新爆内核高危漏洞sock_sendpage的利用分析的讨论

suntnt0218

谁能给我讲讲它是怎么跳转到地址0处执行指令的

arlikiss

再学习一次谢谢！！！！

kouu

突然想到一个问题，mmap映射0地址能够映射成功吗？

在我的Ubuntu 9.04，Linux 2.6.28-12-generic上，mmap映射0地址是不能成功的。
至于exploit的代码在我的机器上能够成功执行，是因为exploit是由run.c编译的可执行文件来调用的。在run.c中，通过personality将可执行文件的执行域设置为SVR4。然后通过mprotect修改0地址的属性。

那么，SRV4上的进程内存是如何部局的呢？0地址上默认放的是什么东西呢？
而在32位linux上，地址空间一般使用的是08048000-c0000000。08048000以下的空间能够映射吗？要怎么映射？

望高人指点呀～

kouu

原帖由 kouu 于 2009-11-15 01:26 发表
突然想到一个问题，mmap映射0地址能够映射成功吗？

在我的Ubuntu 9.04，Linux 2.6.28-12-generic上，mmap映射0地址是不能成功的。
至于exploit的代码在我的机器上能够成功执行，是因为exploit是由run.c编译 ...

呵呵，在linux 2.6.29.4的代码中找到了以下一些内容：

personality.h

1. 
   
2. enum {
   
3.         ......
   
4.         PER_SVR4 =                0x0001 | STICKY_TIMEOUTS | MMAP_PAGE_ZERO,
   
5.         ......
   
6. };
   

复制代码

binfmt_elf.c:load_elf_binary()

1. 
   
2. ......
   
3.         if (current->personality & MMAP_PAGE_ZERO) {
   
4.                 /* Why this, you ask???  Well SVr4 maps page 0 as read-only,
   
5.                    and some applications "depend" upon this behavior.
   
6.                    Since we do not have the power to recompile these, we
   
7.                    emulate the SVr4 behavior. Sigh. */
   
8.                 down_write(&current->mm->mmap_sem);
   
9.                 error = do_mmap(NULL, 0, PAGE_SIZE, PROT_READ | PROT_EXEC,
   
10.                                 MAP_FIXED | MAP_PRIVATE, 0);
    
11.                 up_write(&current->mm->mmap_sem);
    
12.         }
    
13. ......
    

复制代码

Godbach

呵呵，我还是觉得在kernel_code()函数中调用C库的函数是可以的~

本来打算验证一下的，上次做了一下实验，ubuntu直接就整个挂起了（屏幕定格、无任何响应），也不知道是什么问题。 感觉在PC上做这种事情实在太恶心…… 以前都是在嵌入式开发版上搞的，随便折腾。可惜现在没这个环境了……

也希望哪位朋友有兴趣的话验证一下，给个结论~ 呵呵

昨晚简单验证了一下，kernel_code中添加printf和memset函数，直接把内核的stack搞坏。我用的是虚拟机，系统直接被关掉了。

Godbach

哪位介绍一下这个漏洞和selinux有什么关系。因为从其中一个简单的测试里程上，看不出来和selinux有关系啊。

W.Z.T

原帖由 suntnt0218 于 2009-9-8 14:17 发表
谁能给我讲讲它是怎么跳转到地址0处执行指令的

当内核进行一个空指针引用的时候， 会引发一次缺页异常中断， do_page_fault函数会进行处理， 打印oops信息，然后杀死当前进程。 exploit程序在攻击之前已经通过匿名映射在内存0地址出映射好了exploit代码， 所以不会引发缺页异常。

W.Z.T

[ 本帖最后由 W.Z.T 于 2010-1-15 13:41 编辑 ]

Godbach

原帖由 W.Z.T 于 2010-1-15 10:56 发表


当内核进行一个空指针引用的时候， 会引发一次缺页异常中断， do_page_fault函数会进行处理， 打印oops信息，然后杀死当前进程。 exploit程序在攻击之前已经通过匿名映射在内存0地址出映射好了exploit代码， ...

请教W.Z.T兄，你认为跳转到0地址出执行的函数代码是属于用户空间的代码，还是内核空间的代码。

BB_CULL

[ 本帖最后由 BB_CULL 于 2010-1-15 11:22 编辑 ]