近日,我在寫內核模塊的時候犯了一個低級錯誤:
直接access用戶態的內存而沒有使用copy_to_user/copy_from_user!
在內核看來,用戶態提供的虛擬地址是不可信的,所以在一旦在內核態訪問用戶態內存發生缺頁中斷,處理起來是非常棘手的。
Linux內核的做法是提供了一張 異常處理表 ,使用專有的函數來訪問用戶態內存。類似 try-catch塊一般。具體詳情可參見copy_to_user/copy_from_user的實現以及內核文檔Documentation/x86/exception-tables.txt的描述。
本來簡單看下這個異常處理表能怎麼玩。
首先,我們可以寫一片代碼,將內核的異常處理表dump下來:
// show_extable.c
#include <linux/module.h>
#include <linux/kallsyms.h>
int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
unsigned long start_ex, end_ex;
int init_module(void)
{
unsigned long i;
unsigned long orig, fixup, originsn, fixinsn, offset, size;
char name[128], fixname[128];
_lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");
_get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");
start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");
end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");
// 按照exception_table_entry的sizeof從start遍歷到end。
for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {
orig = i; // 取出exception_table_entry的insn字段地址。
fixup = i + sizeof(unsigned int); // 取出fixup字段地址。
originsn = orig + *(unsigned int *)orig; // 根據相對偏移字段求出絕對地址
originsn |= 0xffffffff00000000;
fixinsn = fixup + *(unsigned int *)fixup;
fixinsn |= 0xffffffff00000000;
_get_symbol_pos(originsn, &size, &offset);
_lookup_symbol_name(originsn, name);
_lookup_symbol_name(fixinsn, fixname);
printk("[%lx]%s+0x%lx/0x%lx [%lx]%s\n",
originsn,
name,
offset,
size,
fixinsn,
fixname);
}
return -1;
}
MODULE_LICENSE("GPL");
我們看下輸出:
# ___sys_recvmsg+0x253位置發生異常,跳轉到ffffffff81649396處理異常。
[ 7655.267616] [ffffffff8150d7a3]___sys_recvmsg+0x253/0x2b0 [ffffffff81649396]bad_to_user
...
# create_elf_tables+0x3cf位置處如果發生異常,跳轉到ffffffff81648a07地址執行異常處理。
[ 7655.267727] [ffffffff8163250e]create_elf_tables+0x3cf/0x509 [ffffffff81648a1b]bad_gs
一般而言,類似bad_to_user,bad_from_user之類的異常處理函數都是直接返回用戶一個錯誤碼,比如Bad address之類,並不是直接用戶程序直接段錯誤,這一點和用戶態訪問非法地址直接發送SIGSEGV有所不同。比如:
#include <fcntl.h>
int main(int argc, char **argv)
{
int fd;
int ret;
char *buf = (char *)0x56; // 顯然是一個非法地址。
fd = open("/proc/sys/net/nf_conntrack_max", O_RDWR | O_CREAT, S_IRWXU);
perror("open");
ret = read(fd, buf, 100);
perror("read");
}
執行之:
[root@localhost test]# ./a.out
open: Success
read: Bad address # 沒有段錯誤,只是一個普通錯誤。
我們能不能將其行爲修改成和用戶態訪問非法地址一致呢?簡單,替換掉bad_to_user即可,代碼如下:
// fix_ex.c
#include <linux/module.h>
#include <linux/sched.h>
#include <linux/kallsyms.h>
int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
unsigned long start_ex, end_ex;
void *_bad_from_user, *_bad_to_user;
void kill_user_from(void)
{
printk("經理!rush tighten beat electric discourse!\n");
force_sig(SIGSEGV, current);
}
void kill_user_to(void)
{
printk("經理!rush tighten beat electric discourse! SB 皮鞋\n");
force_sig(SIGSEGV, current);
}
unsigned int old, new;
int (*_lookup_symbol_name)(unsigned long, char *);
unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
int hook_fixup(void *origfunc1, void *origfunc2, void *newfunc1, void *newfunc2)
{
unsigned long i;
unsigned long fixup, fixinsn;
char fixname[128];
for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {
fixup = i + sizeof(unsigned int);
fixinsn = fixup + *(unsigned int *)fixup;
fixinsn |= 0xffffffff00000000;
_lookup_symbol_name(fixinsn, fixname);
if (!strcmp(fixname, origfunc1) ||
!strcmp(fixname, origfunc2)) {
unsigned long new;
unsigned int newfix;
if (!strcmp(fixname, origfunc1)) {
new = (unsigned long)newfunc1;
} else {
new = (unsigned long)newfunc2;
}
new -= fixup;
newfix = (unsigned int)new;
*(unsigned int *)fixup = newfix;
}
}
return 0;
}
int init_module(void)
{
_lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");
_get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");
_bad_from_user = (void *)kallsyms_lookup_name("bad_from_user");
_bad_to_user = (void *)kallsyms_lookup_name("bad_to_user");
start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");
end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");
hook_fixup("bad_from_user", "bad_to_user", kill_user_from, kill_user_to);
return 0;
}
void cleanup_module(void)
{
hook_fixup("kill_user_from", "kill_user_to", _bad_from_user, _bad_to_user);
}
MODULE_LICENSE("GPL");
編譯,加載,重新執行我們的a.out:
[root@localhost test]# insmod ./fix_ex.ko
[root@localhost test]# ./a.out
open: Success
段錯誤
[root@localhost test]# dmesg
[ 8686.091738] 經理!rush tighten beat electric discourse! SB 皮鞋
[root@localhost test]#
發生了段錯誤,並且打印出了讓經理趕緊打電話的句子。
其實,我的目的並不是這樣的,我真正的意思是,Linux的異常處理鏈表,又是一個藏污納垢的好地方,我們可以在上面的hook函數中藏一些代碼,比如說inline hook之類的,然後呢?然後靜悄悄地等待用戶態進程的bug導致異常處理被執行。將代碼注入的時間線拉長,從而更難讓運維和經理注意到。
讓代碼注入的時間點和模塊插入的時間點分開,讓事情更加混亂。不過,注意好隱藏模塊或者oneshot哦。
浙江溫州皮鞋溼,下雨進水不會胖。
————————————————
版權聲明:本文爲CSDN博主「dog250」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:
https://blog.csdn.net/dog250/article/details/106105523