日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
Linux內(nèi)核(x86)入口代碼模糊測(cè)試指南Part2(上篇)

在本系列的第一篇文章中,我們介紹了Linux內(nèi)核入口代碼的作用,以及如何進(jìn)行JIT匯編和調(diào)用系統(tǒng)調(diào)用。在本文中,我們將為讀者更進(jìn)一步介紹標(biāo)志寄存器、堆棧指針、段寄存器、調(diào)試寄存器以及進(jìn)入內(nèi)核的不同方法。

成都創(chuàng)新互聯(lián)公司一直秉承“誠(chéng)信做人,踏實(shí)做事”的原則,不欺瞞客戶(hù),是我們最起碼的底線(xiàn)! 以服務(wù)為基礎(chǔ),以質(zhì)量求生存,以技術(shù)求發(fā)展,成交一個(gè)客戶(hù)多一個(gè)朋友!為您提供成都網(wǎng)站制作、成都做網(wǎng)站、外貿(mào)營(yíng)銷(xiāo)網(wǎng)站建設(shè)、成都網(wǎng)頁(yè)設(shè)計(jì)、成都微信小程序、成都網(wǎng)站開(kāi)發(fā)、成都網(wǎng)站制作、成都軟件開(kāi)發(fā)、app軟件定制開(kāi)發(fā)是成都本地專(zhuān)業(yè)的網(wǎng)站建設(shè)和網(wǎng)站設(shè)計(jì)公司,等你一起來(lái)見(jiàn)證!

    

更多標(biāo)志(%rflags)

方向標(biāo)志只是我們眾多感興趣的標(biāo)志之一。維基百科上關(guān)于%rflags的文章列出了我們感興趣的其他一些標(biāo)志:

· bit 8:陷阱標(biāo)志(用于單步調(diào)試)

· bit 18:對(duì)齊檢查

大多數(shù)與算術(shù)相關(guān)的標(biāo)志(進(jìn)位標(biāo)志等)并不是我們感興趣的對(duì)象,因?yàn)樗鼈冊(cè)谄胀ùa的正常運(yùn)行過(guò)程中變化較大,這意味著內(nèi)核對(duì)這些標(biāo)志的處理很可能已經(jīng)過(guò)了充分的測(cè)試。而另外一些標(biāo)志(如中斷啟用標(biāo)志)可能無(wú)法被用戶(hù)空間修改,所以即使嘗試也沒(méi)什么用。

我們需要重點(diǎn)關(guān)注陷阱標(biāo)志,因?yàn)樵O(shè)置該標(biāo)志后,CPU在每條指令后都會(huì)傳遞一個(gè)調(diào)試異常,自然也會(huì)干擾輸入代碼的正常運(yùn)行。

對(duì)齊檢查標(biāo)志也應(yīng)當(dāng)重點(diǎn)關(guān)注,因?yàn)楫?dāng)一個(gè)錯(cuò)誤對(duì)齊的指針被解除引用時(shí),它會(huì)使CPU傳遞一個(gè)對(duì)齊檢查異常。雖然CPU在0環(huán)中執(zhí)行時(shí)不應(yīng)該執(zhí)行對(duì)齊檢查,但是檢查是否存在因?yàn)閷?duì)齊檢查異常而進(jìn)入內(nèi)核的相關(guān)漏洞還是很有意思的(我們稍后再談)。

維基百科的文章給出了修改這些標(biāo)志的程序,但我們可以做得更好一點(diǎn)。

 
 
 
 
    
  
  
  
  
  1. 0:   9c                              pushfq 
    2. 
  
  
  
  
  2. 1:   48 81 34 24 00 01 00 00         xorq   $0x100,(%rsp) 
    3. 
  
  
  
  
  3. 9:   48 81 34 24 00 04 00 00         xorq   $0x400,(%rsp) 
    4. 
  
  
  
  
  4. 11:   48 81 34 24 00 00 04 00         xorq   $0x40000,(%rsp) 
    5. 
  
  
  
  
  5. 19:   9d                              popfq 
    6.

這段代碼將%rflags的內(nèi)容壓入堆棧上,然后直接修改堆棧上的標(biāo)志值,再將該值彈出到%rflags中。實(shí)際上,我們?cè)谶@里可以選擇使用orq或者xorq指令;我選擇xorq,因?yàn)樗梢郧袚Q寄存器中的任何值。這樣一來(lái),如果我們連續(xù)進(jìn)行多次系統(tǒng)調(diào)用(或內(nèi)核入口),我們可以隨機(jī)切換標(biāo)志,而不必關(guān)心現(xiàn)有的值是什么。

既然我們無(wú)論如何都要修改%rflags寄存器,那么我們不妨把方向標(biāo)志的修改納入進(jìn)去,把三個(gè)標(biāo)志的修改合并到一條指令中。雖然這是一個(gè)很小的優(yōu)化,但沒(méi)有理由不這么做,最后的結(jié)果如下所示:

 
 
 
 
    
  
  
  
  
  1. // pushfq 
    2. 
  
  
  
  
  2. *out++ = 0x9c; 
    3. 
  
  
  
  
  3.   
    4. 
  
  
  
  
  4. uint32_t mask = 0; 
    5. 
  
  
  
  
  5.   
    6. 
  
  
  
  
  6. // trap flag 
    7. 
  
  
  
  
  7. mask |= std::uniform_int_distribution 
    8. 
  
  
  
  
  8.   
    9. 
  
  
  
  
  9. // direction flag 
    10. 
  
  
  
  
  10. mask |= std::uniform_int_distribution 
    11. 
  
  
  
  
  11.   
    12. 
  
  
  
  
  12. // alignment check 
    13. 
  
  
  
  
  13. mask |= std::uniform_int_distribution 
    14. 
  
  
  
  
  14.   
    15. 
  
  
  
  
  15. // xorq $mask, 0(%rsp) 
    16. 
  
  
  
  
  16. *out++ = 0x48; 
    17. 
  
  
  
  
  17. *out++ = 0x81; 
    18. 
  
  
  
  
  18. *out++ = 0x34; 
    19. 
  
  
  
  
  19. *out++ = 0x24; 
    20. 
  
  
  
  
  20. *out++ = mask; 
    21. 
  
  
  
  
  21. *out++ = mask >> 8; 
    22. 
  
  
  
  
  22. *out++ = mask >> 16; 
    23. 
  
  
  
  
  23. *out++ = mask >> 24; 
    24. 
  
  
  
  
  24.   
    25. 
  
  
  
  
  25. // popfq 
    26. 
  
  
  
  
  26. *out++ = 0x9d; 
    27.

如果我們不希望進(jìn)程在設(shè)置陷阱標(biāo)志時(shí)立即被SIGTRAP殺死,我們需要注冊(cè)一個(gè)信號(hào)處理程序來(lái)有效地忽略這個(gè)信號(hào)(顯然使用SIG_IGN是不夠的):

 
 
 
 
    
  
  
  
  
  1. static void handle_child_sigtrap(int signum, siginfo_t *siginfo, void *ucontext) 
    2. 
  
  
  
  
  2. {   
    3. 
  
  
  
  
  3.     // this gets called when TF is set in %rflags; do nothing 
    4. 
  
  
  
  
  4. }   
    5. 
  
  
  
  
  5.      
    6. 
  
  
  
  
  6. ... 
    7. 
  
  
  
  
  7.      
    8. 
  
  
  
  
  8. struct sigaction sigtrap_act = {}; 
    9. 
  
  
  
  
  9. sigtrap_act.sa_sigaction = &handle_child_sigtrap; 
    10. 
  
  
  
  
  10. sigtrap_act.sa_flags = SA_SIGINFO | SA_ONSTACK; 
    11. 
  
  
  
  
  11. if (sigaction(SIGTRAP, &sigtrap_act, NULL) == -1) 
    12. 
  
  
  
  
  12.     error(EXIT_FAILURE, errno, "sigaction(SIGTRAP)"); 
    13.

關(guān)于上面的SA_ONSTACK標(biāo)志,我們將在下一節(jié)討論。

堆棧指針(%rsp)

在修改%rflags之后,我們其實(shí)就不需使用堆棧了,這意味著我們可以在不影響程序執(zhí)行的情況下,自由地更改棧指針。不過(guò)我們?yōu)槭裁匆薷臈V羔樐兀績(jī)?nèi)核又不會(huì)用我們的用戶(hù)空間棧來(lái)做任何事情,對(duì)吧?事實(shí)上,它可能會(huì)。

像ftrace和perf這樣的調(diào)試工具偶爾會(huì)在系統(tǒng)調(diào)用跟蹤期間取消對(duì)用戶(hù)空間堆棧的引用。事實(shí)上,我在這方面至少發(fā)現(xiàn)了兩個(gè)不同的漏洞:

· report 1 (July 16, 2019),

· report 2 (May 10, 2020).

當(dāng)向用戶(hù)空間傳遞信號(hào)時(shí),信號(hào)處理程序的堆棧幀由內(nèi)核創(chuàng)建,通常位于被中斷線(xiàn)程的當(dāng)前堆棧指針的上方。

如果由于某些錯(cuò)誤,%rsp會(huì)被內(nèi)核直接訪(fǎng)問(wèn),那么在正常操作期間可能不會(huì)被注意到,因?yàn)槎褩V羔樛ǔ?偸侵赶蛞粋€(gè)有效地址。要捕捉這種漏洞,我們可以簡(jiǎn)單地將其指向一個(gè)非映射地址(甚至是內(nèi)核地址?。?/p>

為了幫助我們測(cè)試堆棧指針的各種可能感興趣的值,我們可以定義一個(gè)helper:

 
 
 
 
    
  
  
  
  
  1. static void *page_not_present; 
    2. 
  
  
  
  
  2. static void *page_not_writable; 
    3. 
  
  
  
  
  3. static void *page_not_executable; 
    4. 
  
  
  
  
  4.      
    5. 
  
  
  
  
  5. static uint64_t get_random_address() 
    6. 
  
  
  
  
  6. {       
    7. 
  
  
  
  
  7.     // very occasionally hand out a non-canonical address 
    8. 
  
  
  
  
  8.     if (std::uniform_int_distribution 
    9. 
  
  
  
  
  9.         return 1UL << 63; 
    10. 
  
  
  
  
  10.      
    11. 
  
  
  
  
  11.     uint64_t value = 0; 
    12. 
  
  
  
  
  12.   
    13. 
  
  
  
  
  13.     switch (std::uniform_int_distribution 
    14. 
  
  
  
  
  14.     case 0: 
    15. 
  
  
  
  
  15.         break; 
    16. 
  
  
  
  
  16.     case 1: 
    17. 
  
  
  
  
  17.         value = (uint64_t) page_not_present; 
    18. 
  
  
  
  
  18.         break; 
    19. 
  
  
  
  
  19.     case 2: 
    20. 
  
  
  
  
  20.         value = (uint64_t) page_not_writable; 
    21. 
  
  
  
  
  21.         break; 
    22. 
  
  
  
  
  22.     case 3: 
    23. 
  
  
  
  
  23.         value = (uint64_t) page_not_executable; 
    24. 
  
  
  
  
  24.         break; 
    25. 
  
  
  
  
  25.     case 4: 
    26. 
  
  
  
  
  26.         static const uint64_t kernel_pointers[] = { 
    27. 
  
  
  
  
  27.             0xffffffff81000000UL, 
    28. 
  
  
  
  
  28.             0xffffffff82016000UL, 
    29. 
  
  
  
  
  29.             0xffffffffc0002000UL, 
    30. 
  
  
  
  
  30.             0xffffffffc2000000UL, 
    31. 
  
  
  
  
  31.         }; 
    32. 
  
  
  
  
  32.   
    33. 
  
  
  
  
  33.         value = kernel_pointers[std::uniform_int_distribution 
    34. 
  
  
  
  
  34.   
    35. 
  
  
  
  
  35.         // random ~2MiB offset 
    36. 
  
  
  
  
  36.         value += PAGE_SIZE * std::uniform_int_distribution 
    37. 
  
  
  
  
  37.         break; 
    38. 
  
  
  
  
  38.     } 
    39. 
  
  
  
  
  39.   
    40. 
  
  
  
  
  40.     // occasionally intentionally misalign it 
    41. 
  
  
  
  
  41.     if (std::uniform_int_distribution 
    42. 
  
  
  
  
  42.         value += std::uniform_int_distribution 
    43. 
  
  
  
  
  43.   
    44. 
  
  
  
  
  44.     return value; 
    45. 
  
  
  
  
    46. 
  
  
  
  
  46.   
    47. 
  
  
  
  
  47. int main(...) 
    48. 
  
  
  
  
    49. 
  
  
  
  
  49.     page_not_present = mmap(NULL, PAGE_SIZE, PROT_NONE, MAP_PRIVATE | MAP_ANONYMOUS | MAP_32BIT, -1, 0); 
    50. 
  
  
  
  
  50.     page_not_writable = mmap(NULL, PAGE_SIZE, PROT_READ | PROT_EXEC, MAP_PRIVATE | MAP_ANONYMOUS | MAP_32BIT, -1, 0); 
    51. 
  
  
  
  
  51.     page_not_executable = mmap(NULL, PAGE_SIZE, PROT_READ | PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS | MAP_32BIT, -1, 0); 
    52. 
  
  
  
  
  52.     ... 
    53. 
  
  
  
  
    54.

在這里,我使用了自己機(jī)器上的/proc/kallsyms中找到的一些內(nèi)核指針。它們不一定是很好的選擇,只是用于演示。正如我前面所提到的,我們需要找到一個(gè)平衡點(diǎn),既要選擇那些瘋狂到?jīng)]有人想過(guò)要處理它們的值(我們畢竟在這里試圖尋找的是邊緣案例),又要不迷失在巨大的非目標(biāo)值的海洋中;我們可以統(tǒng)一選擇隨機(jī)的64位值,但這很難帶來(lái)任何有效的指針(其中大部分可能是非規(guī)范的地址)。模糊測(cè)試的部分藝術(shù)是通過(guò)對(duì)哪些有可能和哪些不可能的關(guān)系進(jìn)行有根據(jù)的猜測(cè)來(lái)抽出相關(guān)的邊緣案例。

現(xiàn)在只是設(shè)置值的問(wèn)題,幸運(yùn)的是,我們可以直接將64位的值加載到%rsp中:

 
 
 
 
    
  
  
  
  
  1. movq $0x12345678aabbccdd, %rsp 
    2.

可以使用下列代碼:

 
 
 
 
    
  
  
  
  
  1. uint64_t rsp = get_random_address(); 
    2. 
  
  
  
  
  2.   
    3. 
  
  
  
  
  3. // movq $imm, %rsp 
    4. 
  
  
  
  
  4. *out++ = 0x48; 
    5. 
  
  
  
  
  5. *out++ = 0xbc; 
    6. 
  
  
  
  
  6. for (int i = 0; i < 8; ++i) 
    7. 
  
  
  
  
  7.     *out++ = rsp >> (8 * i); 
    8.

但是,對(duì)于上面提到的%rflags來(lái)說(shuō),有一點(diǎn)需要引起我們的高度注意:一旦我們?cè)?rflags中啟用了單步標(biāo)志,CPU就會(huì)在隨后執(zhí)行的每條指令中傳遞一個(gè)調(diào)試異常。內(nèi)核將通過(guò)向進(jìn)程傳遞一個(gè)SIGTRAP信號(hào)來(lái)處理調(diào)試異常。默認(rèn)情況下,這個(gè)信號(hào)是通過(guò)堆棧傳遞的,而堆棧上的值就是%rsp的值……如果%rsp無(wú)效,內(nèi)核會(huì)用一個(gè)不可觸發(fā)的SIGSEGV來(lái)殺死進(jìn)程。

為了處理這樣的情況,內(nèi)核提供了一個(gè)函數(shù),以便在傳遞信號(hào)時(shí)將%rsp設(shè)置為一個(gè)已知的有效值:sigaltstack()。我們要做的就是像下面這樣來(lái)調(diào)用它:

 
 
 
 
    
  
  
  
  
  1. stack_t ss = {}; 
    2. 
  
  
  
  
  2.   
    3. 
  
  
  
  
  3. ss.ss_sp = malloc(SIGSTKSZ); 
    4. 
  
  
  
  
  4. if (!ss.ss_sp) 
    5. 
  
  
  
  
  5.     error(EXIT_FAILURE, errno, "malloc()"); 
    6. 
  
  
  
  
  6.   
    7. 
  
  
  
  
  7. ss.ss_size = SIGSTKSZ; 
    8. 
  
  
  
  
  8. ss.ss_flags = 0; 
    9. 
  
  
  
  
  9. if (sigaltstack(&ss, NULL) == -1) 
    10. 
  
  
  
  
  10.     error(EXIT_FAILURE, errno, "sigaltstack()"); 
    11.

然后,將SA_ONSTACK傳遞給處理SIGTRAP的sigaction()調(diào)用的sa_flags變量中。

段寄存器

說(shuō)到段寄存器,你會(huì)經(jīng)??吹竭@樣的說(shuō)法:其實(shí)在64位上已經(jīng)不太有用了。然而,這并不是全部的事實(shí)。的確,你不能改變基地址或段大小,但幾乎所有其他的東西都還是相關(guān)的。特別是一些與我們相關(guān)的東西,例如:

· %cs、%ds、%es和%ss必須含有有效的16位段選擇器,指向GDT(全局描述符表)或LDT(局部描述符表)中的有效條目。

· %cs不能使用mov指令加載,但我們可以使用ljmp(遠(yuǎn)/長(zhǎng)跳轉(zhuǎn))指令。

· %cs的CPL(當(dāng)前權(quán)限級(jí)別)字段是CPU正在執(zhí)行的權(quán)限級(jí)別。通常情況下,64位用戶(hù)空間進(jìn)程運(yùn)行的%cs為0x33,即GDT的索引6,特權(quán)級(jí)別為3,內(nèi)核運(yùn)行的%cs為0x10,即GDT的索引2,特權(quán)級(jí)別為0(因此稱(chēng)為ring 0)。

· 實(shí)際上我們可以使用modify_ldt()系統(tǒng)調(diào)用在LDT中安裝條目,但要注意的是,內(nèi)核會(huì)對(duì)條目進(jìn)行消毒,所以我們不能創(chuàng)建一個(gè)指向DPL 0的段的調(diào)用門(mén)。

· %fs和%gs的基地址是由MSRs指定的。這些寄存器通常分別用于用戶(hù)空間進(jìn)程和內(nèi)核的TLS(線(xiàn)程本地存儲(chǔ))和per-CPU數(shù)據(jù)。我們可以使用arch_prctl()系統(tǒng)調(diào)用來(lái)改變這些寄存器的值。在某些CPU/內(nèi)核上,我們可以使用wrfsbase和wrgsbase指令。

· 使用mov或pop指令設(shè)置%ss會(huì)使CPU在mov或pop指令之后的一條指令中屏蔽中斷、NMI、斷點(diǎn)和單步陷阱。如果下一條指令導(dǎo)致進(jìn)入內(nèi)核,這些中斷、NMI、斷點(diǎn)或單步陷阱將在CPU開(kāi)始在內(nèi)核空間執(zhí)行后生效。這就是CVE-2018-8897的來(lái)源,內(nèi)核沒(méi)有正確處理這種情況。

LDT

由于我們可能會(huì)從LDT中加載段寄存器,所以不妨從設(shè)置LDT開(kāi)始入手。由于modify_ldt()沒(méi)有g(shù)libc封裝器,所以我們必須使用syscall()函數(shù)來(lái)調(diào)用它:

 
 
 
 
    
  
  
  
  
  1. #include 
    2. 
  
  
  
  
  2. #include 
    3. 
  
  
  
  
  3. #include 
    4. 
  
  
  
  
  4. #include 
    5. 
  
  
  
  
  5.   
    6. 
  
  
  
  
  6. for (unsigned int i = 0; i < 4; ++i) { 
    7. 
  
  
  
  
  7.     struct user_desc desc = {}; 
    8. 
  
  
  
  
  8.     desc.entry_number = i; 
    9. 
  
  
  
  
  9.     desc.base_addr = std::uniform_int_distribution 
    10. 
  
  
  
  
  10.     desc.limit = std::uniform_int_distribution 
    11. 
  
  
  
  
  11.     desc.seg_32bit = std::uniform_int_distribution 
    12. 
  
  
  
  
  12.     desc.contents = std::uniform_int_distribution 
    13. 
  
  
  
  
  13.     desc.read_exec_only = std::uniform_int_distribution 
    14. 
  
  
  
  
  14.     desc.limit_in_pages = std::uniform_int_distribution 
    15. 
  
  
  
  
  15.     desc.seg_not_present = std::uniform_int_distribution 
    16. 
  
  
  
  
  16.     desc.useable = std::uniform_int_distribution 
    17. 
  
  
  
  
  17.   
    18. 
  
  
  
  
  18.     syscall(SYS_modify_ldt, 1, &desc, sizeof(desc)); 
    19. 
  
  
  
  
    20.

我們可能要檢查這里的返回值;我們不應(yīng)該生成無(wú)效的LDT條目,所以知道我們是否存在這種條目是很有用的。

 
 
 
 
    
  
  
  
  
  1. static uint16_t get_random_segment_selector() 
    2. 
  
  
  
  
    3. 
  
  
  
  
  3.     unsigned int index; 
    4. 
  
  
  
  
  4.   
    5. 
  
  
  
  
  5.     switch (std::uniform_int_distribution 
    6. 
  
  
  
  
  6.     case 0: 
    7. 
  
  
  
  
  7.         // The LDT is small, so favour smaller indices 
    8. 
  
  
  
  
  8.         index = std::uniform_int_distribution 
    9. 
  
  
  
  
  9.         break; 
    10. 
  
  
  
  
  10.     case 1: 
    11. 
  
  
  
  
  11.         // Linux defines 32 GDT entries by default 
    12. 
  
  
  
  
  12.         index = std::uniform_int_distribution 
    13. 
  
  
  
  
  13.         break; 
    14. 
  
  
  
  
  14.     case 2: 
    15. 
  
  
  
  
  15.         // Max table size 
    16. 
  
  
  
  
  16.         index = std::uniform_int_distribution 
    17. 
  
  
  
  
  17.         break; 
    18. 
  
  
  
  
  18.     } 
    19. 
  
  
  
  
  19.     unsigned int ti = std::uniform_int_distribution 
    20. 
  
  
  
  
  20.     unsigned int rpl = std::uniform_int_distribution 
    21. 
  
  
  
  
  21.   
    22. 
  
  
  
  
  22.     return (index << 3) | (ti << 2) | rpl; 
    23. 
  
  
  
  
    24.

數(shù)據(jù)段(%ds)

下面展示如何使用數(shù)據(jù)段:

 
 
 
 
    
  
  
  
  
  1. if (std::uniform_int_distribution 
    2. 
  
  
  
  
  2.     uint16_t sel = get_random_segment_selector(); 
    3. 
  
  
  
  
  3.   
    4. 
  
  
  
  
  4.     // movw $imm, %ax 
    5. 
  
  
  
  
  5.     *out++ = 0x66; 
    6. 
  
  
  
  
  6.     *out++ = 0xb8; 
    7. 
  
  
  
  
  7.     *out++ = sel; 
    8. 
  
  
  
  
  8.     *out++ = sel >> 8; 
    9. 
  
  
  
  
  9.   
    10. 
  
  
  
  
  10.     // movw %ax, %ds 
    11. 
  
  
  
  
  11.     *out++ = 0x8e; 
    12. 
  
  
  
  
  12.     *out++ = 0xd8; 
    13. 
  
  
  
  
    14.

%fs與 %gs

對(duì)于%fs和%gs,我們需要使用系統(tǒng)調(diào)用arch_prctl()。在普通(非JIT匯編)代碼中,可以這樣使用:

 
 
 
 
    
  
  
  
  
  1. #include 
    2. 
  
  
  
  
  2. #include 
    3. 
  
  
  
  
  3.   
    4. 
  
  
  
  
  4. ... 
    5. 
  
  
  
  
  5.   
    6. 
  
  
  
  
  6. syscall(SYS_arch_prctl, ARCH_SET_FS, get_random_address()); 
    7. 
  
  
  
  
  7. syscall(SYS_arch_prctl, ARCH_SET_GS, get_random_address()); 
    8.

不幸的是,這樣做很有可能導(dǎo)致glibc/libstdc++在任何使用線(xiàn)程本地存儲(chǔ)的代碼上崩潰(甚至在第二次get_random_address()調(diào)用時(shí)就可能發(fā)生)。如果我們想生成系統(tǒng)調(diào)用來(lái)做這件事,我們可以通過(guò)支持代碼進(jìn)行協(xié)助:

 
 
 
 
    
  
  
  
  
  1. enum machine_register { 
    2. 
  
  
  
  
  2.     // 0 
    3. 
  
  
  
  
  3.     RAX, 
    4. 
  
  
  
  
  4.     RCX, 
    5. 
  
  
  
  
  5.     RDX, 
    6. 
  
  
  
  
  6.     RBX, 
    7. 
  
  
  
  
  7.     RSP, 
    8. 
  
  
  
  
  8.     RBP, 
    9. 
  
  
  
  
  9.     RSI, 
    10. 
  
  
  
  
  10.     RDI, 
    11. 
  
  
  
  
  11.     // 8 
    12. 
  
  
  
  
  12.     R8, 
    13. 
  
  
  
  
  13.     R9, 
    14. 
  
  
  
  
  14.     R10, 
    15. 
  
  
  
  
  15.     R11, 
    16. 
  
  
  
  
  16.     R12, 
    17. 
  
  
  
  
  17.     R13, 
    18. 
  
  
  
  
  18.     R14, 
    19. 
  
  
  
  
  19.     R15, 
    20. 
  
  
  
  
  20. }; 
    21. 
  
  
  
  
  21.   
    22. 
  
  
  
  
  22. const unsigned int REX = 0x40; 
    23. 
  
  
  
  
  23. const unsigned int REX_B = 0x01; 
    24. 
  
  
  
  
  24. const unsigned int REX_W = 0x08; 
    25. 
  
  
  
  
  25.   
    26. 
  
  
  
  
  26. static uint8_t *emit_mov_imm64_reg(uint8_t *out, uint64_t imm, machine_register reg) 
    27. 
  
  
  
  
    28. 
  
  
  
  
  28.     *out++ = REX | REX_W | (REX_B * (reg >= 8)); 
    29. 
  
  
  
  
  29.     *out++ = 0xb8 | (reg & 7); 
    30. 
  
  
  
  
  30.     for (int i = 0; i < 8; ++i) 
    31. 
  
  
  
  
  31.         *out++ = imm >> (8 * i); 
    32. 
  
  
  
  
  32.   
    33. 
  
  
  
  
  33.     return out; 
    34. 
  
  
  
  
    35. 
  
  
  
  
  35.   
    36. 
  
  
  
  
  36. static uint8_t *emit_call_arch_prctl(uint8_t *out, int code, unsigned long addr) 
    37. 
  
  
  
  
    38. 
  
  
  
  
  38.     // int arch_prctl(int code, unsigned long addr); 
    39. 
  
  
  
  
  39.     out = emit_mov_imm64_reg(out, SYS_arch_prctl, RAX); 
    40. 
  
  
  
  
  40.     out = emit_mov_imm64_reg(out, code, RDI); 
    41. 
  
  
  
  
  41.     out = emit_mov_imm64_reg(out, addr, RSI); 
    42. 
  
  
  
  
  42.   
    43. 
  
  
  
  
  43.     // syscall 
    44. 
  
  
  
  
  44.     *out++ = 0x0f; 
    45. 
  
  
  
  
  45.     *out++ = 0x05; 
    46. 
  
  
  
  
  46.   
    47. 
  
  
  
  
  47.     return out; 
    48. 
  
  
  
  
    49.

需要注意的是,除了需要一些寄存器來(lái)執(zhí)行系統(tǒng)調(diào)用本身之外,syscall指令還用返回地址(即syscall指令后的指令地址)覆蓋%rcx,所以我們可能要在做其他事情之前進(jìn)行這些調(diào)用。

小結(jié)

在本文中,我們?yōu)樽x者更進(jìn)一步介紹了各種標(biāo)志寄存器、堆棧指針以及部分段寄存器,在下一篇文章中,我們將為讀者介紹調(diào)試寄存器以及進(jìn)入內(nèi)核的不同方法。

本文翻譯自:https://blogs.oracle.com/linux/fuzzing-the-linux-kernel-x86-entry-code%2c-part-2-of-3如若轉(zhuǎn)載,請(qǐng)注明原文地址


新聞標(biāo)題:Linux內(nèi)核(x86)入口代碼模糊測(cè)試指南Part2(上篇)
URL鏈接:http://www.5511xx.com/article/djdijej.html