剖析一個由sendfile引發(fā)的linux內(nèi)核BUG

W.Z.T

原帖由 Godbach 于 2010-1-17 12:03 發(fā)表
多謝WZT兄的詳細(xì)解釋。這個應(yīng)該印證了我用標(biāo)準(zhǔn)的2.6.18編譯之后可以exp的原因。

另外，為什么那個程序還要分出來一個run.c呢。他也就是設(shè)置一下PER_SVR4。不可以合并到同一個文件里嗎？

兄弟的BLOG上不是有篇：空指針的樂趣（2）

另一個關(guān)于 map_min_addr 的方法也必須要談到：一個帶有 SVR4 個性化的特權(quán)進(jìn)程在 exec() 的時候，會有一個只讀頁面映射到0頁面。

Godbach

Enable -fstack-protector buffer overflow detection (EXPERIMENTAL) ───────────────────┐
  │ CONFIG_CC_STACKPROTECTOR:                                                                              │  
  │                                                                                                        │  
  │ This option turns on the -fstack-protector GCC feature. This                                           │  
  │ feature puts, at the beginning of functions, a canary value on                                         │  
  │ the stack just before the return address, and validates                                                │  
  │ the value just before actually returning.  Stack based buffer                                          │  
  │ overflows (that need to overwrite this return address) now also                                        │  
  │ overwrite the canary, which gets detected and the attack is then                                       │  
  │ neutralized via a kernel panic.   

這個配置選項應(yīng)該就是內(nèi)核態(tài)配置，告訴GCC不要優(yōu)化指針的初始化和操作把。

W.Z.T

原帖由 Godbach 于 2010-1-18 10:27 發(fā)表

這個配置選項應(yīng)該就是內(nèi)核態(tài)配置，告訴GCC不要優(yōu)化指針的初始化和操作把。

這個是檢查緩沖區(qū)溢出的選項吧？

Godbach

記得前一段時間還有一個sendmsg的漏洞，由于該指針被初始化了，隨后使用的時候編譯器做了優(yōu)化，導(dǎo)致其為一個有效的指針。但實際上是有漏洞可利用的，后來就有篇文章說編譯內(nèi)核的時候告訴編譯器不做這個優(yōu)化，感覺也應(yīng)該是一個內(nèi)核配置項。

Godbach

空指針的樂趣2上提到了，是-fno-delete-null-pointer-checks

Godbach

對比了一下2.6.18.3和2.6.32.3的內(nèi)核Makefile，后者KBUILD_CFLAGS中多了-fno-delete-null-pointer-checks的編譯選項

Godbach

有幸看到了兄臺分析的udp_sendmsg漏洞，學(xué)習(xí)一下。。
http://hi.baidu.com/wzt85/blog/item/01c7f79052cd8584a877a4c4.html

W.Z.T

原帖由 Godbach 于 2010-1-18 10:41 發(fā)表
記得前一段時間還有一個sendmsg的漏洞，由于該指針被初始化了，隨后使用的時候編譯器做了優(yōu)化，導(dǎo)致其為一個有效的指針。但實際上是有漏洞可利用的，后來就有篇文章說編譯內(nèi)核的時候告訴編譯器不做這個優(yōu)化，感 ...

現(xiàn)在我還是不太明白為什么關(guān)閉selinux就不能映射0地址了？

Godbach

原帖由 W.Z.T 于 2010-1-18 17:17 發(fā)表


現(xiàn)在我還是不太明白為什么關(guān)閉selinux就不能映射0地址了？

這個可能就是和SElinux有關(guān)了吧。

Godbach

另外有個問題需要請教WZT兄。
在sendpage漏洞中，將返回的函數(shù)指向的0地址進(jìn)行映射，因此可以直接執(zhí)行kernel_code。

而在你分析的udp_sendmsg函數(shù)中，只是一個成員為NULL。所以這個時候exp程序要構(gòu)造出那個結(jié)構(gòu)，但是最終還是得捕捉到執(zhí)行函數(shù)是跳轉(zhuǎn)到exp指定的函數(shù)，這個時候內(nèi)核是調(diào)用那個函數(shù)時發(fā)生的呢？