我想在 2 个进程之间共享一个内存映射区域,并使用 ptrace 将数据“插入”其中。根据clone man page,CLONE_VMflag 是我正在寻找的,但是,我似乎无法访问子进程中的映射。
package main
import (
"flag"
"fmt"
"io/ioutil"
"log"
"os"
"os/exec"
"syscall"
"unsafe"
)
func A() {
f, err := ioutil.TempFile("", "test")
if err != nil {
log.Fatal(err)
}
f.Write([]byte("4321"))
b, err := syscall.Mmap(int(f.Fd()), 0, 10, syscall.PROT_WRITE, syscall.MAP_SHARED)
if err != nil {
log.Fatalln("mmap", err)
}
maps, err := ioutil.ReadFile("/proc/self/maps")
if err != nil {
log.Fatal(err)
}
fmt.Println("A maps:")
fmt.Println(string(maps))
cmd := exec.Command("/proc/self/exe", "B")
cmd.SysProcAttr = &syscall.SysProcAttr{
Ptrace: true,
Cloneflags: syscall.CLONE_VM | syscall.CLONE_PTRACE,
}
cmd.Stdout = os.Stdout
cmd.Stderr = os.Stderr
err = cmd.Start()
if err != nil {
log.Fatal(err)
}
_, err = syscall.Wait4(cmd.Process.Pid, nil, 0, nil)
if err != nil {
log.Fatalln("Wait4", err)
}
ptr := unsafe.Pointer(&b[0])
log.Printf("PokeText into %p\n", ptr)
// Poke text into the mmaped-region via ptrace
_, err = syscall.PtracePokeText(cmd.Process.Pid, uintptr(ptr), []byte("1234"))
if err != nil {
log.Fatalln("PokeText", err)
}
}
func B() {
_, _, errno := syscall.RawSyscall(syscall.SYS_PTRACE, uintptr(syscall.PTRACE_TRACEME), 0, 0)
if errno != 0 {
log.Fatal("TRACEME", errno)
}
log.Println("B exiting")
}
func main() {
flag.Parse()
if flag.Arg(0) != "B" {
A()
} else {
B()
}
}
这是输出:
A maps:
00400000-004ab000 r-xp 00000000 00:16 29942418 /tmp/go-build924065198/b001/exe/a
004ab000-0055d000 r--p 000ab000 00:16 29942418 /tmp/go-build924065198/b001/exe/a
0055d000-00573000 rw-p 0015d000 00:16 29942418 /tmp/go-build924065198/b001/exe/a
00573000-00592000 rw-p 00000000 00:00 0
c000000000-c000001000 rw-p 00000000 00:00 0
c41fff8000-c420100000 rw-p 00000000 00:00 0
7fe59696a000-7fe59696b000 -w-s 00000000 00:16 29942419 /tmp/test112646167
7fe59696b000-7fe596a0b000 rw-p 00000000 00:00 0
7ffd43a91000-7ffd43ab4000 rw-p 00000000 00:00 0 [stack]
7ffd43acc000-7ffd43ace000 r--p 00000000 00:00 0 [vvar]
7ffd43ace000-7ffd43ad0000 r-xp 00000000 00:00 0 [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0 [vsyscall]
2018/04/02 14:04:28 PokeText into 0x7fe59696a000
2018/04/02 14:04:28 PokeText input/output error
exit status 1
2018/04/02 14:04:28 B exiting
如果我理解正确,您想与两个进程协作的子进程共享缓冲区吗?首先,不要使用CLONE_VM,它主要用于线程。其次,您将在父进程和子进程之间共享缓冲区的简单任务过度复杂化。
相反,我建议使用 memfd并将其传递给子进程。从那里开始共享内存,不需要丑陋和缓慢的 ptrace 调用。请记住,您需要锁定以防止缓冲区被子级和父级同时修改。这将需要像futex这样的低级原语来实现锁定。
这都是高度特定于 Linux 的,因为您使用的clone是我假设可移植性在我的回答中无关紧要。我还将假设您使用的是相当新的内核(memfd已在 中主线3.17)。
旁注:由于 Linux,3.2你得到了两个新的美妙的系统调用:process_vm_readv 和 process_vm_writev,它们应该可以省去你不得不使用 ptrace 的 poke 的麻烦(你可能猜到这会导致不断切换到内核的巨大损失)。
旁注 2:由于您没有使用 CI 会建议使用您的语言的机制来执行子进程,因此没有理由在clone那里使用。您需要做的就是将文件描述符传递给子进程(CLOEXEC想到UNIX 域套接字或非文件描述符)。
编辑:您似乎正在尝试在父级和子级之间共享一个 mmap 文件,并且正在以一种绕过所有内核机制的方式进行操作,以使其“正常工作”。将 fd 传递给孩子,内核会处理剩下的事情。或者重新打开子文件中的文件。无论哪种都有效,这是数据库使用的常用技术。
编辑 2:如果我从评论中正确理解,这是尝试执行依赖私有映射和内核 VM 子系统中的竞争条件的Dirty COW漏洞。
从依赖于大型运行时的垃圾收集语言 (Go) 执行此操作,并且可能会做很多事情,例如内存分配,因为几乎任何事情的副作用都是触发竞争条件的糟糕方式。在这种情况下,使用共享映射会破坏漏洞利用的重点。我仍然对你想要完成的事情感到困惑,但是如果要在 Go 中复制漏洞利用,我建议不要这样做,它只是不适合这项工作的工具。
您还试图利用对您似乎已经具有写访问权限的文件的访问权限提升吗?这似乎更没有意义。最重要的是,我认为在尝试复制漏洞利用之前,重要的是要考虑漏洞利用的语义,以及高级语言可能不太适合的地方。