕 | 亚洲爆乳精品无码一区二区三区 | 国产尤物精品视频 | 极品尤物被啪到呻吟喷水 | 夫妻免费无码v看片 | 亚洲精品一区三区三区在线观看 | 女高中生第一次破苞av | 久久成人a毛片免费观看网站 | 国产精品无码久久av | 亚洲国产精品无码久久久久高潮 | 亚洲s码欧洲m码国产av | 亚洲a无码综合a国产av中文 | 亚洲欧美综合区丁香五月小说 | 福利一区二区三区视频在线观看 | 国精产品一品二品国精品69xx | 国产精品高潮呻吟av久久 | 国产精品久久久久久亚洲毛片 | a在线观看免费网站大全 | 久久天天躁夜夜躁狠狠 | 中文亚洲成a人片在线观看 | 国产av一区二区三区最新精品 | 宝宝好涨水快流出来免费视频 | 欧美日本日韩 | 国产香蕉尹人视频在线 | 又大又紧又粉嫩18p少妇 | 人妻少妇精品无码专区动漫 | 日韩少妇内射免费播放 | 无码一区二区三区在线观看 | 亚洲伊人久久精品影院 | 18黄暴禁片在线观看 | 国产精品怡红院永久免费 | 久久久久久a亚洲欧洲av冫 | 国产情侣作爱视频免费观看 | 免费看男女做好爽好硬视频 | 中文精品无码中文字幕无码专区 | 成人三级无码视频在线观看 | 国产性猛交╳xxx乱大交 国产精品久久久久久无码 欧洲欧美人成视频在线 | 中文字幕久久久久人妻 | 樱花草在线社区www | 狂野欧美性猛xxxx乱大交 | 久久天天躁狠狠躁夜夜免费观看 | 国产午夜无码视频在线观看 | 国产av一区二区三区最新精品 | 成在人线av无码免观看麻豆 | 欧美性黑人极品hd | 国产精品沙发午睡系列 | 大乳丰满人妻中文字幕日本 | 国产成人无码午夜视频在线观看 | 国产电影无码午夜在线播放 | 熟妇人妻无乱码中文字幕 | 婷婷丁香六月激情综合啪 | 亚洲精品国产精品乱码视色 | 国产精品久久久久影院嫩草 | 国产超碰人人爽人人做人人添 | 国产亚av手机在线观看 | 99麻豆久久久国产精品免费 | 在线亚洲高清揄拍自拍一品区 | 国产精品亚洲一区二区三区喷水 | 强开小婷嫩苞又嫩又紧视频 | 亚洲热妇无码av在线播放 | 亚洲 a v无 码免 费 成 人 a v | 2019午夜福利不卡片在线 | 精品人妻中文字幕有码在线 | 日韩亚洲欧美精品综合 | 欧美激情内射喷水高潮 | 久久伊人色av天堂九九小黄鸭 | 超碰97人人射妻 | 国产精品va在线观看无码 | 日本护士xxxxhd少妇 | 日本精品久久久久中文字幕 | 俄罗斯老熟妇色xxxx | 久久精品中文字幕大胸 | 熟妇人妻无码xxx视频 | 国产欧美熟妇另类久久久 | 黑人巨大精品欧美黑寡妇 | 两性色午夜免费视频 | 久久亚洲精品成人无码 | 国产精品美女久久久 | 国产手机在线αⅴ片无码观看 | 图片小说视频一区二区 | 国产av一区二区三区最新精品 | 国产精品久久久av久久久 | 国产麻豆精品一区二区三区v视界 | 在线亚洲高清揄拍自拍一品区 | 亚洲熟熟妇xxxx | 国产精品对白交换视频 | 国产特级毛片aaaaaa高潮流水 | 性欧美牲交xxxxx视频 | 四十如虎的丰满熟妇啪啪 | 最近免费中文字幕中文高清百度 | 国产福利视频一区二区 | 在线播放亚洲第一字幕 | 亚洲成a人片在线观看无码 | 窝窝午夜理论片影院 | 国产成人精品必看 | www成人国产高清内射 | 国产高潮视频在线观看 | 国产精品美女久久久久av爽李琼 | 亚洲欧洲日本无在线码 | 色欲人妻aaaaaaa无码 | 熟妇人妻无码xxx视频 | 亚无码乱人伦一区二区 | 色婷婷综合激情综在线播放 | 亲嘴扒胸摸屁股激烈网站 | 国产精品内射视频免费 | 天天躁日日躁狠狠躁免费麻豆 | 久久精品国产一区二区三区肥胖 | 少妇高潮喷潮久久久影院 | 俺去俺来也www色官网 | 一本久久a久久精品vr综合 | 精品国产青草久久久久福利 | 狠狠综合久久久久综合网 | 日韩欧美群交p片內射中文 | 中文字幕日产无线码一区 | 一本色道久久综合狠狠躁 | 精品无码av一区二区三区 | 国产精品亚洲综合色区韩国 | 欧美高清在线精品一区 | 扒开双腿疯狂进出爽爽爽视频 | 鲁一鲁av2019在线 | 日韩精品无码免费一区二区三区 | 日本一卡2卡3卡四卡精品网站 | www国产亚洲精品久久久日本 | 欧美 亚洲 国产 另类 | 国产女主播喷水视频在线观看 | 久久精品中文字幕大胸 | 国产激情综合五月久久 | 国产乱人无码伦av在线a | 亚洲综合在线一区二区三区 | 久久久久se色偷偷亚洲精品av | 好爽又高潮了毛片免费下载 | 大色综合色综合网站 | 99久久久无码国产aaa精品 | 午夜成人1000部免费视频 | 18精品久久久无码午夜福利 | 国产综合色产在线精品 | 人妻天天爽夜夜爽一区二区 | 最新国产麻豆aⅴ精品无码 | 国内精品人妻无码久久久影院 | 蜜桃av蜜臀av色欲av麻 999久久久国产精品消防器材 | 亚洲精品www久久久 | 天天躁日日躁狠狠躁免费麻豆 | 国产 浪潮av性色四虎 | 小sao货水好多真紧h无码视频 | 在线播放无码字幕亚洲 | 又大又黄又粗又爽的免费视频 | 日产精品高潮呻吟av久久 | 日本一区二区更新不卡 | 国产成人无码专区 | 俺去俺来也在线www色官网 | 999久久久国产精品消防器材 | 综合网日日天干夜夜久久 | 久久伊人色av天堂九九小黄鸭 | 1000部夫妻午夜免费 | 久久亚洲日韩精品一区二区三区 | 无码播放一区二区三区 | 国产九九九九九九九a片 | 国产精品爱久久久久久久 | 免费无码av一区二区 | 国产亚洲美女精品久久久2020 | 亚洲中文字幕无码中文字在线 | 丝袜美腿亚洲一区二区 | 精品国产国产综合精品 | 亚洲 另类 在线 欧美 制服 | 97人妻精品一区二区三区 | 精品亚洲韩国一区二区三区 | 领导边摸边吃奶边做爽在线观看 | 亚洲一区av无码专区在线观看 | 国产成人无码区免费内射一片色欲 | 色综合视频一区二区三区 | 亚洲国产欧美国产综合一区 | √天堂中文官网8在线 | 无码精品人妻一区二区三区av | www一区二区www免费 | 永久免费观看美女裸体的网站 | 美女扒开屁股让男人桶 | 少妇无套内谢久久久久 | 亚洲第一网站男人都懂 | 国产黄在线观看免费观看不卡 | 亚洲人成网站免费播放 | 国产人妻精品午夜福利免费 | 熟妇人妻激情偷爽文 | a国产一区二区免费入口 | 99精品国产综合久久久久五月天 | 婷婷色婷婷开心五月四房播播 | 亚洲日本va午夜在线电影 | 久久久精品欧美一区二区免费 | 国产精品久久久午夜夜伦鲁鲁 | av无码久久久久不卡免费网站 | 亚洲欧美国产精品专区久久 | 狠狠躁日日躁夜夜躁2020 | 免费观看黄网站 | 国产熟妇另类久久久久 | 国产精品久久久久7777 | 国产国产精品人在线视 | 欧美丰满熟妇xxxx性ppx人交 | 欧洲熟妇色 欧美 | 亚洲爆乳精品无码一区二区三区 | ass日本丰满熟妇pics | 亚洲国产精品无码一区二区三区 | 亚洲中文无码av永久不收费 | 亚洲成av人片天堂网无码】 | 国产性猛交╳xxx乱大交 国产精品久久久久久无码 欧洲欧美人成视频在线 | 国产精品福利视频导航 | 久久精品国产99精品亚洲 | 精品无人区无码乱码毛片国产 | 婷婷综合久久中文字幕蜜桃三电影 | 伊人久久大香线焦av综合影院 | 国产熟女一区二区三区四区五区 | 亚洲の无码国产の无码影院 | 日本饥渴人妻欲求不满 | 久久精品女人天堂av免费观看 | 欧美日韩在线亚洲综合国产人 | 无码乱肉视频免费大全合集 | 婷婷综合久久中文字幕蜜桃三电影 | 国产成人精品优优av | 亚洲精品欧美二区三区中文字幕 | 国内少妇偷人精品视频 | 亚洲国产精品一区二区第一页 | 亚洲精品一区二区三区在线 | 激情内射日本一区二区三区 | 国产成人精品视频ⅴa片软件竹菊 | 亚洲综合精品香蕉久久网 | 亚洲成av人片在线观看无码不卡 | 18禁止看的免费污网站 | 亚洲va中文字幕无码久久不卡 | av无码电影一区二区三区 | а√资源新版在线天堂 | 性做久久久久久久免费看 | 国产亚洲精品久久久久久久 | 亚洲精品美女久久久久久久 | 欧美国产亚洲日韩在线二区 | 国产va免费精品观看 | 亚洲中文字幕无码中文字在线 | 亚洲日韩中文字幕在线播放 | 日韩精品a片一区二区三区妖精 | 精品国精品国产自在久国产87 | 少妇人妻偷人精品无码视频 | 欧美人与牲动交xxxx | 国产乱人伦偷精品视频 | 小sao货水好多真紧h无码视频 | 国产精华av午夜在线观看 | 欧美喷潮久久久xxxxx | 欧美野外疯狂做受xxxx高潮 | 精品国产青草久久久久福利 | 久久久中文字幕日本无吗 | 亚洲精品午夜国产va久久成人 | 人人爽人人爽人人片av亚洲 | 日韩欧美中文字幕在线三区 | 亚洲成av人在线观看网址 | 亚洲人交乣女bbw | 粉嫩少妇内射浓精videos | 久久久精品欧美一区二区免费 | 亚洲精品国产第一综合99久久 | 亚洲精品午夜国产va久久成人 | 亚洲色欲色欲天天天www | 人妻aⅴ无码一区二区三区 | 九九久久精品国产免费看小说 | 最近的中文字幕在线看视频 | 亚洲国产欧美日韩精品一区二区三区 | 性做久久久久久久免费看 | 中文字幕无线码免费人妻 | 国产精品香蕉在线观看 | 久久久精品成人免费观看 | 亚洲精品综合一区二区三区在线 | 国产超碰人人爽人人做人人添 | 天堂无码人妻精品一区二区三区 | 国产又爽又黄又刺激的视频 | 人妻aⅴ无码一区二区三区 | 日日躁夜夜躁狠狠躁 | 亚洲国产欧美日韩精品一区二区三区 | 国产成人久久精品流白浆 | 99久久精品午夜一区二区 | 午夜无码人妻av大片色欲 | 窝窝午夜理论片影院 | 77777熟女视频在线观看 а天堂中文在线官网 | 中文字幕人妻无码一区二区三区 | 六月丁香婷婷色狠狠久久 | 东京热一精品无码av | 少妇性l交大片 | 99久久99久久免费精品蜜桃 | 国产人成高清在线视频99最全资源 | 国产精品自产拍在线观看 | 男女超爽视频免费播放 | 少妇性俱乐部纵欲狂欢电影 | 久久综合网欧美色妞网 | 久久精品人妻少妇一区二区三区 |