-1

ARM v6/v7 プラットフォームでの XN ビットのハードウェア サポートを検証していました。このために、ARM で execstack.c を実行しました。ARM v6/v7 の XN ビット サポートがあるため、クラッシュしています。次に、XIビットをサポートしていないMIPSターゲット(34Kc)で同じことを確認したため、プログラムは正常に実行する必要がありますが、ここでもこのプログラムがクラッシュしました。次に、XN ビット コードを削除し、ARM 用にコンパイルしました。その後、クラッシュしてはならないプログラムもクラッシュしました。

Test Program /* execstack.c - スタック上のコードを実行できるかどうかをテストします

*/

typedef void (*fptr)(void);

char *testname = "Executable stack                         ";

void itworked( void )
{
      printf( "Vulnerable\n" );
        exit( 1 );
}

void doit( void )
{
       char buf[8192];
        fptr func;
        /* Put a RETN instruction in the buffer */
        buf[0] = '\xc3';
        /* Convert the pointer to a function pointer */
        func = (fptr)buf;
        /* Call the code in the buffer */
        func();
        /* It worked when the function returns */
        itworked();
}

int main( int argc, char *argv[] )
{
       int status;
        printf( "%s: ", testname );
        fflush( stdout );
        if( fork() == 0 ) {
                do_mprotect((unsigned long)argv & ~4095U, 4096, PROT_READ|PROT_WRITE|PROT_EXEC);
                doit();
        } else {
                wait( &status );
                if( WIFEXITED(status) == 0 ) {
                        printf( "Killed\n" );
                        exit( 0 );
               }
        }
        exit( 0 );
}

void itfailed( void )
{
        printf( "Ok\n" );
        exit( 2 );
}

int do_mprotect( const void *addr, size_t len, int prot )
{
        void *ptr;
        int retval;
        /* Allign to a multiple of PAGESIZE, assumed to be a power of two */
        ptr = (char *)(((unsigned long) addr) & ~(PAGESIZE-1));
         retval = mprotect( ptr, len, prot );
        if( retval != 0 && errno == EINVAL ) {
                perror( "could not mprotect():" );
                exit( 1 );
    }
         return retval;
}

/MIPS ターゲットにログオンします/

MIPS ターゲットでは、コアダンプの下に execstack テストケースが表示されますが、MIPS では XI ビットがサポートされていないと想定しています。

VDLinux#> ./execstack

実行可能スタック [ 53.272000] do_ri() : SIGILL を execstack に送信中、PID:386

殺された

/ARM ターゲットにログオンします/

VDLinux#> ./execstack

実行可能スタック [ 451.784000] execstack: 0xbead5860 で未​​処理のページ フォールト (11)、コード 0x80000007 が強制終了されました

だから私は次の質問があります:

  1. ARM v6/V7 での XN ビットのサポートを確認するにはどうすればよいですか?
  2. MIPS 34Kc で XI ビットのサポートを確認する方法
  3. Linux カーネル コードで XN ビットのサポートを確認する場所。

ありがとう、ギリッシュ

4

1 に答える 1

2

ARM ターゲットでの XN ビット サポートをテストするために、以下のアセンブリ コードを作成しました。

.text
.global _start
_start:
mov   r0, #1        (output)    
add   r1, pc, #20   (string)
mov   r2, #12        strlen(string))
mov   r7, #4        (syscall number for write)
svc   0x0

mov   r0, #0        (output)    
mov   r7, #1        (syscall number for exit)
svc   0x0
.asciz  "Hello world\n   "

アセンブリからマシンを生成する:

arm-linux-gnueabi-gcc -c -o arm_hello.o arm_hello.s
arm-linux-gnueabi-ld arm_hello.o -o arm_hello

セクション .text の分解:

root@oss:shellcode_2# arm-linux-gnueabi-objdump -d arm_hello 
arm_hello :     file format elf32-littlearm
00008054 <_start>:
8054:       e3a00001        mov     r0, #1
8058:       e28f1014        add     r1, pc, #20
805c:       e3a0200c        mov     r2, #12
8060:       e3a07004        mov     r7, #4
8064:       ef000000        svc     0x00000000
8068:       e3a00000        mov     r0, #0
806c:       e3a07001        mov     r7, #1
8070:       ef000000        svc     0x00000000
8074:       6c6c6548        .word   0x6c6c6548
8078:       6f77206f        .word   0x6f77206f
807c:       0a646c72        .word   0x0a646c72
8080:       00202020        .word   0x00202020

C での最終的なシェル コード:

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
#include <asm/unistd.h>

typedef void (*fptr) (void);

void
main ()
{
  unsigned char hellocode[] = "\x01\x00\xa0\xe3\x14\x10\x8f\xe2"
    "\x0c\x20\xa0\xe3\x04\x70\xa0\xe3"
    "\x00\x00\x00\xef\x00\x00\xa0\xe3"
    "\x01\x70\xa0\xe3\x00\x00\x00\xef" "hello world\n   \0";

  unsigned char buffcode[256] __attribute__ ((aligned (32)));
  fptr func;

  memcpy (buffcode, hellocode, 49);

  /* Convert the pointer to a function pointer */
  func = (fptr) buffcode;

  /* flush contents of instruction and/or data cache */
  syscall (__ARM_NR_cacheflush, buffcode, buffcode + 50, 0);

  /* Call the code in the buffer */
  (*func) ();
}

ケース 1: スタックが実行可能な場合:

プログラムのコンパイル:

root@oss:shellcode_ final# arm-linux-gnueabi-gcc stack.c -z execstack -o stack_RWX

ELF ヘッダーの読み取り:

root@oss:shellcode_final# arm-v7a9v3r0-linux-gnueabi-readelf -l stack_RWX 
Elf file type is EXEC (Executable file)
Program Headers:
Type           Offset   VirtAddr   PhysAddr   FileSiz MemSiz  Flg Align
GNU_STACK      0x000000 0x00000000 0x00000000 0x00000 0x00000 RWE 0x4

プログラムの実行: ここではスタックが実行可能であるため、XN ビットはクリア (0) されます。そして、プログラムは正常に実行されます。

ARM_Target#> ./stack_RWX
hello world

ケース 2: スタックが実行可能でない場合:

プログラムのコンパイル:

root@oss:shellcode_ final# arm-v7a15v3r1-linux-gnueabi-gcc stack.c -o stack_RW

ELF ヘッダーの読み取り:

root@oss:shellcode_final# arm-linux-gnueabi-readelf -l stack_RW
Elf file type is EXEC (Executable file)
Program Headers:
Type           Offset   VirtAddr   PhysAddr   FileSiz MemSiz  Flg Align
GNU_STACK      0x000000 0x00000000 0x00000000 0x00000 0x00000 RW  0x4

プログラムの実行: ここでは XN ビットが設定されている (1 である) ため、いずれの場合もセグメンテーション違反が発生します。

ARMtarget#> ./stack_RW
[   39.092000] stack_RW: unhandled page fault (11) at 0xbeca8760, code 0x8000000f
[   41.000000] [VDLP COREDUMP] SIGNR:11
Segmentation fault (core dumped)

ARM で XN ビットを無効にするためのパッチ: パッチを作成しました。このパッチでは、アセンブリ コードのセクションにコメントを付けています。これは arch/arm/mm/proc-v7.S で行われます

#ifdef CONFIG_XN_SUPPORT
   tst  r1, #L_PTE_XN
   orrne    r3, r3, #PTE_EXT_XN
#endif

CONFIG_XN_SUPPORT オプションの選択を解除すると、PTE_EXT_XN ビットは常に 0 になります。そのため、スタックが実行可能かどうかに関係なく、すべてのバイナリが実行されます。

プログラムの実行:

ARM_Target#> ./stack_RWX
hello world
ARM_Target#> ./stack_RW 
hello world

結論:
XN ビットは Cortex-A15 ARMv7 でサポートされています。

于 2013-01-21T04:59:18.483 に答える