“AI 技术+人才”如何成为企业增长新引擎?戳此了解>>> 了解详情
写点什么

怎样 Hack Linux 的内核符号?

  • 2020-08-13
  • 本文字数:2726 字

    阅读完需:约 9 分钟

怎样Hack Linux的内核符号?

Linux 内核是不是坚不可摧?答案是 NO!尽管内核中存在诸多限制,但你只需要稍微花点心思,也可以想办法突破它们。下面我们将通过一个例子来展示这趟有趣的旅程。


首先简单介绍一下项目的背景。客户提供了一批嵌入式智能设备给我们,希望能够检测并且修复其中的安全漏洞。我们能够从设备中接触到二进制形式的固件,但却接触不到固件的源码。对于二进制固件的漏扫和加固是一个行业难题。此外为了减少人工成本,客户还希望我们提供一个自动化的漏扫和加固解决方案,这无疑成为了一件不可能完成的任务。


所谓固件,其实就是一个嵌入式操作系统,常见的有定制化的 Linux 和安卓系统。本质上它们都具有相似的结构:Bootloader、Kernel、根文件系统等。根文件系统中又包含了众多用户态程序、脚本、配置等。对于 Kernel 的 CVE 漏洞自动化扫描和修复是我们当前工作的主要内容。而自动化漏扫技术又可单独成文,本文将主要介绍自动化漏洞修复所用到的内核符号 Hack 技术。


所谓内核漏洞,其实就是 Linux 内核中存在的缺陷函数。所谓漏洞利用,就是在用户态通过一系列精巧的传参和调用,最终触发内核缺陷的过程。这里存在两种修复方式:


1)在触发缺陷的必由调用路径上设卡,做参数或调用关系过滤。比如 c 函数是缺陷函数,该漏洞触发的调用关系是 Func a-> Func b-> Func c,那么可以在 a 或 b 函数上做传参检查,一旦参数非法则立刻退出。这种方式的优点是修复过程简单,尤其当 c 函数调用非常深的时候,可以在表层易于打桩的函数中做传参检查;缺点是需要开发者深入理解漏洞的利用原理,同时不同漏洞的利用方式各不相同,修复方式也各异。


2)用与 c 函数功能相同,并且已经打好补丁的 c‘函数替换掉 c 函数。修补时只需要保证每次对 c 函数的调用都会无条件进入到 c’即可。这种方式的优点是修复方法统一,便于自动化,可不必深究不同漏洞的利用原理。


图示展示了方案二技术架构图:中间是 Hook 框架,提供缺陷函数拦截、函数跳板(Trampoline)、修复函数注册、内核代码区修改等基础功能;右侧是包含具体 CVE 漏洞修复业务的模块。 这里有很多核心问题需要解决,其中之一是修复函数使用未导出内核符号问题。



方案二技术架构图


我们都知道 Linux 是宏内核架构(Monolithic Kernel)。为了实现内核功能的动态扩展,Linux 又引入了内核模块。内核模块将不可避免的使用内核函数。正常情况下,Linux 内核代码会将一些基础功能性函数导出。如控制台输出函数 printk 等。所有被导出的函数都会通过 export_symbols 族的宏修饰。最后这些符号会被内核编译到特殊的段中。而针对我们漏洞修复的场景,内核缺陷函数可能存在于内核的任何地方,因此如果仅仅使用内核导出的少量符号,很多缺陷函数或其依赖函数将无法被解析到。


于是我们把目光放到了内核的 Kallsyms 功能上。这个功能是内核为了方便调试而引入的。当内核发生错误时会输出一系列 Stacktrace,后者其实是一系列函数地址。有了 Kallsyms,在输出 Stacktrace 的时候内核可以把地址解析成函数名输出,告诉开发人员错误发生在哪个函数的哪个位置:



export 导出的 printk 函数/kernel 的 stacktrace


由于内核错误可能发生在任何地方,因此 Kallsyms 单独保存了一份函数符号和函数地址的对应关系,其中的符号数量远远多于 export_symbols 宏导出的符号量。即使内核开启了地址随机化(Address Space Layout Randomization)功能,Kallsyms 也能在运行时解析到符号正确地址。如果在内核模块中想使用未导出的符号,可以使用 Kallsyms 提供的 kallsyms_lookup_name 函数将符号名解析到函数地址,再以函数指针的形式调用即可,如:



Kallsyms


普通需求到这里就完事了,但是针对客户的特殊场景,稍微思考一下就会发现有很大缺陷。假如修复补丁中一共涉及到了数百个未导出的函数,我们则要在修复代码中把所有使用到这些函数的地方全部修改成函数指针调用的形式,工作量增加了不少。最简单的解决办法是内核加载修复模块时,单独走 Kallsyms 解析模块符号,而绕过 export_symbols 这个符号子集(前提是不引入新的内核安全风险)。


Linux 内核模块的加载过程其实跟可执行程序加载动态链接库的过程是一样的。举个简单例子,在 printf(“hello world”)中,我们其实并没有实现 printf(由 puts 函数封装而来)。它实际是由 Libc 库实现。当我们运行 HelloWorld 程序的时候,操作系统会解析程序符号,载入依赖的动态链接库(每次加载的基址可能不同),计算重定位符号地址,并把地址填回 HelloWorld 程序中。我们可以通过下图过程来验证:



Linux 内核模块的加载过程


对于 Linux 内核模块而言,它本质上也是动态链接库,因此加载模块时必然存在解析符号地址的函数。于是我们的思路是,动态拦截该函数,重定向到我们的替换函数中,并在替换函数中添加 Kallsyms 查找符号地址的逻辑即可:左图为我们的替换函数,右图为内核原始函数。这样达到的效果是,我们可以在 CVE 修复代码中直接使用诸如 d_absolute_path 这样的未导出函数,而不用做任何函数指针形式的改造,便于漏洞修复过程的自动化。



符号解析替换函数/符号解析原始函数


可能会有同学感兴趣我们是如何实现内核函数拦截的,即如何从 find_symbol_in_section 跳转到 hook_find_symbol_in_section,这里以 ARM64 架构 CPU 为例简单说明。我们在内核的 find_symbol_in_section 函数开头插入了下图所示的汇编指令(以二进制形式修改内核代码区)。这里借用了 x0 寄存器作远距离跳转(从内核跳转到内核模块)。由于无条件跳转不应该产生任何副作用(即栈帧和寄存器不能改变),因此我们需要先保存 x0 的值到栈上,远跳转后再恢复 x0 内容。


ldr 指令从.addr(low)和.addr(high)中把跳板函数地址装载进 x0,注意到 ARM64 的地址长度为 64 位,而 ARM64 的指令长度为 32 位,因此跳板函数地址被折成低 32 位和高 32 位。进入跳板函数后先恢复 x0 寄存器值,再做近距离跳转(内核模块内部跳转),注意前图 hook_find_symbol_in_section 函数末尾有一行 HOOK_FUNC_TEMPLATE(find_symbol_in_section),即为宏定义的 find_symbol_in_section 的跳板函数。这样经过连续无条件跳转后,执行流被拦截到我们的 HOOK 函数中。



HOOK 函数


此外顺便多提一下,上述使用 Inline Hook 技术的拦截方式跟 CPU 架构是强相关的,如果想实现 ARM32 或 x86 架构的函数拦截,则需要分别单独实现。


作者介绍


刘涛,5 年 Linux 内核开发经历,熟悉操作系统原理,擅长 C 语言、汇编,热爱底层技术,曾在业余时间独立开发过操作系统。目前是 ThoughtWorks 中国安全团队核心成员。我的个人 github 地址是https://github.com/liutgnu


本文转载自 ThoughtWorks 洞见


原文链接


https://insights.thoughtworks.cn/how-to-hack-linux-kernel-symbols/


2020-08-13 14:051355

评论

发布
暂无评论
发现更多内容

TiDB Hackathon 2022丨总奖金池超 35 万!邀你唤醒代码世界的更多可能性!

TiDB 社区干货传送门

黑客马拉松

数字孪生智慧校园三维可视化管理系统解决方案

数据可视化平台

智慧校园 智慧学校 智慧校园解决方案 智慧校园管理系统 校园三维可视化

和我一起入JavaScript

楠羽

JavaScript 笔记 知识 9月月更

企业在SaaS时代如何玩转帮助中心?

Baklib

《数字经济全景白皮书》新市民金融创新篇 重磅发布!

易观分析

金融 新市民服务

腾讯云Crane获国家级科技奖,助力企业降本增效节能减排

科技热闻

官宣 | 极狐(GitLab) 公司成立一年完成 4 轮融资,夯实中国开源市场信心

极狐GitLab

开源 DevOps 融资 自主可控 极狐GitLab

数据仓库分层架构

阿泽🧸

数据仓库 9月月更

【云原生 | 从零开始学Docker】四、Docker镜像深度解析

泡泡

Docker 云计算 容器 云原生 9月月更

深度学习+大规模计算+大数据,谁才是未来的算力之王

Finovy Cloud

人工智能 云渲染

select多路选择

飞翔123

Go

【云原生 | 从零开始学Docker】五、容器数据卷实战

泡泡

Docker 云计算 容器 云原生 9月月更

直播预告 | 在 CurveBS 上部署跨机 PolarDB for PostgreSQL 集群

阿里云数据库开源

数据库 postgresql 阿里云 开源 polarDB

BNBChain NFTScan 与 SpaceID 达成合作,在浏览器内支持 .bnb 域名搜索!

NFT Research

区块链 域名 bnb

【spring-kafka】@KafkaListener详解与使用

石臻臻的杂货铺

kafka 9月月更

企业做好知识管理的方法:文档管理

Baklib

SaaS 产品该如何定价?

产品海豚湾

产品经理 SaaS 产品规划 9月月更 商业产品

降本增效两不误——云原生赋能航空业数字化转型

York

容器 云原生 数字化转型 开发运维 智慧航空

精讲数据归档分析 |Data Infra 研究社第四期

Databend

大数据 开源 活动预告 #开源 数据归档

专家亮相华为云快成长直播间云安全专场,“未雨绸缪”化解数据风险

创意时空

给网站加个速,原来很简单!

sofiya

经验分享|企业搭建帮助中心步骤

Baklib

主流开源APM:Zipkin/Pinpoint/SkyWalking全面对比

穿过生命散发芬芳

APM 9月月更

MediaTek MT7915 Module 2T2R DR7915/Wallys Wi-Fi 6 Wave 1+ chipset

wallys-wifi6

MT7975 MT7915

资深专家亮相华为云快成长直播间CDN专场,助力企业体验升级!

神奇视野

跟着卷卷龙一起学Camera--Binder

卷卷龙

ISP 9月月更

降本增效的利器——组件化开发

力软低代码开发平台

云原生数据库前世今生

亚马逊云科技 (Amazon Web Services)

数据库 云原生

一文读懂,硬核 Apache DolphinScheduler3.0 源码解析

Apache DolphinScheduler

源码阅读 Apache DolphinScheduler 工作流编排 大数据 开源 大数据调度

给网站加个速,原来很简单

科技怪咖

易观分析:制造行业数字孪生AMC分析 ——数字孪生智能制造步入市场启动期,闭环验证能力待优化

易观分析

数字孪生 市场分析

怎样Hack Linux的内核符号?_架构_张凯峰_InfoQ精选文章