web-dev-qa-db-ja.com

mprotect()を使用して.rodataの権限を変更できますか?

ELFファイルの_.rodata_セクションには、変更を意図していないテキストセグメントの一部が含まれています。デフォルトでは、このセクションのすべてのページは読み取り専用であり、変更を試みると一般保護違反がトリガーされます。 Linux syscall mprotect()は、ページごとにアクセス許可を変更できます。カーネルが_.rodata_の読み取り専用の性質を強制して、そのようなsyscallがアクセス許可を変更できないのか、またはカーネルが単にページのデフォルトの許可を設定するだけなのかと思います。前者が当てはまる場合は、読み取り専用のデータセグメントを信頼して、侵害されたプログラムでも実行時に変更されないようにすることができます。

Linuxカーネルは_.rodata_の読み取り専用の性質を強制しますか?

linuxkernel
4
forest
  • セクションは、実行中のプロセスのコンテキストには存在せず、セグメントのみに存在します。
  • mprotectを使用して、textセグメントがマップされているページの権限を変更できます。これを実現する方法についてのチュートリアルを次に示します。 自己変異x86_64 Cプログラムの作成
  • mprotectマニュアルページ :のメモから

    Linuxでは、プロセスのアドレス空間の任意のアドレス(カーネルvsyscall領域を除く)でmprotect()を呼び出すことが常に許可されています。 特に、既存のコードマッピングを書き込み可能に変更するために使用できます

セクション情報はセクションヘッダーテーブルに格納されます。セクションヘッダーテーブルは、セクションヘッダーの配列です。セクションヘッダーテーブルはどのセグメントにもマップされず、プログラムローダーによって解析されません。ローダーは、プログラムを仮想メモリにマッピングするときにのみセグメント情報を使用します。

セクションではなくセグメントには権限があり、これらはp_flagsフィールドのセグメントのプログラムヘッダーに格納されます。プログラムヘッダーは、バイナリのプログラムヘッダーテーブルにあります。

これはすべて、第4章と第5章の System V ABI(generic) に記載されています。

以下の出力では、flags列の下の各セグメントに関連付けられている権限を確認できます。

$ readelf -l /bin/ls

Elf file type is EXEC (Executable file)
Entry point 0x404890
There are 9 program headers, starting at offset 64

Program Headers:
  Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
  PHDR           0x0000000000000040 0x0000000000400040 0x0000000000400040
                 0x00000000000001f8 0x00000000000001f8  R E    8
  INTERP         0x0000000000000238 0x0000000000400238 0x0000000000400238
                 0x000000000000001c 0x000000000000001c  R      1
      [Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
  LOAD           0x0000000000000000 0x0000000000400000 0x0000000000400000
                 0x0000000000019d44 0x0000000000019d44  R E    200000
  LOAD           0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
                 0x0000000000000804 0x0000000000001570  RW     200000
  DYNAMIC        0x0000000000019e08 0x0000000000619e08 0x0000000000619e08
                 0x00000000000001f0 0x00000000000001f0  RW     8
  NOTE           0x0000000000000254 0x0000000000400254 0x0000000000400254
                 0x0000000000000044 0x0000000000000044  R      4
  GNU_EH_FRAME   0x000000000001701c 0x000000000041701c 0x000000000041701c
                 0x000000000000072c 0x000000000000072c  R      4
  GNU_STACK      0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000000 0x0000000000000000  RW     10
  GNU_RELRO      0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
                 0x0000000000000210 0x0000000000000210  R      1

 Section to Segment mapping:
  Segment Sections...
   00     
   01     .interp 
   02     .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame 
   03     .init_array .fini_array .jcr .dynamic .got .got.plt .data .bss 
   04     .dynamic 
   05     .note.ABI-tag .note.gnu.build-id 
   06     .eh_frame_hdr 
   07     
   08     .init_array .fini_array .jcr .dynamic .got

ELFファイルの.rodataセクションには、変更を意図していないテキストセグメントの一部が含まれています。

これは誤りです。 textセグメント全体が読み取り/実行です。

デフォルトでは、このセクションのすべてのページは読み取り専用であり、変更を試みると一般保護違反がトリガーされます。

これは誤りです。セクションではなくセグメントはページにマップされ(したがってAlign値)、権限を持ちます(したがってFlags値)。

詳細はここにあります:

4
julian

manual から:

Linuxでは、プロセスのアドレス空間の任意のアドレス(カーネルvsyscall領域を除く)でmprotect()を呼び出すことが常に許可されています。特に、既存のコードマッピングを書き込み可能に変更するために使用できます。

以下に、サンプルプログラムを示します。

#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>

#define PAGE_SIZE 4096

const unsigned char rodata[3*PAGE_SIZE] = {1,2,3};

int main(void)
{
    printf("rodata = %p\n", rodata);
    uintptr_t page_base = ((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE;
    unsigned char *p = (unsigned char *)rodata + PAGE_SIZE;
    //*p = '!'; // this would cause a segfault
    puts("Before mprotect:");
    system("cat /proc/$PPID/maps");
    if (mprotect((void*)page_base, 1, PROT_READ | PROT_WRITE) < 0) {
        perror("mprotect");
        return 1;
    }
    puts("After mprotect:");
    system("cat /proc/$PPID/maps");
    *p = '!';
    return 0;
}

もちろん、ページに書き込んだデータはメモリに残ります。 Linuxは、プロセスが現在読み取り専用にマップされているページに書き込みを行っていることを確認し、コピーを作成します。書き込み時には、プロセスが分岐した後、カーネルはこれをコピーオンライトと区別しません。これは、1つのプロセスでforkして書き込み、もう1つのプロセスで読み取ることで確認できます。他のプロセスは、読み取りプロセスのメモリではなく書き込みプロセスのメモリへの書き込みであるため、書き込みを認識しません。

#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#include <unistd.h>

#define PAGE_SIZE 4096

const unsigned char rodata[3*PAGE_SIZE] = {0};

void writer(char *p)
{
    if (mprotect(p, 1, PROT_READ | PROT_WRITE) < 0) {
        perror("mprotect");
        return 1;
    }
    puts("After mprotect:");
    system("cat /proc/$PPID/maps");
    *p = 1;
    printf("wrote %d\n", *p);
}

void reader(char *p)
{
    printf("read %d\n", *p);
}

int main(void)
{
    printf("rodata = %p\n", rodata);
    uintptr_t page_base = (((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE);
    volatile char *p = (volatile char *)page_base;
    //*p = '!'; // this would cause a segfault
    puts("Before mprotect:");
    system("cat /proc/$PPID/maps");
    if (fork() == 0) {
        writer(p);
    } else {
        sleep(1);
        reader(p);
    }
    return 0;
}

プロセスが独自のメモリマッピングを変更できないようにする強化パッチがあると思いますが、提供できるパッチはありません。

2
Gilles 'SO- stop being evil'