linux - 如何在子进程中访问父进程的内存映射区域？

Question

我想在 2 个进程之间共享一个内存映射区域，并使用 ptrace 将数据“插入”其中。根据clone man page , CLONE_VM 标志是我正在寻找的，但是，我似乎无法访问子进程中的映射。

package main

import (
    "flag"
    "fmt"
    "io/ioutil"
    "log"
    "os"
    "os/exec"
    "syscall"
    "unsafe"
)

func A() {
    f, err := ioutil.TempFile("", "test")
    if err != nil {
        log.Fatal(err)
    }
    f.Write([]byte("4321"))

    b, err := syscall.Mmap(int(f.Fd()), 0, 10, syscall.PROT_WRITE, syscall.MAP_SHARED)
    if err != nil {
        log.Fatalln("mmap", err)
    }

    maps, err := ioutil.ReadFile("/proc/self/maps")
    if err != nil {
        log.Fatal(err)
    }
    fmt.Println("A maps:")
    fmt.Println(string(maps))

    cmd := exec.Command("/proc/self/exe", "B")
    cmd.SysProcAttr = &syscall.SysProcAttr{
        Ptrace:     true,
        Cloneflags: syscall.CLONE_VM | syscall.CLONE_PTRACE,
    }
    cmd.Stdout = os.Stdout
    cmd.Stderr = os.Stderr

    err = cmd.Start()
    if err != nil {
        log.Fatal(err)
    }

    _, err = syscall.Wait4(cmd.Process.Pid, nil, 0, nil)
    if err != nil {
        log.Fatalln("Wait4", err)
    }

    ptr := unsafe.Pointer(&b[0])
    log.Printf("PokeText into %p\n", ptr)

    // Poke text into the mmaped-region via ptrace
    _, err = syscall.PtracePokeText(cmd.Process.Pid, uintptr(ptr), []byte("1234"))
    if err != nil {
        log.Fatalln("PokeText", err)
    }
}

func B() {
    _, _, errno := syscall.RawSyscall(syscall.SYS_PTRACE, uintptr(syscall.PTRACE_TRACEME), 0, 0)
    if errno != 0 {
        log.Fatal("TRACEME", errno)
    }
    log.Println("B exiting")
}

func main() {
    flag.Parse()
    if flag.Arg(0) != "B" {
        A()
    } else {
        B()
    }
}

这是输出:

A maps:
00400000-004ab000 r-xp 00000000 00:16 29942418                           /tmp/go-build924065198/b001/exe/a
004ab000-0055d000 r--p 000ab000 00:16 29942418                           /tmp/go-build924065198/b001/exe/a
0055d000-00573000 rw-p 0015d000 00:16 29942418                           /tmp/go-build924065198/b001/exe/a
00573000-00592000 rw-p 00000000 00:00 0 
c000000000-c000001000 rw-p 00000000 00:00 0 
c41fff8000-c420100000 rw-p 00000000 00:00 0 
7fe59696a000-7fe59696b000 -w-s 00000000 00:16 29942419                   /tmp/test112646167
7fe59696b000-7fe596a0b000 rw-p 00000000 00:00 0 
7ffd43a91000-7ffd43ab4000 rw-p 00000000 00:00 0                          [stack]
7ffd43acc000-7ffd43ace000 r--p 00000000 00:00 0                          [vvar]
7ffd43ace000-7ffd43ad0000 r-xp 00000000 00:00 0                          [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]

2018/04/02 14:04:28 PokeText into 0x7fe59696a000
2018/04/02 14:04:28 PokeText input/output error
exit status 1
2018/04/02 14:04:28 B exiting

Answer 1

如果我没理解错的话，您想与两个进程协作的子进程共享缓冲区？首先，不要使用CLONE_VM，它主要用于线程。其次，您使在父进程和子进程之间共享缓冲区的简单任务过于复杂。

相反，我会建议 using memfd并将其传递给子进程。从那里共享内存，不需要丑陋和缓慢的 ptrace 调用。请记住，您需要锁定以防止缓冲区被子对象和父对象同时修改。这将需要像 a futex 这样的低级原语。实现锁定。

这都是高度特定于 Linux 的，并且由于您使用的是 clone 我假设可移植性在我的回答中无关紧要。我还假设您使用的是相当新的内核(memfd 在 3.17 中成为主线)。

旁注:从 Linux 3.2 开始，您将获得这两个奇妙的新系统调用:process_vm_readv and process_vm_writev这应该可以省去必须使用 ptrace 的 poke 的麻烦(正如您可能猜测的那样，这会导致不断切换到内核的巨大损失)。

旁注 2:由于您没有使用 C，我建议使用您的语言的机制来执行子进程，因此没有理由在那里使用 clone。您需要做的就是将文件描述符传递给子进程(想到 UNIX 域套接字或非 CLOEXEC 文件描述符)。

编辑:您似乎正试图在 parent 和 child 之间共享一个 mmap 文件，并且正在以一种绕过允许这样做的所有内核机制的方式进行“只是工作”。将 fd 传递给 child ，内核将处理其余部分。或者重新打开 child 中的文件。两者都有效，这是数据库常用的技术。

---

编辑 2:如果我从评论中理解正确，这是尝试执行 Dirty COW依赖于内核 VM 子系统中的私有(private) 映射和竞争条件 的漏洞。

从依赖于大型运行时的垃圾收集语言 (Go) 执行此操作，并且可能会做很多事情，例如内存分配，因为几乎任何事情的副作用都是触发竞争条件的糟糕方法。在这种情况下，使用共享映射会破坏漏洞利用点。我仍然对您要实现的目标感到困惑，但如果它是在 Go 中复制漏洞，我建议您不要这样做，因为它不是完成这项工作的正确工具。

您还试图利用对您似乎已经具有写入权限的文件的访问权限提升吗？这似乎更没有意义。底线是，我认为在尝试复制漏洞利用之前，重要的是要考虑漏洞利用的语义，以及高级语言可能不太适合的地方。