一个整数+1,攻破了 Linux 内核

大千世界 130 0

  帝国危机

  夜幕降临,喧嚣褪去,繁忙的 Linux 帝国渐渐平静了下来,谁也没有想到,一场危机正在悄然而至......

  

一个整数+1,攻破了 Linux 内核-第1张图片-大千世界


  “咚咚!”,帝国安全部长办公室的敲门声,打破了夜晚的宁静。

  “部长,刚刚发现有程序在修改 passwd 文件”,原来是文件系统部门的小黑到访。

  安全部长眉头一紧,这 passwd 文件可非比寻常,里面记录了系统中所有用户的信息,但 0.1ms 之后,紧锁的眉头便舒展开来。

  

一个整数+1,攻破了 Linux 内核-第2张图片-大千世界


  “这有什么大惊小怪的?只要有 root 权限,这是允许的嘛!”,安全部长没有抬头,继续看着每天的系统日志。

  “部长,重点在于这程序不是从系统调用进入内核,而是从中断入口进来的”

  安全部长愣了一下,约莫 0.2ms 之后,放下了手里的日志,站了起来。

  “你是说,他是通过中断描述符表(IDT)进来的?”

  小黑点了点头。

  

一个整数+1,攻破了 Linux 内核-第3张图片-大千世界


  “小王,你赶紧跟他过去 IDT 看一下,调查清楚速来报我”,部长对着一旁的助理说到。

  助理点了点头,准备出发,刚走到门口,又被部长叫住了。

  “等等!此事非同小可,我还是亲自去一趟吧”

  IDT 修改谜案

  安全部长随即出发,来到 IDT 所在的地方,这里一切如旧,未见有何异样。

  部长指着这中段描述符表问道:“他是从哪道门进来的?”

  “4 号”,这时,看守 IDT 大门的白发老头闻讯走了过来回答到。

  “奇怪了,IDT 表中的函数入口,都是我们操作系统安排好了的,讲道理没有哪一个会去修改 passwd 文件才对”,部长看着这些表项,低头自语。

  

一个整数+1,攻破了 Linux 内核-第4张图片-大千世界


  “部长,这我得跟您汇报一下,那小子进来之前,把第四项的入口地址高 32 位改成了 0x00000000,进来之后他才给恢复成了 0xFFFFFFFF”,老头说完,拿出了 IDT 表项的结构图展了开来:

  

一个整数+1,攻破了 Linux 内核-第5张图片-大千世界


  部长听完猛的一抬头,“这入口地址是 64 位的,在 IDT 表项中拆分成三部分存储。高 32 位平时都是 0xFFFFFFFF,指向的是咱们内核空间中的中断处理函数。现在变成了 0x00000000,那整个函数入口地址不就指向了用户态地址空间了吗?”

  小黑和助理都不敢说话,大家都知道这后果有多严重,天知道那家伙利用内核权限执行了用户空间的什么代码。

  “不对,在他进来之前,一个用户空间的程序怎么能改 IDT 的内容呢?他没权限访问才对,你是不是看错了?”

  “我没有看错,他改的是时候,我还特地留意了一下他的调用堆栈,不是在用户空间,是从内核空间的函数 ——perf_swevent_init 方向来的”,老头说到。

  整数 + 1 的悲剧

  部长二话没说,又带着大家直奔 perf_swevent_init 函数而去。

  

一个整数+1,攻破了 Linux 内核-第6张图片-大千世界


  “老伯,您可还记得具体是哪个位置?”,部长问到。

  “就是从那个 19 行那个 static_key_slow_inc 函数过来的”

  

一个整数+1,攻破了 Linux 内核-第7张图片-大千世界


  “让我看一下”,助理挤到前面来,想在部长面前露一手。

  “嗯,这个 static_key_slow_inc 做的事情是把一个整数执行了原子 + 1 操作。不过它操作的是 perf_swevent_enabled 数组,跟 IDT 八杆子打不到一块儿去,怎么能修改到 IDT 呢?”,助理摸了摸头,往后退了两步,瞧着是没看出什么问题。

  “不见得!”,部长仍然是紧锁着眉头,开口说到,“你们看,它是通过 event_id 这个数字作为下标来访问数组元素,要是这个 event_id 出错访问越界,指向 IDT,也不是没有可能啊!”

  助理赶紧扫了一眼 event_id,随后便露出了失望的表情,“不会的,第 9 行有检查,你看,超过 8 以后就会通不过检查”

  

一个整数+1,攻破了 Linux 内核-第8张图片-大千世界


  

一个整数+1,攻破了 Linux 内核-第9张图片-大千世界


  线索在这里被切断了,本来指望在 perf_swevent_init 这个函数这里寻找 IDT 被修改之谜,看来要无功而返了。

  不知不觉,时间已经很晚了,部长一行决定先回去,再从长计议。

  部长走了几步,见助理没有跟上来,便回头叫了他一声。

  “部长请留步,我好像感觉哪里不太对劲”,助理此刻也皱起了眉头。

  “你发现了什么?”,部长和小黑他们又走了回来。

  “部长,你看第 3 行,这个 event_id 是一个 int 型的变量,也就是说这是一个有符号数。”,助理说到。

  “有符号数怎么了?”,小黑也忍不住开口问了。

  “如果・・・・・・”

  “如果 event_id 变成了一个负数,它将能越界访问数组,并且还能通过第 9 行的大小检查!”,没等助理说完,部长道破了玄机!

  众人再一次将目光聚集在了这个 event_id 上,打算看一下第三行给它赋值的 event->attr.config 是个什么来头。

  首先是 perf_event 中的 attr 成员变量:

  struct perf_event {

  // ...

  struct perf_event_attr attr;

  // ...

  };

  接着是 perf_event_attr 中的 config 成员变量:

  struct perf_event_attr {

  //

  __u64 config;

  //

  };

  看到最后,部长和助理都倒吸了一口凉气,这 config 竟然是个 64 位无符号整数,把它赋值给一个 int 型变量不出问题就怪了!

  见大家都不说话,小黑挠了挠头,弱弱的问到:“怎么了,你们怎么都不说话,这有什么问题吗?”

  助理把小黑拉到一边,“问题大了,你看我要是把一个值为 0xFFFFFFFF 的 config 赋值给 event_id,event_id 会变成什么?”

  “负,负,负 1?”

  

一个整数+1,攻破了 Linux 内核-第10张图片-大千世界


  “没错,有符号数的最高位是用来标记正负的,如果这个 config 最高位为 1,后面的位经过精心设计,不仅能瞒天过海骗过那里第 9 行的验证,还能将某个位置的数字进行一个原子 + 1 操作。”,助理继续说道。

  “不错嘛小王,有进步!”,不知何时部长也走了过来,被部长这么一夸,助理都有些不好意思了。

  “听了半天,不就是越界把某个地方的数加了 1 嘛,有什么大不了的?”,小黑一脸不屑的样子。

  助理一听连连摇头,“你可不要小瞧了这个加 1 的行为,要是加在某些敏感的地方,那可是要出大事的!“

  小黑有些疑惑,“比如说呢?”

  “比如记录中断和异常的处理函数的 IDT,又比如记录系统调用的 sys_call_table,这些表中的函数地址都位于帝国内核空间,要是这个加 1,加的不是别人,而是这些表中的函数地址,那可就麻烦了。”,助理继续说到。

  “我听明白了,可是就算加个 1,也应该不是什么大问题吧?”

  助理叹了口气,“看来你还是不明白,我以这次被修改的 IDT 表为例,给大家再看一下表中的表项 —— 中断描述符的格式”

  

一个整数+1,攻破了 Linux 内核-第11张图片-大千世界


  “IDT 中的中断 / 异常处理函数的地址不是一个完整的 64 位,而是拆成了几部分,其中高 32 位我给大家红色标示出来了,在 64 位 Linux 帝国,内核空间的地址高 32 位都是 0xFFFFFFFF,如果・・・・・・”

  “如果利用前面的 event_id 数组下标越界访问,把这个地方原子 + 1,那就变成了 0,对不对?”,小黑总算明白了。

  真相大白

  

一个整数+1,攻破了 Linux 内核-第12张图片-大千世界


  安全部长为助理的精彩分析鼓起了掌,“不错不错,大家都很聪明!事到如今,我们来复盘一下吧!”

  第一步:精心设计一个 config 值,从应用层传入内核空间的 perf_swevent_init 函数

  第二步:利用内核漏洞,把一个 64 位无符号数赋值给一个 int 型变量,导致变量溢出为一个负数。

  第三步:利用溢出的 event_id 越界访问 perf_swevent_enabled,指向 IDT 的表项,将第四项中断处理函数的高 32 位进行原子 + 1

  第四步:修改后的中断处理函数指向了用户空间,提前在此安排恶意代码

  第五步:应用层执行 int 4 汇编指令,触发 4 号中断,线程将进入内核空间,以至高权限执行提前安排的恶意代码。

  事情总算是水落石出,安全部长回去之后就把这问题上报,修复了这个漏洞,将 event_id 的类型从 int 修正为 u64,这一次的危机总算解除了。


标签: Linux linux

抱歉,评论功能暂时关闭!