|
近日,我在写内核模块的时候犯了一个低级错误:
在内核看来,用户态提供的虚拟地址是不可信的,所以在一旦在内核态访问用户态内存发生缺页中断,处理起来是非常棘手的。
Linux内核的做法是提供了一张 异常处理表 ,使用专有的函数来访问用户态内存。类似 try-catch块一般。具体详情可参见copy_to_user/copy_from_user的实现以及内核文档Documentation/x86/exception-tables.txt的描述。
本来简单看下这个异常处理表能怎么玩。
首先,我们可以写一片代码,将内核的异常处理表dump下来:
- // show_extable.c
- #include <linux/module.h>
- #include <linux/kallsyms.h>
- int (*_lookup_symbol_name)(unsigned long, char *);
- unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
- unsigned long start_ex, end_ex;
- int init_module(void)
- {
- unsigned long i;
- unsigned long orig, fixup, originsn, fixinsn, offset, size;
- char name[128], fixname[128];
- _lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");
- _get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");
- start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");
- end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");
- // 按照exception_table_entry的sizeof从start遍历到end。
- for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {
- orig = i; // 取出exception_table_entry的insn字段地址。
- fixup = i + sizeof(unsigned int); // 取出fixup字段地址。
- originsn = orig + *(unsigned int *)orig; // 根据相对偏移字段求出绝对地址
- originsn |= 0xffffffff00000000;
- fixinsn = fixup + *(unsigned int *)fixup;
- fixinsn |= 0xffffffff00000000;
- _get_symbol_pos(originsn, &size, &offset);
- _lookup_symbol_name(originsn, name);
- _lookup_symbol_name(fixinsn, fixname);
- printk("[%lx]%s+0x%lx/0x%lx [%lx]%s\n",
- originsn,
- name,
- offset,
- size,
- fixinsn,
- fixname);
- }
- return -1;
- }
- MODULE_LICENSE("GPL");
我们看下输出:
- # ___sys_recvmsg+0x253位置发生异常,跳转到ffffffff81649396处理异常。
- [ 7655.267616] [ffffffff8150d7a3]___sys_recvmsg+0x253/0x2b0 [ffffffff81649396]bad_to_user
- ...
- # create_elf_tables+0x3cf位置处如果发生异常,跳转到ffffffff81648a07地址执行异常处理。
- [ 7655.267727] [ffffffff8163250e]create_elf_tables+0x3cf/0x509 [ffffffff81648a1b]bad_gs
一般而言,类似bad_to_user,bad_from_user之类的异常处理函数都是直接返回用户一个错误码,比如Bad address之类,并不是直接用户程序直接段错误,这一点和用户态访问非法地址直接发送SIGSEGV有所不同。比如: - <font color="#001000"><font style="background-color:rgb(255, 255, 255)"><font face="Tahoma">
- #include <fcntl.h>
- int main(int argc, char **argv)
- {
- int fd;
- int ret;
- char *buf = (char *)0x56; // 显然是一个非法地址。
- fd = open("/proc/sys/net/nf_conntrack_max", O_RDWR | O_CREAT, S_IRWXU);
- perror("open");
- ret = read(fd, buf, 100);
- perror("read");
- }
- </font></font></font>
执行之:
- [root@localhost test]# ./a.out
- open: Success
- read: Bad address # 没有段错误,只是一个普通错误。
我们能不能将其行为修改成和用户态访问非法地址一致呢?简单,替换掉bad_to_user即可,代码如下:
- // fix_ex.c
- #include <linux/module.h>
- #include <linux/sched.h>
- #include <linux/kallsyms.h>
- int (*_lookup_symbol_name)(unsigned long, char *);
- unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
- unsigned long start_ex, end_ex;
- void *_bad_from_user, *_bad_to_user;
- void kill_user_from(void)
- {
- printk("经理!rush tighten beat electric discourse!\n");
- force_sig(SIGSEGV, current);
- }
- void kill_user_to(void)
- {
- printk("经理!rush tighten beat electric discourse! SB 皮鞋\n");
- force_sig(SIGSEGV, current);
- }
- unsigned int old, new;
- int (*_lookup_symbol_name)(unsigned long, char *);
- unsigned long (*_get_symbol_pos)(unsigned long, void *, void *);
- int hook_fixup(void *origfunc1, void *origfunc2, void *newfunc1, void *newfunc2)
- {
- unsigned long i;
- unsigned long fixup, fixinsn;
- char fixname[128];
- for(i = start_ex; i < end_ex; i += 2*sizeof(unsigned long)) {
- fixup = i + sizeof(unsigned int);
- fixinsn = fixup + *(unsigned int *)fixup;
- fixinsn |= 0xffffffff00000000;
- _lookup_symbol_name(fixinsn, fixname);
- if (!strcmp(fixname, origfunc1) ||
- !strcmp(fixname, origfunc2)) {
- unsigned long new;
- unsigned int newfix;
- if (!strcmp(fixname, origfunc1)) {
- new = (unsigned long)newfunc1;
- } else {
- new = (unsigned long)newfunc2;
- }
- new -= fixup;
- newfix = (unsigned int)new;
- *(unsigned int *)fixup = newfix;
- }
- }
- return 0;
- }
- int init_module(void)
- {
- _lookup_symbol_name = (void *)kallsyms_lookup_name("lookup_symbol_name");
- _get_symbol_pos = (void *)kallsyms_lookup_name("get_symbol_pos");
- _bad_from_user = (void *)kallsyms_lookup_name("bad_from_user");
- _bad_to_user = (void *)kallsyms_lookup_name("bad_to_user");
- start_ex = (unsigned long)kallsyms_lookup_name("__start___ex_table");
- end_ex = (unsigned long)kallsyms_lookup_name("__stop___ex_table");
- hook_fixup("bad_from_user", "bad_to_user", kill_user_from, kill_user_to);
- return 0;
- }
- void cleanup_module(void)
- {
- hook_fixup("kill_user_from", "kill_user_to", _bad_from_user, _bad_to_user);
- }
- MODULE_LICENSE("GPL");
编译,加载,重新执行我们的a.out:
- [root@localhost test]# insmod ./fix_ex.ko
- [root@localhost test]# ./a.out
- open: Success
- 段错误
- [root@localhost test]# dmesg
- [ 8686.091738] 经理!rush tighten beat electric discourse! SB 皮鞋
- [root@localhost test]#
发生了段错误,并且打印出了让经理赶紧打电话的句子。
其实,我的目的并不是这样的,我真正的意思是,Linux的异常处理链表,又是一个藏污纳垢的好地方,我们可以在上面的hook函数中藏一些代码,比如说inline hook之类的,然后呢?然后静悄悄地等待用户态进程的bug导致异常处理被执行。将代码注入的时间线拉长,从而更难让运维和经理注意到。
让代码注入的时间点和模块插入的时间点分开,让事情更加混乱。不过,注意好隐藏模块或者oneshot哦。
浙江温州皮鞋湿,下雨进水不会胖。
|
微信公众号
手机版
