3

我正在尝试为不同的系统调用实现陷阱函数。目标是,代理将执行它们,然后返回结果。所以客户端不会自己执行命令。

Seccomp 提供了实现这一目标的能力:

我做了什么?

  1. 初始化信号处理程序或 SIGSYS 信号。
  2. 使用 Action SCMP_ACT_TRAP 初始化了一个 seccomp 过滤器。
  3. 等待 SA_SIGINFO 信号。
  4. 修改生成的系统调用的返回值。

一般来说,这种方法是有效的。它在 chromium 项目和 mozilla 中也像这样使用。

问题

更改返回整数的系统调用的返回值,如 open 可以完美地工作。更改返回指针的函数的返回值不起作用(例如 getcwd)。

不知何故,只返回第一个参数,这甚至不是在所有情况下。有时会返回 NULL。

我也尝试过

我还使用 ptrace 创建了一个工作示例。ptrace 解决方案通过将指令指针更改为另一个用户空间函数并修改返回调用来拦截系统调用。该解决方案有效,但由于在后台使用 ptrace ,因此有点笨拙且不受欢迎。

示例代码

这是代码的简约分解。

#define _GNU_SOURCE
#include <stdio.h>
#include <sys/stat.h>
#include <signal.h>
#include <errno.h>
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <stddef.h>
#include <unistd.h>
#include <seccomp.h>
#include <fcntl.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>
#include <sys/socket.h>
#include <dirent.h>
#include <linux/filter.h>
#include <ucontext.h>

extern int errno;


#define SECCOMP_REG(_ctx, _reg) ((_ctx)->uc_mcontext.gregs[(_reg)])
#define SECCOMP_RESULT(_ctx)    SECCOMP_REG(_ctx, REG_RAX)
#define SECCOMP_SYSCALL(_ctx)   SECCOMP_REG(_ctx, REG_RAX)
#define SECCOMP_IP(_ctx)        SECCOMP_REG(_ctx, REG_RIP)
#define SECCOMP_PARM1(_ctx)     SECCOMP_REG(_ctx, REG_RDI)
#define SECCOMP_PARM2(_ctx)     SECCOMP_REG(_ctx, REG_RSI)
#define SECCOMP_PARM3(_ctx)     SECCOMP_REG(_ctx, REG_RDX)
#define SECCOMP_PARM4(_ctx)     SECCOMP_REG(_ctx, REG_R10)
#define SECCOMP_PARM5(_ctx)     SECCOMP_REG(_ctx, REG_R8)
#define SECCOMP_PARM6(_ctx)     SECCOMP_REG(_ctx, REG_R9)


static char fake[100] = "fake";

/*
* Catch violations so we see, which system call caused the problems
*/
static void catchViolation(int sig, siginfo_t* si, void* void_context)
{
    int old_errno = errno;

    printf("Attempted banned syscall number [%d] see doc/Seccomp.md for more information [%d]\n",
           si->si_syscall, sig);

    ucontext_t* ctx = (ucontext_t*)void_context;

    // Just printing some registers for debugging
    printf("RAX IS: %p\n", (void*)SECCOMP_RESULT(ctx));
    printf("RIP IS: %p\n", (void*)SECCOMP_IP(ctx));
    printf("RDI IS: %p\n", (void*)SECCOMP_PARM1(ctx));
    printf("RSI IS: %p\n", (void*)SECCOMP_PARM2(ctx));
    printf("RDX IS: %p\n", (void*)SECCOMP_PARM3(ctx));
    printf("R10 IS: %p\n", (void*)SECCOMP_PARM4(ctx));
    printf("R8 IS: %p\n", (void*)SECCOMP_PARM5(ctx));
    printf("R9 IS: %p\n", (void*)SECCOMP_PARM6(ctx));

    // Set register 4 to 0 according to ABI and set return value
    // to fake address
    SECCOMP_PARM4(ctx) = 0;
    SECCOMP_RESULT(ctx) = (greg_t)fake;

    printf("RAX After Change: %p\n", (void*)SECCOMP_RESULT(ctx));

    errno = old_errno;
}

/*
* Setup error handling
*/
static void init_error_handling(){
    struct sigaction sa = { .sa_sigaction = catchViolation, .sa_flags = SA_SIGINFO | SA_NODEFER };
    if (sigaction(SIGSYS, &sa, NULL)){
        printf("Failed to configure SIGSYS handler [%s]\n", strerror(errno));
    }
}


void init_seccomp_filters(){
    if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)) {
        perror("Could not start seccomp:");
        exit(1);
    }

    scmp_filter_ctx ctx;
    ctx = seccomp_init(SCMP_ACT_TRAP);

    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(read), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(recvmsg), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(rt_sigreturn), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(fstat), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(lstat), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(writev), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(readlink), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(sendmsg), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(getppid), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit_group), 0);

    if (seccomp_load(ctx)== -1) {
        perror("Could not start seccomp:");
        exit(1);
    }
}


int main(){
    init_error_handling();
    init_seccomp_filters();

    char dir[100] = "hello";

    printf("CALL GETCWD\n");
    char *t = getcwd(dir, 100);

    printf("---------------------\n");
    printf("PTR IS: %p\n", t);
    printf("EXPECTED: %p\n", fake);
    printf("Text is - %s\n", t);

    exit(0);
}

控制台输出

// SITUATION 1 RETURNING WRONG POINTER
CALL GETCWD
Attempted banned syscall number [79] see doc/Seccomp.md for more information [31]
RAX IS: 0x4f
RIP IS: 0x7f3c1dadff8a
RDI IS: 0x7fff983f8940
RSI IS: 0x64
RDX IS: 0x7f3c1dd9f760
R10 IS: 0x61c
R8 IS: 0x3
R9 IS: 0x410
RAX After Change: 0x563659aa70a0
---------------------
PTR IS: 0x7fff983f8940
EXPECTED: 0x563659aa70a0
Text is - hello

// SITUATION 2 RETURNING NULL
CALL GETCWD
Attempted banned syscall number [79] see doc/Seccomp.md for more information [31]
RAX IS: 0x4f
RIP IS: 0x7eff3372bf8a
RDI IS: 0x7ffce201d880
RSI IS: 0x64
RDX IS: 0x7eff339eb760
R10 IS: 0x61c
R8 IS: 0x3
R9 IS: 0x410
RAX After Change: 0x55fcab2c70a0
---------------------
PTR IS: (nil)
EXPECTED: 0x55fcab2c70a0
Text is - (null)
4

1 回答 1

1

AFAIK,你需要这个程序集系统调用的返回值是什么?

这只是 Linux 系统调用转换,从 -1 到 -4096 的任何返回值都被视为 errno。

另外,请参阅此处https://code.woboq.org/userspace/glibc/sysdeps/unix/sysv/linux/hppa/syscall.c.html

  if ((unsigned long int) __sys_res >= (unsigned long int) -4095)
    {
      __set_errno (-__sys_res);
      __sys_res = -1;
    }
  return __sys_res;

另外,我很好奇你的fake指针为什么这么大?

PS:不要声明errno,它是在系统头文件中定义的,通常是宏。

对于getcwd,这个 Linux 系统调用不返回指针,它被定义为int __getcwd(char* buf, size_t size)

于 2021-01-07T09:56:10.563 回答