【趣话编程】一个整数+1引发的灾难

简介: 本故事根据Linux内核真实漏洞改编。

原文链接

帝国危机

夜幕降临,喧嚣褪去,繁忙的Linux帝国渐渐平静了下来,谁也没有想到,一场改变帝国命运的风暴正在悄然而至......
image.png
“咚咚!”,帝国安全部长办公室的敲门声,打破了夜晚的宁静。
“部长,刚刚发现有线程在修改passwd文件”,原来是文件系统部门的小黑到访。
image.png
“这有什么大惊小怪的?只要有root权限,这是允许的嘛!”,安全部长没有抬头,继续看着每天的系统日志。
“部长,重点在于这线程不是从系统调用进入内核,而是从中断入口进来的”
安全部长愣了一下,约莫0.2ms之后,放下了手里的日志,站了起来。
“你是说,他是通过中断描述符表(IDT)进来的?”
小黑点了点头。
image.png
“小王,你赶紧跟他过去IDT看一下,调查清楚速来报我”,部长对着一旁的助理说到。
小王点了点头,准备出发,刚走到门口,又被部长叫住了。
“等等!此事非同小可,我还是亲自去一趟吧”

IDT修改谜案

安全部长随即出发,来到IDT所在的地方,这里一切如旧,未见有何异样。
image.png
部长指着这一排门墙问道:“他是从哪道门进来的?”
“4号”,这时,看守IDT大门的白发老头闻讯走了过来回答到。

“奇怪了,IDT表中的函数入口,都是帝国安排好了的,讲道理没有哪一个会去修改passwd文件才对”,部长看着这些表项,低头自语。
image.png
“部长,这我得跟您汇报一下,那小子进来之前,把第四项的入口地址高32位改成了0x00000000,进来之后他才给恢复成了0xFFFFFFFF”,老头说完,拿出了IDT表项的结构图展了开来:
image.png
部长听完猛的一抬头,“高32位变成了0x00000000,那整个函数入口地址不就指向了用户态地址空间了?”
小黑和小王都不敢说话,大家都知道这后果有多严重,天知道那家伙利用内核权限执行了用户空间的什么代码。
“不对,在他进来之前,一个用户空间的线程怎么能改IDT的内容呢?他没权限访问才对,我不信!”
“这个我倒是知道,他改的是时候,我特地留意了一下他的调用堆栈,不是在用户空间,是从内核空间的函数——perf_swevent_init方向来的”,老头说到。

整数+1的悲剧

部长二话没说,又带着大家直奔perf_swevent_init函数而去。
image.png
“老伯,您可还记得具体是哪个位置?”,部长问到。
“就是从那个19行那个static_key_slow_inc函数过来的”
image.png
“让我看一下”,小王挤到前面来,想在部长面前露一手。
“嗯,这个static_key_slow_inc做的事情是把一个整数执行了原子+1操作。不过它操作的是perf_swevent_enabled数组,跟IDT八杆子打不到一块儿去,怎么能修改到IDT呢?”,小王摸了摸头,往后退了两步,瞧着是没看出什么问题。
“不见得!”,部长仍然是紧锁着眉头,开口说到,“你们看,它是通过event_id这个数字作为下标来访问数组元素,要是这个event_id出错访问越界,指向IDT,也不是没有可能啊!”
小王赶紧扫了一眼event_id,随后便露出了失望的表情,“不会的,第9行有检查,你看,超过8以后就会通不过检查”
image.png
image.png
线索在这里被切断了,本来指望在perf_swevent_init这个函数这里寻找IDT被修改之谜,看来要无功而返了。
不知不觉,时间已经很晚了,部长一行决定先回去,再从长计议。
部长走了几步,见小王没有跟上来,便回头叫了他一声。
“部长请留步,我好像感觉哪里不太对劲”,小王此刻也皱起了眉头。
“你发现了什么?”,部长和小黑他们又走了回来。
“部长,你看第3行,这个event_id是一个int型的变量,也就是说这是一个有符号数。”,小王说到。
“有符号数怎么了?”,小黑也忍不住开口问了。
“如果······”
“_如果event_id变成了一个负数,它将能越界访问数组,并且还能通过第9行的大小检查!_”,没等小王说完,部长道破了玄机!
众人再一次将目光聚集在了这个event_id上,打算看一下第三行给它赋值的event->attr.config是个什么来头。
首先是perf_event中的attr成员变量:

struct perf_event {
  // ...
  struct perf_event_attr attr;
  // ...
};

接着是perf_event_attr中的config成员变量:

struct perf_event_attr {
  // ...
  __u64 config;
  // ...
};

看到最后,部长和小王都倒吸了一口凉气,这config竟然是个64位无符号整数,把它赋值给一个int型变量不出问题就怪了!
见大家都不说话,小黑挠了挠头,弱弱的问到:“怎么了,你们怎么都不说话,这有什么问题吗?”
小王把小黑拉到一边,“问题大了,你看我要是把一个值为0xFFFFFFFFconfig赋值给event_idevent_id会变成什么?”
“负,负,负1?”
image.png
“没错,有符号数的最高位是用来标记正负的,如果这个config最高位为1,后面的位经过精心设计,不仅能瞒天过海骗过那里第9行的验证,还能将某个位置的数字进行一个原子+1操作。”,小王继续说道。
“不错嘛小王,有进步!”,不知何时部长也走了过来,被部长这么一夸,小王有些不好意思了。
“听了半天,不就是越界把某个地方的数加了1嘛,有什么大不了的?”,小黑一脸不屑的样子。
小王一听连连摇头,“你可不要小瞧了这个加1的行为,要是加在某些敏感的地方,那可是要出大事的!“
小黑有些疑惑,“比如说呢?”
“比如记录中断和异常的处理函数的IDT,又比如记录系统调用的sys_call_table,这些表中的函数地址都位于帝国内核空间,要是这个加1,加的不是别人,而是这些表中的函数地址,那可就麻烦了。”,小王继续说到。
“我听明白了,可是就算加个1,也应该不是什么大问题吧?”
小王叹了口气,“看来你还是不明白,我以这次被修改的IDT表为例,给大家再看一下表中的表项——中断描述符的格式”
image.png
“IDT中的中断/异常处理函数的地址不是一个完整的64位,而是拆成了几部分,其中高32位我给大家红色标示出来了,在64位Linux帝国,内核空间的地址高32位都是0xFFFFFFFF,如果······”
“如果利用前面的event_id数组下标越界访问,把这个地方原子+1,那就变成了0,对不对?”,小黑总算明白了。

真相大白

image.png
安全部长为小王的精彩分析鼓起了掌,“不错不错,大家都很聪明!事到如今,我们来复盘一下吧!”

  • 第一步:精心设计一个config值,从应用层传入内核空间的perf_swevent_init函数
  • 第二步:利用帝国内核漏洞,把一个64位无符号数赋值给一个int型变量,导致变量溢出为一个负数。
  • 第三步:利用溢出的event_id越界访问perf_swevent_enabled,指向IDT的表项,将第四项中断处理函数的高32位进行原子+1
  • 第四步:修改后的中断处理函数指向了用户空间,提前在此安排恶意代码
  • 第五步:应用层执行int 4汇编指令,触发4号中断,线程将进入内核空间,以至高权限执行提前安排的恶意代码。

事情总算是水落石出,安全部长回去之后便上报帝国总部,修复了此漏洞,将event_id的类型从int修正为u64
即便如此,部长的心情却并没有轻松多少,未知的敌人已经闯入帝国,它们是谁?做了什么?现在藏在哪里?一个又一个的问题还在不断在脑中闪现······
未完待续······

彩蛋

一个闷热的下午,风扇飞速的旋转,热得人喘不过气。
部长的办公室出现了一个熟悉的身影,走近一看原来是小马哥。
“部长,nginx公司又出事了”
预知后事如何,请关系后续精彩······

来源 | 编程技术宇宙
作者 | 轩辕之风

相关文章
|
3月前
|
Java 开发者
在Java编程的广阔天地中,if-else与switch语句犹如两位老练的舵手,引领着代码的流向,决定着程序的走向。
在Java编程中,if-else与switch语句是条件判断的两大利器。本文通过丰富的示例,深入浅出地解析两者的特点与应用场景。if-else适用于逻辑复杂的判断,而switch则在处理固定选项或多分支选择时更为高效。从逻辑复杂度、可读性到性能考量,我们将帮助你掌握何时选用哪种语句,让你在编程时更加得心应手。无论面对何种挑战,都能找到最适合的解决方案。
41 1
|
3月前
|
安全 Java 编译器
代码深处的秘密:当高级语言遇见汇编语言,思维将何去何从?
【8月更文挑战第31天】在编程领域,高级语言如Python和Java让我们高效开发,但要深入理解计算机工作原理,则需学习汇编语言。高级语言抽象了内存管理和操作细节,如Java中的`add`函数,编译器自动处理一切。而汇编语言则需手动管理每个步骤,如直接操作寄存器和内存进行加法运算。从高级语言转向汇编语言意味着思维的巨大转变:从依赖抽象到深入底层。掌握汇编不仅能提升对计算机物理本质的理解,还能优化系统性能、提高代码效率,甚至应用于逆向工程和安全分析。尽管现代开发中直接使用汇编的机会减少,但其原理对深入了解计算机依然至关重要。
19 0
|
3月前
|
算法 C++
惊爆!KPM算法背后的秘密武器:一行代码揭秘字符串最小周期的终极奥义,让你秒变编程界周期大师!
【8月更文挑战第4天】字符串最小周期问题旨在找出字符串中最短重复子串的长度。KPM(实为KMP,Knuth-Morris-Pratt)算法,虽主要用于字符串匹配,但其生成的前缀函数(next数组)也可用于求解最小周期。核心思想是构建LPS数组,记录模式串中每个位置的最长相等前后缀长度。对于长度为n的字符串S,其最小周期T可通过公式ans = n - LPS[n-1]求得。通过分析周期字符串的特性,可证明该方法的有效性。提供的C++示例代码展示了如何计算给定字符串的最小周期,体现了KPM算法在解决此类问题上的高效性。
83 0
|
6月前
日本某地发生了一件谋杀案,警察通过排查确定杀人凶手必为4个嫌疑犯的一个题目详解(逻辑类型题2)
日本某地发生了一件谋杀案,警察通过排查确定杀人凶手必为4个嫌疑犯的一个题目详解(逻辑类型题2)
105 1
|
6月前
|
存储 机器学习/深度学习 算法
【魔法编程奇谭】:探秘C语言递归的“时空轮回术”
【魔法编程奇谭】:探秘C语言递归的“时空轮回术”
|
6月前
|
算法 C++
【软件设计师备考 专题 】数学基础知识:命题逻辑、谓词逻辑、形式逻辑与数值计算
【软件设计师备考 专题 】数学基础知识:命题逻辑、谓词逻辑、形式逻辑与数值计算
81 0
|
6月前
|
敏捷开发 程序员 测试技术
《高效率程序员的45个习惯》读后小总结
《高效率程序员的45个习惯》读后小总结
32 0
|
Dart Unix 编译器
C生万物 | 操作符汇总大全【庖丁解牛,精细讲解】
✒C语言操作符汇总大全,全程精析讲解,拨开云雾见天明☀
95977 10
C生万物 | 操作符汇总大全【庖丁解牛,精细讲解】
|
存储 编译器 Linux
C生万物 | 窥探数组设计的种种陷阱
数组在设计的时候为何会出现那么多纰漏?数组越界是如何导致的?,我们来一探究竟🔍
69 0
C生万物 | 窥探数组设计的种种陷阱
下一篇
无影云桌面