mmap及linux地址空间随机化失效漏洞

Linux下动态库是通过mmap建立起内存和文件的映射关系。其定义如下void* mmap(void* start,size_t length,int prot,int flags,int fd,off_t offset);,在第一个参数startNULL的时候系统会随机分配一个地址,我们可以通过示例来看mmap映射地址的流程。

分析一下程序加载libc.so的流程

open(“/ lib / libc.so.6 ”,O_RDONLY)= 3
读取(3,“\ 177ELF \ 1 \ 1 \ 1 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 3 \ 0 \ 3 \ 0 \ 1 \ 0 \ 0 \ 0 n \ 1 \ 0004 \ 0 \ 0 \ 0“ ...,512)= 512
fstat64(3,{st_mode = S_IFREG | 0755,st_size = 1409436,...})= 0
mmap2(NULL,1415560,PROT_READ | PROT_EXEC,MAP_PRIVATE | MAP_DENYWRITE,3,0)= 0xb75b1000
mmap2(0xb7705000,12288,PROT_READ | PROT_WRITE,MAP_PRIVATE | MAP_FIXED | MAP_DENYWRITE,3,0x154)= 0xb7705000
mmap2(0xb7708000,10632,PROT_READ | PROT_WRITE,MAP_PRIVATE | MAP_FIXED | MAP_ANONYMOUS,-1,0)= 0xb7708000
接近(3)

在通常情况下通过mmap映射的地址会被内核进行随机化处理,所以每次程序运行加载的动态库基址都不相同。

〜$ ldd mmap
    linux-gate.so.1 =>(0xb77d9000)
    libc.so.6 => /lib/libc.so.6(0xb7654000)
    /lib/ld-linux.so.2(0xb77bd000)
〜$ ldd mmap
    linux-gate.so.1 =>(0xb7738000)
    libc.so.6 => /lib/libc.so.6(0xb75b3000)
    /lib/ld-linux.so.2(0xb771c000

0x01 CVE-2016-3672

Linux kernel 4.5.2之前版本,arch/x86/mm/mmap.c内函数arch_pick_mmap_layout未正确随机化遗留基址。本地用户禁用栈资源消耗限制后,可破坏ADDR_NO_RANDOMIZE标记的限制,绕过setuid或setgid程序的ASLR保护机制。

这个漏洞在32位操作系统或者在64位操作系统运行32位程序时,将栈空间设置为不限制,会导致mmap的ASLR失效,导致动态库加载的地址固定。

验证方法:

  1. 设置栈空间为不限制大小ulimit -s unlimited
  2. 使用ldd看动态库加载的地址是否发生变化
〜$ ldd mmap
   linux-gate.so.1 =>(0xb77d9000)
   libc.so.6 => /lib/libc.so.6(0xb7654000)
   /lib/ld-linux.so.2(0xb77bd000)
〜$ ldd mmap
   linux-gate.so.1 =>(0xb7738000)
   libc.so.6 => /lib/libc.so.6(0xb75b3000)
   /lib/ld-linux.so.2(0xb771c000)
〜$ ulimit  -s无限制
〜$ ldd mmap
   linux-gate.so.1 =>(0x4001c000)
   libc.so.6 => /lib/libc.so.6(0x4002e000)
   /lib/ld-linux.so.2(0x40000000)
〜$ ldd mmap
   linux-gate.so.1 =>(0x4001c000)
   libc.so.6 => /lib/libc.so.6(0x4002e000)
   /lib/ld-linux.so.2(0x40000000)

可见,设置了栈空间不限制大小后,动态库的基址就固定了。

0x02 漏洞分析

漏洞所在函数为arch_pick_mmap_layout

/ *
 *这个功能,在创建新功能的过程中非常早
 *处理VM映像,设置要使用的VM布局功能:
 * /
void  arch_pick_mmap_layout (struct mm_struct * mm)
{
    mm-> mmap_legacy_base = mmap_legacy_base();
    mm-> mmap_base = mmap_base();
    if(mmap_is_legacy()){
        mm-> mmap_base = mm-> mmap_legacy_base;
        mm-> get_unmapped_area = arch_get_unmapped_area;
    } else {
        mm-> get_unmapped_area = arch_get_unmapped_area_topdown;
    }
}

如果让ASLR失效则需要让mm->mmap_base为固定值。看看mmap_legacy_base

/ *
 * X86_32上的自下而上(传统)布局不支持随机化,X86_64
 *但是在模拟X86_32时没有
 * /
static  unsigned  long  mmap_legacy_base (void)
{
    if(mmap_is_ia32())
        返回 TASK_UNMAPPED_BASE;
    其他
        返回 TASK_UNMAPPED_BASE + mmap_rnd();
}

可以看到mmap_is_ia32()为真时,返回的地址为固定值。注释更表明了影响32位机器和在64位机器上运行的32位程序。此时,只需要mmap_is_legacy()为真。

/ *
 * mmap区域的顶部(就在进程堆栈下方)。
 *
 *留下至少~128 MB的空洞,可能有堆栈随机化。
 * /
#限定 MIN_GAP(128 * 1024 * 1024UL + stack_maxrandom_size())
#限定 MAX_GAP(TASK_SIZE / 6 * 5)
static  int  mmap_is_legacy (void)
{
    if(current-> personality&ADDR_COMPAT_LAYOUT)
        返回 1 ;
    if(rlimit(RLIMIT_STACK)== RLIM_INFINITY)
        返回 1 ;
    return sysctl_legacy_va_layout;
}

注意到rlimit(RLIMIT_STACK) == RLIM_INFINITY则返回真,这就是ulimit -s unlimited的原因。

0x03 修复方案分析

diff --git a / arch / x86 / mm / mmap.cb / arch / x86 / mm / mmap.c
index 96bd1e2..389939f 100644
--- a / arch / x86 / mm / mmap.c
+++ b / arch / x86 / mm / mmap.c
@@ -94,18 +94,6 @@ static unsigned long mmap_base(unsigned long rnd)
 }
 / *
-  * X86_32上的自下而上(传统)布局不支持随机化,X86_64
-  *确实如此,但在模拟X86_32时却没有
-  * /
-static unsigned long mmap_legacy_base(unsigned long rnd)
-  {
-  if(mmap_is_ia32())
- 返回TASK_UNMAPPED_BASE;
- 否则
- 返回TASK_UNMAPPED_BASE + rnd;
- }
- 
-  / *
  *这个功能,在创建新功能的过程中非常早
  *处理VM映像,设置要使用的VM布局功能:
  * /
@@ -116,7 +104,7 @@ void arch_pick_mmap_layout(struct mm_struct * mm)
    if(current-> flags&PF_RANDOMIZE)
        random_factor = arch_mmap_rnd();
-  mm-> mmap_legacy_base = mmap_legacy_base(random_factor);
+ mm-> mmap_legacy_base = TASK_UNMAPPED_BASE + random_factor;
    if(mmap_is_legacy()){
        mm-> mmap_base = mm-> mmap_legacy_base;

很简单,不管是以lagacy模式运行还是真正的32位程序,mmap的基址mmap_base均加入随即因子进行随机化

0x04 题外

在64位机器上发现也存在ASLR失效的问题,不过vDSO还是有随机化保护的。留个坑有时间在看看。

0x05 Refer

http://rk700.github.io/2016/11/22/mmap-aslr/ http://lists.alioth.debian.org/pipermail/kernel-svn-changes/2016-April/023114.html http://hmarco.org/bugs/CVE-2016-3672-Unlimiting-the-stack-not-longer-disables-ASLR.html

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏生信宝典

CIRCOS圈图绘制 - 最简单绘图和解释

Circos是绘制圈图的神器,在http://circos.ca/images/页面有很多CIRCOS可视化的示例。 ? ? Circos可以在线使用,在线使用...

1.5K90
来自专栏Python、Flask、Django

Go语言学习之 - 简单的并发程序

10810
来自专栏Laoqi's Linux运维专列

Mongodb 副本集安装配置

15880
来自专栏自动化测试实战

HTML第四课——Chrome浏览器F12的使用

12230
来自专栏LinXunFeng的专栏

iOS - Swift UISearchController的取消按钮

12820
来自专栏ionic3+

【指令篇】键盘附着指令调整软键盘

现在开始实现这个指令,新建指令之前添加Keyboard插件,一般我们的项目默认已经装上了的,我们只需安装相应的ionic-native子模块:

8520
来自专栏大内老A

如何解决jQuery Validation针对动态添加的表单无法工作的问题?

为了充分利用ASP.NET MVC在服务端呈现HTML的能力,在《利用动态注入HTML的方式来设计复杂页面》一文中介绍了,通过Ajax调用获取HTML来呈现复杂...

20590
来自专栏Kubernetes

NVIDIA/k8s-device-plugin源码分析

Author: xidianwangtao@gmail.com k8s-device-plugin内部实现原理图 在Kubernetes如何通过Devic...

58280
来自专栏雪胖纸的玩蛇日常

python3.6+django2.0 一小时学会开发一套学员管理系统demo

54350
来自专栏V站

php7高效生成二维码:composer和荷兰PHP开发者的QrCode

关于QrCode这个类库没必要详细介绍,基于php的GD库,用于生成任意尺寸的二维码,并且可以将logo水印也打上去,还可以在二维码图片下方加入文字。QrCod...

55240

扫码关注云+社区

领取腾讯云代金券