51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术25年5月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Linux内核(x86)入口代码模糊测试指南Part 2 (上篇)

作者:fanyeee
开发
在本文中,我们将为读者更进一步介绍标志寄存器、堆栈指针、段寄存器、调试寄存器以及进入内核的不同方法。

在本系列的第一篇文章中,我们介绍了Linux内核入口代码的作用,以及如何进行JIT汇编和调用系统调用。在本文中,我们将为读者更进一步介绍标志寄存器、堆栈指针、段寄存器、调试寄存器以及进入内核的不同方法。

    

更多标志(%rflags)

方向标志只是我们众多感兴趣的标志之一。维基百科上关于%rflags的文章列出了我们感兴趣的其他一些标志:

· bit 8:陷阱标志(用于单步调试)

· bit 18:对齐检查

大多数与算术相关的标志(进位标志等)并不是我们感兴趣的对象,因为它们在普通代码的正常运行过程中变化较大,这意味着内核对这些标志的处理很可能已经过了充分的测试。而另外一些标志(如中断启用标志)可能无法被用户空间修改,所以即使尝试也没什么用。

我们需要重点关注陷阱标志,因为设置该标志后,CPU在每条指令后都会传递一个调试异常,自然也会干扰输入代码的正常运行。

对齐检查标志也应当重点关注,因为当一个错误对齐的指针被解除引用时,它会使CPU传递一个对齐检查异常。虽然CPU在0环中执行时不应该执行对齐检查,但是检查是否存在因为对齐检查异常而进入内核的相关漏洞还是很有意思的(我们稍后再谈)。

维基百科的文章给出了修改这些标志的程序,但我们可以做得更好一点。

  1. 0:   9c                              pushfq 
  2. 1:   48 81 34 24 00 01 00 00         xorq   $0x100,(%rsp) 
  3. 9:   48 81 34 24 00 04 00 00         xorq   $0x400,(%rsp) 
  4. 11:   48 81 34 24 00 00 04 00         xorq   $0x40000,(%rsp) 
  5. 19:   9d                              popfq 

这段代码将%rflags的内容压入堆栈上,然后直接修改堆栈上的标志值,再将该值弹出到%rflags中。实际上,我们在这里可以选择使用orq或者xorq指令;我选择xorq,因为它可以切换寄存器中的任何值。这样一来,如果我们连续进行多次系统调用(或内核入口),我们可以随机切换标志,而不必关心现有的值是什么。

既然我们无论如何都要修改%rflags寄存器,那么我们不妨把方向标志的修改纳入进去,把三个标志的修改合并到一条指令中。虽然这是一个很小的优化,但没有理由不这么做,最后的结果如下所示:

  1. // pushfq 
  2. *out++ = 0x9c; 
  3.   
  4. uint32_t mask = 0; 
  5.   
  6. // trap flag 
  7. mask |= std::uniform_int_distribution 
  8.   
  9. // direction flag 
  10. mask |= std::uniform_int_distribution 
  11.   
  12. // alignment check 
  13. mask |= std::uniform_int_distribution 
  14.   
  15. // xorq $mask, 0(%rsp) 
  16. *out++ = 0x48; 
  17. *out++ = 0x81; 
  18. *out++ = 0x34; 
  19. *out++ = 0x24; 
  20. *out++ = mask; 
  21. *out++ = mask >> 8; 
  22. *out++ = mask >> 16; 
  23. *out++ = mask >> 24; 
  24.   
  25. // popfq 
  26. *out++ = 0x9d; 

如果我们不希望进程在设置陷阱标志时立即被SIGTRAP杀死,我们需要注册一个信号处理程序来有效地忽略这个信号(显然使用SIG_IGN是不够的):

  1. static void handle_child_sigtrap(int signum, siginfo_t *siginfo, void *ucontext) 
  2. {   
  3.     // this gets called when TF is set in %rflags; do nothing 
  4. }   
  5.      
  6. ... 
  7.      
  8. struct sigaction sigtrap_act = {}; 
  9. sigtrap_act.sa_sigaction = &handle_child_sigtrap; 
  10. sigtrap_act.sa_flags = SA_SIGINFO | SA_ONSTACK; 
  11. if (sigaction(SIGTRAP, &sigtrap_act, NULL) == -1) 
  12.     error(EXIT_FAILURE, errno, "sigaction(SIGTRAP)"); 

关于上面的SA_ONSTACK标志,我们将在下一节讨论。

堆栈指针(%rsp)

在修改%rflags之后,我们其实就不需使用堆栈了,这意味着我们可以在不影响程序执行的情况下,自由地更改栈指针。不过我们为什么要修改栈指针呢?内核又不会用我们的用户空间栈来做任何事情,对吧?事实上,它可能会。

像ftrace和perf这样的调试工具偶尔会在系统调用跟踪期间取消对用户空间堆栈的引用。事实上,我在这方面至少发现了两个不同的漏洞:

· report 1 (July 16, 2019),

· report 2 (May 10, 2020).

当向用户空间传递信号时,信号处理程序的堆栈帧由内核创建,通常位于被中断线程的当前堆栈指针的上方。

如果由于某些错误,%rsp会被内核直接访问,那么在正常操作期间可能不会被注意到,因为堆栈指针通常总是指向一个有效地址。要捕捉这种漏洞,我们可以简单地将其指向一个非映射地址(甚至是内核地址!)。

为了帮助我们测试堆栈指针的各种可能感兴趣的值,我们可以定义一个helper:

  1. static void *page_not_present; 
  2. static void *page_not_writable; 
  3. static void *page_not_executable; 
  4.      
  5. static uint64_t get_random_address() 
  6. {       
  7.     // very occasionally hand out a non-canonical address 
  8.     if (std::uniform_int_distribution 
  9.         return 1UL << 63; 
  10.      
  11.     uint64_t value = 0; 
  12.   
  13.     switch (std::uniform_int_distribution 
  14.     case 0: 
  15.         break; 
  16.     case 1: 
  17.         value = (uint64_t) page_not_present; 
  18.         break; 
  19.     case 2: 
  20.         value = (uint64_t) page_not_writable; 
  21.         break; 
  22.     case 3: 
  23.         value = (uint64_t) page_not_executable; 
  24.         break; 
  25.     case 4: 
  26.         static const uint64_t kernel_pointers[] = { 
  27.             0xffffffff81000000UL, 
  28.             0xffffffff82016000UL, 
  29.             0xffffffffc0002000UL, 
  30.             0xffffffffc2000000UL, 
  31.         }; 
  32.   
  33.         value = kernel_pointers[std::uniform_int_distribution 
  34.   
  35.         // random ~2MiB offset 
  36.         value += PAGE_SIZE * std::uniform_int_distribution 
  37.         break; 
  38.     } 
  39.   
  40.     // occasionally intentionally misalign it 
  41.     if (std::uniform_int_distribution 
  42.         value += std::uniform_int_distribution 
  43.   
  44.     return value; 
  46.   
  47. int main(...) 
  49.     page_not_present = mmap(NULL, PAGE_SIZE, PROT_NONE, MAP_PRIVATE | MAP_ANONYMOUS | MAP_32BIT, -1, 0); 
  50.     page_not_writable = mmap(NULL, PAGE_SIZE, PROT_READ | PROT_EXEC, MAP_PRIVATE | MAP_ANONYMOUS | MAP_32BIT, -1, 0); 
  51.     page_not_executable = mmap(NULL, PAGE_SIZE, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS | MAP_32BIT, -1, 0); 
  52.     ... 

在这里,我使用了自己机器上的/proc/kallsyms中找到的一些内核指针。它们不一定是很好的选择,只是用于演示。正如我前面所提到的,我们需要找到一个平衡点,既要选择那些疯狂到没有人想过要处理它们的值(我们毕竟在这里试图寻找的是边缘案例),又要不迷失在巨大的非目标值的海洋中;我们可以统一选择随机的64位值,但这很难带来任何有效的指针(其中大部分可能是非规范的地址)。模糊测试的部分艺术是通过对哪些有可能和哪些不可能的关系进行有根据的猜测来抽出相关的边缘案例。

现在只是设置值的问题,幸运的是,我们可以直接将64位的值加载到%rsp中:

  1. movq $0x12345678aabbccdd, %rsp 

可以使用下列代码:

  1. uint64_t rsp = get_random_address(); 
  2.   
  3. // movq $imm, %rsp 
  4. *out++ = 0x48; 
  5. *out++ = 0xbc; 
  6. for (int i = 0; i < 8; ++i) 
  7.     *out++ = rsp >> (8 * i); 

但是,对于上面提到的%rflags来说,有一点需要引起我们的高度注意:一旦我们在%rflags中启用了单步标志,CPU就会在随后执行的每条指令中传递一个调试异常。内核将通过向进程传递一个SIGTRAP信号来处理调试异常。默认情况下,这个信号是通过堆栈传递的,而堆栈上的值就是%rsp的值……如果%rsp无效,内核会用一个不可触发的SIGSEGV来杀死进程。

为了处理这样的情况,内核提供了一个函数,以便在传递信号时将%rsp设置为一个已知的有效值:sigaltstack()。我们要做的就是像下面这样来调用它:

  1. stack_t ss = {}; 
  2.   
  3. ss.ss_sp = malloc(SIGSTKSZ); 
  4. if (!ss.ss_sp) 
  5.     error(EXIT_FAILURE, errno, "malloc()"); 
  6.   
  7. ss.ss_size = SIGSTKSZ; 
  8. ss.ss_flags = 0; 
  9. if (sigaltstack(&ss, NULL) == -1) 
  10.     error(EXIT_FAILURE, errno, "sigaltstack()"); 

然后,将SA_ONSTACK传递给处理SIGTRAP的sigaction()调用的sa_flags变量中。

段寄存器

说到段寄存器,你会经常看到这样的说法:其实在64位上已经不太有用了。然而,这并不是全部的事实。的确,你不能改变基地址或段大小,但几乎所有其他的东西都还是相关的。特别是一些与我们相关的东西,例如:

· %cs、%ds、%es和%ss必须含有有效的16位段选择器,指向GDT(全局描述符表)或LDT(局部描述符表)中的有效条目。

· %cs不能使用mov指令加载,但我们可以使用ljmp(远/长跳转)指令。

· %cs的CPL(当前权限级别)字段是CPU正在执行的权限级别。通常情况下,64位用户空间进程运行的%cs为0x33,即GDT的索引6,特权级别为3,内核运行的%cs为0x10,即GDT的索引2,特权级别为0(因此称为ring 0)。

· 实际上我们可以使用modify_ldt()系统调用在LDT中安装条目,但要注意的是,内核会对条目进行消毒,所以我们不能创建一个指向DPL 0的段的调用门。

· %fs和%gs的基地址是由MSRs指定的。这些寄存器通常分别用于用户空间进程和内核的TLS(线程本地存储)和per-CPU数据。我们可以使用arch_prctl()系统调用来改变这些寄存器的值。在某些CPU/内核上,我们可以使用wrfsbase和wrgsbase指令。

· 使用mov或pop指令设置%ss会使CPU在mov或pop指令之后的一条指令中屏蔽中断、NMI、断点和单步陷阱。如果下一条指令导致进入内核,这些中断、NMI、断点或单步陷阱将在CPU开始在内核空间执行后生效。这就是CVE-2018-8897的来源,内核没有正确处理这种情况。

LDT

由于我们可能会从LDT中加载段寄存器,所以不妨从设置LDT开始入手。由于modify_ldt()没有glibc封装器,所以我们必须使用syscall()函数来调用它:

  1. #include 
  2. #include 
  3. #include 
  4. #include 
  5.   
  6. for (unsigned int i = 0; i < 4; ++i) { 
  7.     struct user_desc desc = {}; 
  8.     desc.entry_number = i; 
  9.     desc.base_addr = std::uniform_int_distribution 
  10.     desc.limit = std::uniform_int_distribution 
  11.     desc.seg_32bit = std::uniform_int_distribution 
  12.     desc.contents = std::uniform_int_distribution 
  13.     desc.read_exec_only = std::uniform_int_distribution 
  14.     desc.limit_in_pages = std::uniform_int_distribution 
  15.     desc.seg_not_present = std::uniform_int_distribution 
  16.     desc.useable = std::uniform_int_distribution 
  17.   
  18.     syscall(SYS_modify_ldt, 1, &desc, sizeof(desc)); 

我们可能要检查这里的返回值;我们不应该生成无效的LDT条目,所以知道我们是否存在这种条目是很有用的。

  1. static uint16_t get_random_segment_selector() 
  3.     unsigned int index
  4.   
  5.     switch (std::uniform_int_distribution 
  6.     case 0: 
  7.         // The LDT is small, so favour smaller indices 
  8.         index = std::uniform_int_distribution 
  9.         break; 
  10.     case 1: 
  11.         // Linux defines 32 GDT entries by default 
  12.         index = std::uniform_int_distribution 
  13.         break; 
  14.     case 2: 
  15.         // Max table size 
  16.         index = std::uniform_int_distribution 
  17.         break; 
  18.     } 
  19.     unsigned int ti = std::uniform_int_distribution 
  20.     unsigned int rpl = std::uniform_int_distribution 
  21.   
  22.     return (index << 3) | (ti << 2) | rpl; 

数据段(%ds)

下面展示如何使用数据段:

  1. if (std::uniform_int_distribution 
  2.     uint16_t sel = get_random_segment_selector(); 
  3.   
  4.     // movw $imm, %ax 
  5.     *out++ = 0x66; 
  6.     *out++ = 0xb8; 
  7.     *out++ = sel; 
  8.     *out++ = sel >> 8; 
  9.   
  10.     // movw %ax, %ds 
  11.     *out++ = 0x8e; 
  12.     *out++ = 0xd8; 

%fs与 %gs

对于%fs和%gs,我们需要使用系统调用arch_prctl()。在普通(非JIT汇编)代码中,可以这样使用:

  1. #include 
  2. #include 
  3.   
  4. ... 
  5.   
  6. syscall(SYS_arch_prctl, ARCH_SET_FS, get_random_address()); 
  7. syscall(SYS_arch_prctl, ARCH_SET_GS, get_random_address()); 

不幸的是,这样做很有可能导致glibc/libstdc++在任何使用线程本地存储的代码上崩溃(甚至在第二次get_random_address()调用时就可能发生)。如果我们想生成系统调用来做这件事,我们可以通过支持代码进行协助:

  1. enum machine_register { 
  2.     // 0 
  3.     RAX, 
  4.     RCX, 
  5.     RDX, 
  6.     RBX, 
  7.     RSP, 
  8.     RBP, 
  9.     RSI, 
  10.     RDI, 
  11.     // 8 
  12.     R8, 
  13.     R9, 
  14.     R10, 
  15.     R11, 
  16.     R12, 
  17.     R13, 
  18.     R14, 
  19.     R15, 
  20. }; 
  21.   
  22. const unsigned int REX = 0x40; 
  23. const unsigned int REX_B = 0x01; 
  24. const unsigned int REX_W = 0x08; 
  25.   
  26. static uint8_t *emit_mov_imm64_reg(uint8_t *out, uint64_t imm, machine_register reg) 
  28.     *out++ = REX | REX_W | (REX_B * (reg >= 8)); 
  29.     *out++ = 0xb8 | (reg & 7); 
  30.     for (int i = 0; i < 8; ++i) 
  31.         *out++ = imm >> (8 * i); 
  32.   
  33.     return out
  35.   
  36. static uint8_t *emit_call_arch_prctl(uint8_t *outint code, unsigned long addr) 
  38.     // int arch_prctl(int code, unsigned long addr); 
  39.     out = emit_mov_imm64_reg(out, SYS_arch_prctl, RAX); 
  40.     out = emit_mov_imm64_reg(out, code, RDI); 
  41.     out = emit_mov_imm64_reg(out, addr, RSI); 
  42.   
  43.     // syscall 
  44.     *out++ = 0x0f; 
  45.     *out++ = 0x05; 
  46.   
  47.     return out

需要注意的是,除了需要一些寄存器来执行系统调用本身之外,syscall指令还用返回地址(即syscall指令后的指令地址)覆盖%rcx,所以我们可能要在做其他事情之前进行这些调用。

小结

在本文中,我们为读者更进一步介绍了各种标志寄存器、堆栈指针以及部分段寄存器,在下一篇文章中,我们将为读者介绍调试寄存器以及进入内核的不同方法。

本文翻译自:https://blogs.oracle.com/linux/fuzzing-the-linux-kernel-x86-entry-code%2c-part-2-of-3如若转载,请注明原文地址

 

责任编辑:姜华 来源: 嘶吼网
Linux内核
相关推荐
Linux内核(x86)入口代码模糊测试指南Part 2(下篇)
我们将为读者介绍调试寄存器以及进入内核的不同方法。

2020-10-12 10:22:16

Linux内核
Linux内核(x86)入口代码模糊测试指南Part 1
在本系列文章中,我们将为读者分享关于内核代码模糊测试方面的见解。

2020-09-23 12:42:08

Linux
Linux内核(x86)入口代码模糊测试指南Part 3
在上一篇文章中,我们创建了一个虽然简单却能工作的fuzzer,接下来,我们将进一步提高该fuzzer的可用性和实用性。

2020-10-13 10:51:10

Linux内核
NFV关键技术:X86架构基础(上篇
本文主要从x86架构的CPU指令集增强,内存管理、中断和异常、IO架构等部分进行阐述,以及包含一些基础IT的基本概念的讲解。

2021-08-20 11:12:31

NFVX86架构地址
界限模糊 小型机技术应用向x86拓展
在小型机和x86服务器的应用领域界限日渐模糊的今天,除了x86服务器正在不断改进性能,试图向高端市场渗透,小型机也将通过其低端产品及其高RAS特性的优势,向x86市场横向拓展。

2011-04-19 09:17:36

x86 or Power?2019年服务器采购指南
在Power阵营中,高端产品当属于Power9处理器,其采用了14nmFinFETSOI工艺制造,极为灵活的模块化设计,单个核心可以支持4线程或者8线程,逻辑线程总数最多都是96个

2019-07-15 13:11:57

Power
甲骨文x86服务器采购指南
甲骨文公司在过去的数周内接连发布了几款全新x86服务器,这证明了他们仍然重视从收购SunMicrosystems公司中所获得的大量x86知识产权,并决定进一步投资。Sunx86服务器不再仅仅作为与以惠普、IBM及戴尔等设备大厂的竞争性产品出现。相反,甲骨文公司似乎有着更大的野心,力图将硬件与现有软件组合成一套完整的产品体系,利用二者之间强大的协调性对甲骨文应...

2012-04-28 09:07:48

甲骨文x86
AMD:不会放弃x86
AMD的全球大规模重组暗示着其整体战略可能会有较大变化,这也引发了不少猜测,接连有报道称AMD正打算引入ARM技术授权,甚至可能会彻底放弃x86市场。对此,AMD今天发表了一份简短的声明,称不会丢掉x86事业。

2011-12-01 11:09:48

AMDx86服务器英特尔
渗透测试评估风险的简要指南Part 2
在上一篇文章中我们了解了风险评估的重要性,有效风险评估的三个阶段以及渗透测试的三个类型。但是,渗透测试的风险也是存在的,下面让我们深入的了解它们。

2020-09-15 06:15:23

渗透测试风险评估网络安全
英特尔发布了 Linuxx86 用户中断的初始代码
英特尔x86用户中断的初始Linux内核代码终于在Linux内核邮件列表上的"RFC"标志下发布。

2021-09-14 10:07:09

英特尔初始代码用户中断
Linux x86/x86_64现在将始终保留前1MB的内存
Linuxx86x8664内核代码已经有了保留前1MB内存部分的逻辑,以避免BIOS或内核有可能破坏这些空间,而自Linux5.13开始将无条件地始终保留前1MB内存。Linux内核已经满足了英特尔SandyBridge图形访问低于1MB的内存,已知前64K的内存被一些BIOS损坏,以及类似的问题出现在内存的低区域。

2021-06-07 15:20:22

Linux X861MB内存BIOS
中电信“云IT”谨慎启用x86
中国电信为何要把小型机迁移至x86架构服务器李先绪认为直接驱动力有二:一是降低IT总体拥有成本,二是施行有效运营管理。

2011-12-19 10:55:58

云计算中国电信
X86虚拟化之Citrix XenServer
Xen管理程序(hypervisor)是一款出色的开源程序,由XenSource带头,与Xen社区协作开发,IBM是最活跃的贡献者。最初它是剑桥大学计算机实验室的一个x86虚拟化研究项目,但Xen很快就超出了研究范畴,并成立了一个独立的公司XenSource,由其进行协调开发,在创立了开源项目的同时还发布了Xen商业版本。

2011-02-20 22:23:43

X86虚拟化XenServer
Oracle发布Solaris 11 for Sparc/x86
OracleSolaris11今天正式发布,兼容的平台包括Sparc与x86。在10月初举行的OracleOpenWorld大会上,甲骨文已经对该新版操作系统进行了预展。按照甲骨文公布的Solaris研发路线图,从2012年到2015年,OracleSolaris11将在高可用性、内存扩展性、虚拟化、系统管理、IO扩展性和内核扩展性方面进行针对性的性能升级。

2011-11-10 09:26:48

Solaris 11
Android X86版独家深度体验
Android是基于Linux内核的软件平台和操作系统,是Google在2007年11月5日公布的手机系统平台,早期由Google开发,后由开放手机联盟(OpenHandsetAlliance)开发。

2009-08-28 14:38:33

x86渐热 Oracle数据库服务器选型指南
数据库服务器在选型时具备以下五个原则:高性能、高可靠、高可扩展、安全性以及可管理性等。而实际上,不同的数据库程序对服务器硬件的需求也有所不同。

2010-04-06 14:20:33

数据库服务器
x86体系下Linux中的任务切换与TSS
本篇文章主要是向大家介绍了x86体系下Linux中的任务切换与TSS的相关知识,作者通过程序实例进行讲解,相信看后大家对Linux系统会理解的更加深刻。

2011-04-25 14:51:59

Linux任务切换TSS
云平台选型指南 x86架构正成云部署基石
云计算的实施可以支持IT系统更快速地应对业务的变化与发展,并根据新的业务需求快速实施新的业务流程。在架构方面,云计算把底层的计算资源集中,搭建成一个基础设备资源池,并以一种灵活的多租户方式提供给用户,在缩短部署周期的同时大大提升系统的利用率和成本效益。

2013-06-24 14:16:50

云计算
IBM/Google/NVIDIA结盟:Power死拼x86
Google、IBM、Mellanox、NVIDIA、泰安今天联合宣布,正式组建“OpenPower联盟”(OpenPOWERConsortium),一个基于IBMPower微处理器架构的开放式组织。OpenPower联盟的使命是打造更先进的服务器、网络、存储、GPU加速技术,为下一代、超大规模和云数据中心提供更多的选择、更灵活的控制、更好的弹性。

2013-08-07 09:55:05

IBMGoogleNVIDIA
Unix技术让x86更加完善
在文章中,我们会知道这些领先的Unix技术、优异的产品和稳定的客户使他们成为高端服务器的主宰。提到x86服务器,我们首先想到的是这个平台多运行Windows和Linux操作系统。

2010-04-29 17:50:15

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服