ARM64 内核PXN机制验证测试

已于 2022-01-27 07:39:18 修改
阅读量3.6k 收藏 5
点赞数 1
分类专栏: 系统安全 文章标签: arm linux kernel 安全 安全漏洞
于 2021-11-09 14:47:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andlee/article/details/121227038
版权

PXN简介

PXN全称 Privileged Execute-Never,是一种内核安全特性,用来阻止内核直接执行用户空间的代码,能够极大地提升漏洞利用的难度。

根据kernelsec网站的描述,armv8及以上版本的PXN特性由硬件支持,各平台和架构的PXN特性见下图:

(表格内容来自Linux Kernel Security Subsystem

 结合对linux源码(内核版本5.10.41)的分析可以发现,PXN和UXN机制均通过寄存器中的一个位进行控制,具体实现如下:

arch/arm64/include/asm/pgtable-hwdef.h
/*
 * Level 3 descriptor (PTE).
 */
#define PTE_PXN			(_AT(pteval_t, 1) << 53)	/* Privileged XN */
#define PTE_UXN			(_AT(pteval_t, 1) << 54)	/* User XN */

因为PXN特性取决于硬件平台是否支持,所以即使我们看到代码中有对应的实现,并不代表这个功能在系统上是有效的,因此需要进一步构造测试案例来验证。

构造测试案例

编写内核模块,在内核模块中创建proc文件系统,通过proc_write接口向内核空间传递用户空间的代码地址,然后尝试在内核空间中直接执行来自用户空间的代码。

kernel模块主要逻辑实现如下:

static ssize_t mywrite(struct file *file, const char __user *ubuf, size_t count, loff_t *ppos) 
{
    char buf[MAX_LENGTH];
    typedef void (*MY_FUNC_P)(void);

    printk(KERN_INFO "********************* dump stack **********************\n");
    dump_stack();
    
    ((MY_FUNC_P)ubuf)();
    return count;
}

用户空间主要逻辑实现如下:

void
payload(void)
{
        if (getuid() == 0) {
                printf("[+] PXN is gone, how dare you!\n");
                execl("/bin/sh", "sh", NULL);
        } else {
                warnx("this will never be execute.");
        }

        _exit(0);
}

extern uint32_t shellCode[];

asm
(
"    .text\n"
"    .align 2\n"
"    .globl shellCode\n\t"
"shellCode:\n\t"

"bl #payload\n\t"
);


void
trigger_vuln(int fd, int canary)
{

#define MAX_PAYLOAD (MAX + 4  * 4 )

        char buf[MAX_PAYLOAD];

        memset(buf, 0, sizeof(buf));

        void * pc = buf ;

        *(void **)pc  = (void *) shellCode;

        write(fd, buf, sizeof(buf) );

		printf("[+] write done, %d bytes\n", sizeof(buf));
}

通过执行测试案例,我们的预期结果是kernel在执行用户空间代码时抛出异常提示,但如果用户空间的测试程序执行之后输出"[+] PXN is gone, how dare you!\n",则表示PXN没有生效。

测试结果

安装内核模块:

vcu-sxxx:/home# insmod lkm_pxn.ko 
vcu-sxxx:/home# [   49.457010] hello...

执行用户空间程序:

vcu-sxxxxx:/home# chmod +x uspace 
vcu-sxxxxx:/home# ./uspace 
[   61.084617] ********************* dump stack **********************
[   61.084642] CPU: 3 PID: 1474 Comm: uspace Tainted: G           O      5.10.41-rt42+g5c4c385db992 #1
[   61.084658] Hardware name: ARM vcu-sxxxxx(DT)
[   61.084663] Call trace:
[   61.084665]  dump_backtrace+0x0/0x180
[   61.084686]  show_stack+0x18/0x70
[   61.084695]  dump_stack+0xd0/0x12c
[   61.084707]  mywrite+0x2c/0xd8 [lkm_pxn]
[   61.084720]  proc_reg_write+0xa8/0xec
[   61.084731]  vfs_write+0xf0/0x2b0
[   61.084743]  ksys_write+0x58/0xe0
[   61.084751]  __arm64_sys_write+0x20/0x30
[   61.084760]  el0_svc_common.constprop.0+0x78/0x1a0
[   61.084772]  do_el0_svc+0x24/0x90
[   61.084780]  el0_svc+0x14/0x20
[   61.084790]  el0_sync_handler+0x1a4/0x1b0
[   61.084797]  el0_sync+0x180/0x1c0
[   61.084810] Unable to handle kernel execution of user memory at virtual address 0000007fd808ce58
[   61.165015] Mem abort info:
[   61.165014] printk: console [ttyLF0]: printing thread stopped
[   61.167933]   ESR = 0x8600000f
[   61.176923]   EC = 0x21: IABT (current EL), IL = 32 bits
[   61.182402]   SET = 0, FnV = 0
[   61.185549]   EA = 0, S1PTW = 0
[   61.188788] user pgtable: 4k pages, 39-bit VAs, pgdp=000000009709d000
[   61.195406] [0000007fd808ce58] pgd=000000008c39b003, p4d=000000008c39b003, pud=000000008c39b003, pmd=0000000081f30003, pte=00e8000086663f43
[   61.208308] Internal error: Oops: 8600000f [#1] PREEMPT_RT SMP
[   61.214289] Modules linked in: lkm_pxn(O) pfeng(O)
[   61.219205] CPU: 3 PID: 1474 Comm: uspace Tainted: G           O      5.10.41-rt42+g5c4c385db992 #1
[   61.228482] Hardware name: ARM XXXXX (DT)
[   61.233300] pstate: 40000005 (nZcv daif -PAN -UAO -TCO BTYPE=--)
[   61.239457] pc : 0x7fd808ce58
[   61.242501] lr : mywrite+0xb4/0xd8 [lkm_pxn]
[   61.246882] sp : ffffffc01235b980
[   61.250275] x29: ffffffc01235b980 x28: ffffff8001d29a80 
[   61.255721] x27: 0000000000000000 x26: 0000000000000000 
[   61.261165] x25: 0000000000000000 x24: 0000000000000000 
[   61.266609] x23: 0000000000000000 x22: ffffffc01235be38 
[   61.272052] x21: 0000007fd808ce58 x20: 0000007fd808ce58 
[   61.277497] x19: 0000000000000050 x18: 00000000fffffffa 
[   61.282941] x17: 0000000000000000 x16: 0000000000000000 
[   61.288385] x15: 0000000000000020 x14: 4141414141414141 
[   61.293828] x13: 4141414141414141 x12: 4141414141414141 
[   61.299272] x11: 4141414141414141 x10: 4141414141414141 
[   61.304715] x9 : 4141414141414141 x8 : 4141414141414141 
[   61.310160] x7 : 4141414141414141 x6 : ffffffc01235b9f0 
[   61.315603] x5 : ffffffc01235b9f0 x4 : 0000000000000008 
[   61.321048] x3 : 858d0cd041414141 x2 : 0000000000000000 
[   61.326493] x1 : 0000007fd808cea8 x0 : 0000000000000000 
[   61.331938] Call trace:
[   61.334442]  0x7fd808ce58
[   61.337127]  proc_reg_write+0xa8/0xec
[   61.340886]  vfs_write+0xf0/0x2b0
[   61.344289]  ksys_write+0x58/0xe0
[   61.347688]  __arm64_sys_write+0x20/0x30
[   61.351709]  el0_svc_common.constprop.0+0x78/0x1a0
[   61.356623]  do_el0_svc+0x24/0x90
[   61.360020]  el0_svc+0x14/0x20
[   61.363154]  el0_sync_handler+0x1a4/0x1b0
[   61.367262]  el0_sync+0x180/0x1c0
[   61.370667] Code: 00000000 00000000 000000ac 00000000 (41414141) 
[   61.376915] ---[ end trace 0000000000000002 ]---
Segmentation fault

从日志“Unable to handle kernel execution of user memory at virtual address”可以确认,内核PXN机制阻止了此次用户空间代码的执行。

车联网安全杂货铺
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用NDB调试Linux内核的线程切换过程
birdring_0xx0的博客
09-27 787
使用NDB调试Linux内核的线程切换过程
PXN防护技术的研究与绕过
热门推荐
莫灰灰的专栏
08-10 1万+
近些年来,由于Android系统的兴起,作为Android底层实现的Linux内核安全问题也是越来越被人们所关注。为了减小漏洞给用户带来的危害和损失,Linux内核增加了一系列的漏洞缓解技术。其中包括DEP,ASLR,更强的Selinux内核代码段只读,PXN等等。 Linux中这些安全特性的增加,使得黑客们对漏洞的利用越来越困难。其中,DEP,ASLR,Selinux等技术在PC时代就已经比较成熟了。内核代码段只读也是可以通过修改ptmx_fops指针表等方案来绕过。那么,PXN是什么?它又该如何绕过
PXE远程安装Linux系统(相同网段)
weixin_60252605的博客
11-10 629
此实验是在同一局域网内,下一篇文章是 跨网段PXE远程安装Linux系统(不同局域网)。假如安装一台操作系统 可能对于你来说是小菜一碟,假如你要批量安装操作系统,同时安装十几台 你总不能一台一台的安装吧,这样搞既浪费时间又展现不出你的技术含量 此时PXE安装就可以同时安装好多个操作系统,这样既节约了时间,又在无形中装个13。
openeuler 使用指令查找U盘:输入fdisk -l,内核崩溃 ,系统重启,使用lsblk显示正常,数据传输正常
最新发布
yy_hear的博客
11-02 349
虚拟地址也同样最大支持48位支持,所以在处理器的架构设计上,把虚拟地址空间划分为两个空间,每个空间最大支持256TB。(1)用户空间:0x0000_0000_0000_0000到0x0000_ffff_ffff_ffff,一共有256TB。(3)内核空间:0xffff_0000_0000_0000到0xffff_ffff_ffff_ffff。内核空间:0xffff_0000_0000_0000到0xffff_ffff_ffff_ffff。因为,很显然,我们将变量声明为const,是希望它能受到保护的!
内存-页表结构详细说明
jianjian的博客
04-18 2036
我们知道linux采用了分页机制,通常采用四级页表,页全局目录(PGD),页上级目录(PUD),页中间目录(PMD),页表(PTE)。如下:_AC1
arm64_arm64_
10-03
7. **安全性与虚拟化**:ARM64架构引入了内存访问权限控制(如UXN、PXN)和安全扩展(如TrustZone),以增强系统的安全性。此外,硬件虚拟化功能如VMX和VHE扩展允许在单个处理器上运行多个操作系统实例。 8. **向后...
PXN 的游戏手柄操作类和测试程序
01-10
在本文中,我们将深入探讨Qt环境下如何编写针对PXN游戏手柄的操作类和测试程序。 首先,`C++`是实现这一目标的主要编程语言,它以其强大、高效和面向对象的特性,成为了构建游戏控制器驱动和应用的理想选择。`PXN...
mdk兼容51和arm
09-19
首先先装ARM版,破解一下,然后把安装目录下的 TOOLS.INI 文件里面添加红字内容(最好备份下),注意路径 [UV2] CDB0=UV4\STC.CDB("STC") ORGANIZATION="Microsoft" NAME="Microsoft", "1" EMAIL="1" ARMSEL=1 ...
莱仕达光影PXN-8613驱动 v4.60a 官方最新版
07-14
莱仕达光影PXN-8613驱动是莱仕达光影游戏手柄的最新驱动程序,莱仕达PXN-8613的做工精美扎实可靠 独树一帜的外形设计 手感相当舒爽,本次小编给大家带来他的最新驱动下载,如果你遇到了手柄连接不到电脑、或者链接...
Android Root利用技术漫谈:绕过PXN.ppt
08-14
本次议题将介绍一种通用的绕过PXN的技术,有别于传统rop/jop技术,此技术不需要寻找,构造rop链,而是利用内核中现有的功能模块,通用性好,可用于几乎所有的Android手机。 本次议题还将利用一个IceSword Lab报给...
使用kdump_crash解决死机难题-v1.2 - public.pdf
07-15
使用kdump_crash解决死机难题-v1.2 - public
问题排查利器:Linux 原生跟踪工具 Ftrace 必知必会
云原生实验室
03-15 1046
TLDR:建议收藏,需要时查阅。如果你只是需要快速使用工具来进行问题排查,包括但不限于函数调用栈跟踪、函数调用子函数流程、函数返回结果,那么推荐你直接使用 BCC trace[1] 或 B...
linux保护机制整理
weixin_34406086的博客
10-22 649
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux arm64 pte相关宏
小立仔
09-18 392
Linux arm64 pte相关宏简介
ARMv8 Uboot支持MMU和Cache说明
lunhui2016的博客
12-13 2404
ARM64 Uboot MMU Cache
漏洞利用缓解及对抗技术ALSR、KALSR、DEP、PXN
键盘的起始页
07-28 1092
随着软件系统越来越复杂,软件漏洞变得无法避免。业界逐渐推出了让漏洞无法利用或利用难度提高的方法,简称漏洞缓解技术。我们简单介绍下Android和iOS中广泛使用的一些漏洞缓解及可能的绕过技术。当然这里也包含一些相关联的安全限制,而非真正意义的缓解技术。...............
使用NDB调试网络栈
birdring_0xx0的博客
09-27 489
使用NDB调试网络栈
pfn_pte()
kernel_details的专栏
01-15 3344
pfn_pte(pfn, prot)根据prot加工第pfn物理页所对应的页表项内容#define pfn_pte(pfn, prot)  __pte(((pfn) #define PAGE_SHIFT  12#define pgprot_val(x)   ((x).pgprot)
三个PTE标志位的含义:PTE_DIRTY,PTE_YOUNG,PTE_PRESENT
kaka__55的博客
08-02 2215
PTE_DIRTY:CPU在写操作时会设置该标志位,表示对应页面被写过,为脏页。 PTE_YOUNG:CPU访问该页时会设置该标志位。在页面换出时,如果该标志位置位了,说明该页刚被访问过,页面是young的,不适合把该页换出,同时清除该标志位。 PTE_PRESENT:表示页在内存中。 ...
HSD100PXN1-A00-C40 Product Information 1.0-显示屏产品规格书.pdf
11-21
"HSD100PXN1-A00-C40 Product Information 1.0-显示屏产品规格书.pdf" 这份文档是来自HannStar Display Corp.的HSD100PXN1-A00-C40嵌入式LCD液晶显示屏的产品规格书,主要包含了该显示屏的技术细节和设计指南。作为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值