个人中心
gpt4 book ai didi

ptrace 是否可以导致被跟踪进程在不访问可执行系统调用指令的情况下执行系统调用?

转载 作者:太空狗 更新时间:2023-10-29 11:17:02 27 4
gpt4 key购买 nike

考虑这个无限循环的简单程序:

int main(void) {
        for(;;);
}

使用 ptrace 向其中注入(inject)系统调用非常简单,如下所示:

#include <stdio.h>
#include <stdlib.h>
#include <sys/ptrace.h>
#include <sys/syscall.h>
#include <sys/types.h>
#include <sys/user.h>
#include <sys/wait.h>

int main(int argc, char *argv[]) {
        struct user_regs_struct regs;
        pid_t pid = strtol(argv[1], NULL, 10);
        ptrace(PTRACE_ATTACH, pid, 0, 0);
        waitid(P_PID, pid, NULL, WSTOPPED);
        ptrace(PTRACE_GETREGS, pid, 0, &regs);
        if(ptrace(PTRACE_POKETEXT, pid, (void*)regs.rip, (void*)0x050f /* the "syscall" instruction, in little-endian */)) {
                perror("PTRACE_POKETEXT");
                return 1;
        }
        regs.rax = SYS_exit;
        regs.rdi = 42;
        ptrace(PTRACE_SETREGS, pid, 0, &regs);
        ptrace(PTRACE_DETACH, pid, 0, 0);
        return 0;
}

这将在无限循环中注入(inject)系统调用 _exit(42);。也可以通过查找现有的 syscall 指令来做到这一点,而不是仅仅覆盖指令指针恰好所在的位置。

现在考虑这个程序,它也(在一些设置之后)只是无限循环:

#define _GNU_SOURCE

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/mman.h>
#include <sys/syscall.h>

struct mapping_list {
    void *start;
    size_t len;
    struct mapping_list *next;
};

typedef void unmap_all_t(struct mapping_list *list, void *start, size_t len);
extern unmap_all_t unmap_all;
extern const char unmap_all_end[];
__asm__("\n"
    "unmap_all:\n"
    "  movq %rsi, %r8 # save start\n"
    "  movq %rdi, %r9 # save list\n"
    ".unmap_list_element:\n"
    "  movq (%r9), %rdi # pass list->start as addr\n"
    "  movq 8(%r9), %rsi # pass list->len as length\n"
    "  movl $11, %eax # SYS_munmap\n"
    "  syscall\n"
    "  movq 16(%r9), %r9 # advance to the next list element\n"
    "  testq %r9, %r9\n"
    "  jne .unmap_list_element\n"
    "  movl $11, %eax # SYS_munmap\n"
    "  movq %r8, %rdi # pass start as addr\n"
    "  movq %rdx, %rsi # pass len as length\n"
    "  jmp .final_syscall\n"
    "  .org unmap_all+4094 # make sure the upcoming syscall instruction is at the very end of the page,\n"
    ".final_syscall:       # given that unmap_all started at the very beginning of it\n"
    "  syscall\n"
    ".loop_forever:\n"
    "  jmp .loop_forever\n"
    "unmap_all_end:\n"
);

int main(void) {
    FILE *maps = fopen("/proc/self/maps", "r");
    if(!maps) {
        perror("fopen");
        return 1;
    }

    struct mapping_list *list = NULL;
    unsigned long start, end;
    char r, w, x;
    while(fscanf(maps, "%lx-%lx %c%c%c", &start, &end, &r, &w, &x) == 5) {
        while(fgetc(maps) != '\n');
        if(x != 'x') continue;
        struct mapping_list *new_list = malloc(sizeof(struct mapping_list));
        new_list->start = (void*)start;
        new_list->len = end - start;
        new_list->next = list;
        list = new_list;
    }

    if(fclose(maps)) {
        perror("fclose");
        return 1;
    }

    int memfd = syscall(SYS_memfd_create, "unmap_all", 2 /* MFD_ALLOW_SEALING */);
    if(memfd == -1) {
        perror("memfd_create");
        return 1;
    }

    if(ftruncate(memfd, 8192)) {
        perror("ftruncate");
        return 1;
    }

    char *pages = mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_SHARED, memfd, 0);
    if(pages == MAP_FAILED) {
        perror("mmap");
        return 1;
    }

    memcpy(pages, unmap_all, unmap_all_end - (const char*)unmap_all);

    if(munmap(pages, 8192)) {
        perror("munmap");
        return 1;
    }

    char *path;
    if(asprintf(&path, "/proc/self/fd/%d", memfd) == -1) {
        perror("asprintf");
        return 1;
    }

    int memfd_ro = open(path, O_RDONLY);
    if(memfd_ro == -1) {
        perror("open");
        return 1;
    }

    free(path);

    if(fcntl(memfd, 1033 /* F_ADD_SEALS */, 15 /* F_SEAL_SEAL|F_SEAL_SHRINK|F_SEAL_GROW|F_SEAL_WRITE */)) {
        perror("fcntl");
        return 1;
    }

    if(close(memfd)) {
        perror("close");
        return 1;
    }

    pages = mmap(NULL, 8192, PROT_READ|PROT_EXEC, MAP_SHARED, memfd_ro, 0);
    if(pages == MAP_FAILED) {
        perror("mmap");
        return 1;
    }

    if(close(memfd_ro)) {
        perror("close");
        return 1;
    }

    ((unmap_all_t*)pages)(list, pages, 4096);

    __builtin_unreachable();
}

当我尝试在其上使用我的 ptrace 程序时,编写系统调用指令的 PTRACE_POKETEXT 步骤失败并出现错误 EIO,因为包含页面是只读文件。我也没有找到现有 syscall 指令的选项,因为除一个之外的所有可执行页面都已取消映射,唯一剩下的页面不包含该指令的任何地方。

是否有任何其他方法可以使用 ptrace 使该程序执行系统调用,或者我是否完全不可能做到这一点? (如果重要的话,假设 x86_64 上的 Linux 4.19。)

最佳答案

The point of the seal is to "prove" that ptrace shouldn't automatically allow writing read-only pages

密封与进程之间的正常共享内存访问有关。

正如我在您的其他问题中提到的,关于内核源代码:

ptrace 通过 PTRACE_POKETEXT 访问是不同的。它完全绕过了给定页面上的保护。 (即)它引用与印章相关的任何内容。

poketext 操作由内核中完全不同的代码处理,[有点] 只是通过对 VM 的访问调用来完成。

我不会太担心。

您可能会看看 CONFIG_HAVE_IOREMAP_PROT

关于ptrace 是否可以导致被跟踪进程在不访问可执行系统调用指令的情况下执行系统调用?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53024196/

27 4 0
文章推荐: css - 对齐在CSS中旋转的元素
文章推荐: ios - 用于生产应用程序的 Crashlytics CLS_Log 与 NSLog
文章推荐: css - 使用 SASS mixin 还是创建单独的类更好?
文章推荐: ios - 从 NIB 加载 UIView - 帧大小错误
太空狗
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com