-1

我在 ARM v6/v7 平台上验证 XN 位的硬件支持。为此,我在 ARM 上执行了 execstack.c。由于 ARM v6/v7 支持 XN 位,因此它正在崩溃。然后我在不支持 XI 位的 MIPS 目标(34Kc)上检查了相同的内容,因此程序必须正常执行,但这里程序也崩溃了。然后我删除了 XN 位代码并为 ARM 编译。然后程序也崩溃了,这不应该。

Test Program /* execstack.c - 测试栈上的代码是否可以执行

*/

typedef void (*fptr)(void);

char *testname = "Executable stack                         ";

void itworked( void )
{
      printf( "Vulnerable\n" );
        exit( 1 );
}

void doit( void )
{
       char buf[8192];
        fptr func;
        /* Put a RETN instruction in the buffer */
        buf[0] = '\xc3';
        /* Convert the pointer to a function pointer */
        func = (fptr)buf;
        /* Call the code in the buffer */
        func();
        /* It worked when the function returns */
        itworked();
}

int main( int argc, char *argv[] )
{
       int status;
        printf( "%s: ", testname );
        fflush( stdout );
        if( fork() == 0 ) {
                do_mprotect((unsigned long)argv & ~4095U, 4096, PROT_READ|PROT_WRITE|PROT_EXEC);
                doit();
        } else {
                wait( &status );
                if( WIFEXITED(status) == 0 ) {
                        printf( "Killed\n" );
                        exit( 0 );
               }
        }
        exit( 0 );
}

void itfailed( void )
{
        printf( "Ok\n" );
        exit( 2 );
}

int do_mprotect( const void *addr, size_t len, int prot )
{
        void *ptr;
        int retval;
        /* Allign to a multiple of PAGESIZE, assumed to be a power of two */
        ptr = (char *)(((unsigned long) addr) & ~(PAGESIZE-1));
         retval = mprotect( ptr, len, prot );
        if( retval != 0 && errno == EINVAL ) {
                perror( "could not mprotect():" );
                exit( 1 );
    }
         return retval;
}

/登录 MIPS 目标 /

在 MIPS 目标上,execstack 测试用例在 coredump 下方给出,尽管我假设 MIPS 不支持 XI 位。

VDLinux#> ./execstack

可执行堆栈[53.272000] do_ri() : 发送 SIGILL 到 execstack, PID:386

被杀

/登录ARM目标/

VDLinux#> ./execstack

可执行堆栈[451.784000] execstack:0xbead5860 处未处理的页面错误 (11),代码 0x80000007 被杀死

所以我有以下问题:

  1. 如何验证 ARM v6/V7 上的 XN 位支持?
  2. 如何验证 MIPS 34Kc 上的 XI 位支持
  3. 在哪里可以检查 Linux 内核代码中的 XN 位支持。

谢谢, 吉里什

4

1 回答 1

2

我编写了以下汇编代码来测试 ARM 目标上的 XN 位支持。

.text
.global _start
_start:
mov   r0, #1        (output)    
add   r1, pc, #20   (string)
mov   r2, #12        strlen(string))
mov   r7, #4        (syscall number for write)
svc   0x0

mov   r0, #0        (output)    
mov   r7, #1        (syscall number for exit)
svc   0x0
.asciz  "Hello world\n   "

从组装生成机器:

arm-linux-gnueabi-gcc -c -o arm_hello.o arm_hello.s
arm-linux-gnueabi-ld arm_hello.o -o arm_hello

部分.text的反汇编:

root@oss:shellcode_2# arm-linux-gnueabi-objdump -d arm_hello 
arm_hello :     file format elf32-littlearm
00008054 <_start>:
8054:       e3a00001        mov     r0, #1
8058:       e28f1014        add     r1, pc, #20
805c:       e3a0200c        mov     r2, #12
8060:       e3a07004        mov     r7, #4
8064:       ef000000        svc     0x00000000
8068:       e3a00000        mov     r0, #0
806c:       e3a07001        mov     r7, #1
8070:       ef000000        svc     0x00000000
8074:       6c6c6548        .word   0x6c6c6548
8078:       6f77206f        .word   0x6f77206f
807c:       0a646c72        .word   0x0a646c72
8080:       00202020        .word   0x00202020

C中的最终Shell代码:

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
#include <asm/unistd.h>

typedef void (*fptr) (void);

void
main ()
{
  unsigned char hellocode[] = "\x01\x00\xa0\xe3\x14\x10\x8f\xe2"
    "\x0c\x20\xa0\xe3\x04\x70\xa0\xe3"
    "\x00\x00\x00\xef\x00\x00\xa0\xe3"
    "\x01\x70\xa0\xe3\x00\x00\x00\xef" "hello world\n   \0";

  unsigned char buffcode[256] __attribute__ ((aligned (32)));
  fptr func;

  memcpy (buffcode, hellocode, 49);

  /* Convert the pointer to a function pointer */
  func = (fptr) buffcode;

  /* flush contents of instruction and/or data cache */
  syscall (__ARM_NR_cacheflush, buffcode, buffcode + 50, 0);

  /* Call the code in the buffer */
  (*func) ();
}

情况1:当堆栈可执行时:

程序编译:

root@oss:shellcode_ final# arm-linux-gnueabi-gcc stack.c -z execstack -o stack_RWX

读取 ELF 标头:

root@oss:shellcode_final# arm-v7a9v3r0-linux-gnueabi-readelf -l stack_RWX 
Elf file type is EXEC (Executable file)
Program Headers:
Type           Offset   VirtAddr   PhysAddr   FileSiz MemSiz  Flg Align
GNU_STACK      0x000000 0x00000000 0x00000000 0x00000 0x00000 RWE 0x4

运行程序:由于这里的堆栈是可执行的,所以 XN 位将被清除 (0)。程序将正常运行。

ARM_Target#> ./stack_RWX
hello world

情况 2:当堆栈不可执行时:

程序编译:

root@oss:shellcode_ final# arm-v7a15v3r1-linux-gnueabi-gcc stack.c -o stack_RW

读取 ELF 标头:

root@oss:shellcode_final# arm-linux-gnueabi-readelf -l stack_RW
Elf file type is EXEC (Executable file)
Program Headers:
Type           Offset   VirtAddr   PhysAddr   FileSiz MemSiz  Flg Align
GNU_STACK      0x000000 0x00000000 0x00000000 0x00000 0x00000 RW  0x4

运行程序:因为这里设置了 XN 位(它是 1),所以在每种情况下都会出现分段错误。

ARMtarget#> ./stack_RW
[   39.092000] stack_RW: unhandled page fault (11) at 0xbeca8760, code 0x8000000f
[   41.000000] [VDLP COREDUMP] SIGNR:11
Segmentation fault (core dumped)

在 ARM 中禁用 XN 位的补丁: 我创建了一个补丁。在这个补丁中,我们注释了一段汇编代码。这是在 arch/arm/mm/proc-v7.S 中完成的

#ifdef CONFIG_XN_SUPPORT
   tst  r1, #L_PTE_XN
   orrne    r3, r3, #PTE_EXT_XN
#endif

如果我取消选择 CONFIG_XN_SUPPORT 选项 PTE_EXT_XN 位将始终为 0。因此,无论堆栈是否可执行,都将执行所有二进制文件。

运行程序:

ARM_Target#> ./stack_RWX
hello world
ARM_Target#> ./stack_RW 
hello world

结论:
Cortex-A15 ARMv7 支持 XN 位。

于 2013-01-21T04:59:18.483 回答