c - 复制堆栈的一部分并使用 mmap 将其映射到当前进程

Question

我希望我的程序执行以下操作：

1. 打开一个新文件。
2. 将包含当前帧指针地址的堆栈（页面对齐）部分复制到文件中。
3. 将文件的内容映射回与堆栈的原始部分相同范围内的进程地址空间，以便进程将文件用于其堆栈的该部分而不是系统最初拥有的内存区域为堆栈分配给它。

下面是我的代码。我在调用 mmap 时遇到分段错误，特别是 mmap 使用 vsyscall 进行系统调用的地方。（我在 Ubuntu Server (x86-64) 下使用 gcc 4.4.3、glibc 2.11.1。我已经编译并运行了 64 位和 32 位配置，结果相同。

#include <stdio.h>
#include <stdlib.h>
#include <stdbool.h>
#include <stdint.h>
#include <string.h>
#include <sys/mman.h>
#include <assert.h>
#include <unistd.h>
#include <sys/mman.h>
#include <sys/types.h>
#include <sys/wait.h>

#define PAGE_SIZE 0x1000
#define FILENAME_LENGTH 0x10
#if defined ARCH && ARCH == 32
#define PAGE_SIZE_COMPLEMENT 0xfffff000
#define UINT uint32_t
#define INT int32_t
#define BP "ebp"
#define SP "esp"
#define X_FORMAT "%x"
#else
#define PAGE_SIZE_COMPLEMENT 0xfffffffffffff000
#define UINT uint64_t
#define INT int64_t
#define BP "rbp"
#define SP "rsp"
#define X_FORMAT "%lx"
#endif
#define PAGE_ROUND_UP(v) (((v) + PAGE_SIZE - 1) & PAGE_SIZE_COMPLEMENT)
#define PAGE_ROUND_DOWN(v) ((v) & PAGE_SIZE_COMPLEMENT)


UINT stack_low, stack_high, stack_length;

void find_stack_high(void) {

    UINT bp = 0;
    UINT raw_stack_high = 0;

    /* Set the global stack high to the best
     * approximation.
     */

    asm volatile ("mov %%"BP", %0" : "=m"(bp));
    while (bp) {
        raw_stack_high = bp;
        bp = *(UINT *)bp;
    }
    stack_high = PAGE_ROUND_UP(raw_stack_high);
}


int file_create(void) {

    int fd;
    char filename[FILENAME_LENGTH];

    strcpy(filename, "tmp.XXXXXX");
    fd = mkstemp(filename);
    if (fd == -1) {
        perror("file_create:mkstemp");
        exit(EXIT_FAILURE);
    }

    unlink(filename);  
    return fd;
}


int main(void) {


    int fd, bytes_written;
    UINT bp;
    off_t offset;

    printf("In main\n");

    fd = file_create();
    printf("fd %d\n", fd);

    find_stack_high();

    // Get the current frame pointer.

    asm volatile ("mov %%"BP", %0" : "=m" (bp));

    // Store page boundary below 
    // frame pointer as end of potentially shared stack.

    stack_low = PAGE_ROUND_DOWN(bp);
    stack_length = stack_high - stack_low;

    printf("start "X_FORMAT"   end "X_FORMAT"   length "X_FORMAT"\n",
           stack_low, stack_high, stack_length);

    bytes_written = 
        write(fd, (const void *)stack_low, PAGE_SIZE);
    if (bytes_written != PAGE_SIZE) {
        perror("main: write");
        fprintf(stderr, "Num bytes: %x\n", bytes_written);
        exit(EXIT_FAILURE);
    }

    offset = 0;

    if (mmap((void *)stack_low, PAGE_SIZE, PROT_READ | PROT_WRITE,
         MAP_SHARED | MAP_FIXED | MAP_GROWSDOWN, fd, offset) ==
        MAP_FAILED) {
        perror("file_copy: mmap");
        exit(EXIT_FAILURE);
    }

    close(fd);

    return EXIT_SUCCESS;
}

谢谢！

Answer 1

mmap复制后堆栈会发生变化（例如调用的返回地址）。我可以想到两种可能的方法：

1. 编写不需要堆栈来执行新映射的 asm。
2. 调用包含大量本地数据的函数，以便工作堆栈与您正在映射的页面位于不同的页面上。mmap然后，您可以在此函数返回后通过第二次调用来映射较低的地址。

无论你做什么，这都是一个可怕的黑客攻击，可能是个坏主意..

Answer 2

尝试打开执行权限？在任何情况下，症状表明您已经设法在堆栈顶部进行映射，从而破坏了返回指针。