ARM64 内核PXN机制验证测试

已于 2022-01-27 07:39:18 修改
阅读量3.6k 收藏 5
点赞数 1
分类专栏: 系统安全 文章标签: arm linux kernel 安全 安全漏洞
于 2021-11-09 14:47:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andlee/article/details/121227038
版权

PXN简介

PXN全称 Privileged Execute-Never,是一种内核安全特性,用来阻止内核直接执行用户空间的代码,能够极大地提升漏洞利用的难度。

根据kernelsec网站的描述,armv8及以上版本的PXN特性由硬件支持,各平台和架构的PXN特性见下图:

(表格内容来自Linux Kernel Security Subsystem

 结合对linux源码(内核版本5.10.41)的分析可以发现,PXN和UXN机制均通过寄存器中的一个位进行控制,具体实现如下:

arch/arm64/include/asm/pgtable-hwdef.h
/*
 * Level 3 descriptor (PTE).
 */
#define PTE_PXN			(_AT(pteval_t, 1) << 53)	/* Privileged XN */
#define PTE_UXN			(_AT(pteval_t, 1) << 54)	/* User XN */

因为PXN特性取决于硬件平台是否支持,所以即使我们看到代码中有对应的实现,并不代表这个功能在系统上是有效的,因此需要进一步构造测试案例来验证。

构造测试案例

编写内核模块,在内核模块中创建proc文件系统,通过proc_write接口向内核空间传递用户空间的代码地址,然后尝试在内核空间中直接执行来自用户空间的代码。

kernel模块主要逻辑实现如下:

static ssize_t mywrite(struct file *file, const char __user *ubuf, size_t count, loff_t *ppos) 
{
    char buf[MAX_LENGTH];
    typedef void (*MY_FUNC_P)(void);

    printk(KERN_INFO "********************* dump stack **********************\n");
    dump_stack();
    
    ((MY_FUNC_P)ubuf)();
    return count;
}

用户空间主要逻辑实现如下:

void
payload(void)
{
        if (getuid() == 0) {
                printf("[+] PXN is gone, how dare you!\n");
                execl("/bin/sh", "sh", NULL);
        } else {
                warnx("this will never be execute.");
        }

        _exit(0);
}

extern uint32_t shellCode[];

asm
(
"    .text\n"
"    .align 2\n"
"    .globl shellCode\n\t"
"shellCode:\n\t"

"bl #payload\n\t"
);


void
trigger_vuln(int fd, int canary)
{

#define MAX_PAYLOAD (MAX + 4  * 4 )

        char buf[MAX_PAYLOAD];

        memset(buf, 0, sizeof(buf));

        void * pc = buf ;

        *(void **)pc  = (void *) shellCode;

        write(fd, buf, sizeof(buf) );

		printf("[+] write done, %d bytes\n", sizeof(buf));
}

通过执行测试案例,我们的预期结果是kernel在执行用户空间代码时抛出异常提示,但如果用户空间的测试程序执行之后输出"[+] PXN is gone, how dare you!\n",则表示PXN没有生效。

测试结果

安装内核模块:

vcu-sxxx:/home# insmod lkm_pxn.ko 
vcu-sxxx:/home# [   49.457010] hello...

执行用户空间程序:

vcu-sxxxxx:/home# chmod +x uspace 
vcu-sxxxxx:/home# ./uspace 
[   61.084617] ********************* dump stack **********************
[   61.084642] CPU: 3 PID: 1474 Comm: uspace Tainted: G           O      5.10.41-rt42+g5c4c385db992 #1
[   61.084658] Hardware name: ARM vcu-sxxxxx(DT)
[   61.084663] Call trace:
[   61.084665]  dump_backtrace+0x0/0x180
[   61.084686]  show_stack+0x18/0x70
[   61.084695]  dump_stack+0xd0/0x12c
[   61.084707]  mywrite+0x2c/0xd8 [lkm_pxn]
[   61.084720]  proc_reg_write+0xa8/0xec
[   61.084731]  vfs_write+0xf0/0x2b0
[   61.084743]  ksys_write+0x58/0xe0
[   61.084751]  __arm64_sys_write+0x20/0x30
[   61.084760]  el0_svc_common.constprop.0+0x78/0x1a0
[   61.084772]  do_el0_svc+0x24/0x90
[   61.084780]  el0_svc+0x14/0x20
[   61.084790]  el0_sync_handler+0x1a4/0x1b0
[   61.084797]  el0_sync+0x180/0x1c0
[   61.084810] Unable to handle kernel execution of user memory at virtual address 0000007fd808ce58
[   61.165015] Mem abort info:
[   61.165014] printk: console [ttyLF0]: printing thread stopped
[   61.167933]   ESR = 0x8600000f
[   61.176923]   EC = 0x21: IABT (current EL), IL = 32 bits
[   61.182402]   SET = 0, FnV = 0
[   61.185549]   EA = 0, S1PTW = 0
[   61.188788] user pgtable: 4k pages, 39-bit VAs, pgdp=000000009709d000
[   61.195406] [0000007fd808ce58] pgd=000000008c39b003, p4d=000000008c39b003, pud=000000008c39b003, pmd=0000000081f30003, pte=00e8000086663f43
[   61.208308] Internal error: Oops: 8600000f [#1] PREEMPT_RT SMP
[   61.214289] Modules linked in: lkm_pxn(O) pfeng(O)
[   61.219205] CPU: 3 PID: 1474 Comm: uspace Tainted: G           O      5.10.41-rt42+g5c4c385db992 #1
[   61.228482] Hardware name: ARM XXXXX (DT)
[   61.233300] pstate: 40000005 (nZcv daif -PAN -UAO -TCO BTYPE=--)
[   61.239457] pc : 0x7fd808ce58
[   61.242501] lr : mywrite+0xb4/0xd8 [lkm_pxn]
[   61.246882] sp : ffffffc01235b980
[   61.250275] x29: ffffffc01235b980 x28: ffffff8001d29a80 
[   61.255721] x27: 0000000000000000 x26: 0000000000000000 
[   61.261165] x25: 0000000000000000 x24: 0000000000000000 
[   61.266609] x23: 0000000000000000 x22: ffffffc01235be38 
[   61.272052] x21: 0000007fd808ce58 x20: 0000007fd808ce58 
[   61.277497] x19: 0000000000000050 x18: 00000000fffffffa 
[   61.282941] x17: 0000000000000000 x16: 0000000000000000 
[   61.288385] x15: 0000000000000020 x14: 4141414141414141 
[   61.293828] x13: 4141414141414141 x12: 4141414141414141 
[   61.299272] x11: 4141414141414141 x10: 4141414141414141 
[   61.304715] x9 : 4141414141414141 x8 : 4141414141414141 
[   61.310160] x7 : 4141414141414141 x6 : ffffffc01235b9f0 
[   61.315603] x5 : ffffffc01235b9f0 x4 : 0000000000000008 
[   61.321048] x3 : 858d0cd041414141 x2 : 0000000000000000 
[   61.326493] x1 : 0000007fd808cea8 x0 : 0000000000000000 
[   61.331938] Call trace:
[   61.334442]  0x7fd808ce58
[   61.337127]  proc_reg_write+0xa8/0xec
[   61.340886]  vfs_write+0xf0/0x2b0
[   61.344289]  ksys_write+0x58/0xe0
[   61.347688]  __arm64_sys_write+0x20/0x30
[   61.351709]  el0_svc_common.constprop.0+0x78/0x1a0
[   61.356623]  do_el0_svc+0x24/0x90
[   61.360020]  el0_svc+0x14/0x20
[   61.363154]  el0_sync_handler+0x1a4/0x1b0
[   61.367262]  el0_sync+0x180/0x1c0
[   61.370667] Code: 00000000 00000000 000000ac 00000000 (41414141) 
[   61.376915] ---[ end trace 0000000000000002 ]---
Segmentation fault

从日志“Unable to handle kernel execution of user memory at virtual address”可以确认,内核PXN机制阻止了此次用户空间代码的执行。

车联网安全杂货铺
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux内核各个段的权限设置
liuhangtiant的博客
08-05 2728
前言 MMU除了管理虚拟地址到物理地址的映射外,还管理的访问权限。Linux内核分了很多段,如代码段,只读数据段,数据段等,不同的段访问权限肯定是不同的。代码段一般来说可读可执行,并且只能在特权模式下执行,但是不可写;只读数据段只能读,不能写也不能执行;数据段可以读写,不能执行。本文主要就是来介绍下linux内核各个段的权限设置问题,关于用户进程各个段的权限设置会在另外一篇文章中介绍。 Linu...
PXN 的游戏手柄操作类和测试程序
01-10
编写的Qt PXN的游戏手柄操作类和测试程序;
PXN防护技术的研究与绕过
热门推荐
莫灰灰的专栏
08-10 1万+
近些年来,由于Android系统的兴起,作为Android底层实现的Linux内核安全问题也是越来越被人们所关注。为了减小漏洞给用户带来的危害和损失,Linux内核增加了一系列的漏洞缓解技术。其中包括DEP,ASLR,更强的Selinux内核代码段只读,PXN等等。 Linux中这些安全特性的增加,使得黑客们对漏洞的利用越来越困难。其中,DEP,ASLR,Selinux等技术在PC时代就已经比较成熟了。内核代码段只读也是可以通过修改ptmx_fops指针表等方案来绕过。那么,PXN是什么?它又该如何绕过
PXE远程安装Linux系统(相同网段)
weixin_60252605的博客
11-10 628
此实验是在同一局域网内,下一篇文章是 跨网段PXE远程安装Linux系统(不同局域网)。假如安装一台操作系统 可能对于你来说是小菜一碟,假如你要批量安装操作系统,同时安装十几台 你总不能一台一台的安装吧,这样搞既浪费时间又展现不出你的技术含量 此时PXE安装就可以同时安装好多个操作系统,这样既节约了时间,又在无形中装个13。
ARM V8A体系结构-第十三章 内存排序
u010681589的博客
04-26 1384
概述 如果您的代码直接与硬件或其他内核上执行的代码交互,或者直接加载或写入要执行的指令,或者修改页表,则需要注意内存排序问题。 如果您是一名应用程序开发人员,那么硬件交互可能是通过设备驱动程序进行的,与其他内核的交互是通过Pthreads或另一个多线程API进行的,与分页内存系统的交互是通过操作系统进行的。在所有这些情况下,相关代码会为您解决内存排序问题。然而,如果您正在编写操作系统内核或设备驱动程序,或实现虚拟机监控程序、JIT编译器或多线程库,那么您必须对ARM体系结构的内存排序规则有很好的理解。您必须
ARM64内存属性及MAIR配置
suifengershi2000的博客
02-07 4938
内存属性分为2类: Normal型:sram或者dram那样的内存空间,一般都是过cache的(当然也可不过cache,如外设访问的地址空间,标记为NC) device型:设备寄存器那样的io空间,都不会过cache。Device属性的内存空间还有下面三种子属性,都有打开和关闭的定义。 G(gather:对多个memory的访问可以合并) nG与之相反 R(Reordering:对内存访问指令进行重排) nR与之相反 E(Early Write Acknowledgement hint:写操作的a
mdk兼容51和arm
09-19
首先先装ARM版,破解一下,然后把安装目录下的 TOOLS.INI 文件里面添加红字内容(最好备份下),注意路径 [UV2] CDB0=UV4\STC.CDB("STC") ORGANIZATION="Microsoft" NAME="Microsoft", "1" EMAIL="1" ARMSEL=1 ...
莱仕达光影PXN-8613驱动 v4.60a 官方最新版
07-14
莱仕达光影PXN-8613驱动是莱仕达光影游戏手柄的最新驱动程序,莱仕达PXN-8613的做工精美扎实可靠 独树一帜的外形设计 手感相当舒爽,本次小编给大家带来他的最新驱动下载,如果你遇到了手柄连接不到电脑、或者链接...
Android Root利用技术漫谈:绕过PXN.ppt
08-14
本次议题将介绍一种通用的绕过PXN的技术,有别于传统rop/jop技术,此技术不需要寻找,构造rop链,而是利用内核中现有的功能模块,通用性好,可用于几乎所有的Android手机。 本次议题还将利用一个IceSword Lab报给...
莱仕达雷霆PRO PXN-2113飞行摇杆驱动 官方版
07-13
莱仕达pxn2113驱动是一款可以在win7、XP等系统上运行的驱动安装程序。配合pxn2113摇杆产品使用,可以灵敏控制游戏进程,非常给力!需要的用户快下载吧!驱动软件介绍莱仕达pxn2113驱动安装程序由莱仕达官网提供,为...
arm64 UAO/PAN 特性对用户空间边界读写的影响(copy_from/to_user)
最新发布
看我眼色行事的博客
01-02 1247
(1)(2)(3)在调用从用户空间拷贝的 api 时首先会调用 uaccess_enable_not_uao 来激活访问用户空间,这里其实调用的就是 SET_PSTATE_PAN(0) (先暂时不看 UAO 特性,假设这里没有启用 UAO 特性),禁用了 PAN ,那么此时使用 ldr/str 指令访问用户空间不会出现问题,当完成访问后调用 SET_PSTATE_PAN(1)再次开启 PAN 特性,所以这里就是在特殊的访问 api 中临时禁用 PAN,以便顺利访问用户空间。
使能和测试ARM64内核PAN机制
李老板的移动安全杂货铺
11-05 4423
PAN机制简介 内核PAN机制(Privileged Access Never)阻止内核态程序直接访问用户态的数据,只能通过内核提供的固定接口copy_from_user,copy_to_user与用户空间交换数据。使用这一机制的原因主要是因为在某些攻击场景下,黑客通过控制用户态数据来执行漏洞利用,比如towelroot的提权POC[1]。 从实现技术上看,PAN通过修改ttbr0_el1寄存器的值(因为ttbr0_el1寄存器保存着一级页表的地址),使内核无法完成对用户态地址的寻址,从而无法操作用户态
openeuler 使用指令查找U盘:输入fdisk -l,内核崩溃 ,系统重启,使用lsblk显示正常,数据传输正常
yy_hear的博客
11-02 334
虚拟地址也同样最大支持48位支持,所以在处理器的架构设计上,把虚拟地址空间划分为两个空间,每个空间最大支持256TB。(1)用户空间:0x0000_0000_0000_0000到0x0000_ffff_ffff_ffff,一共有256TB。(3)内核空间:0xffff_0000_0000_0000到0xffff_ffff_ffff_ffff。内核空间:0xffff_0000_0000_0000到0xffff_ffff_ffff_ffff。因为,很显然,我们将变量声明为const,是希望它能受到保护的!
问题排查利器:Linux 原生跟踪工具 Ftrace 必知必会
云原生实验室
03-15 1042
TLDR:建议收藏,需要时查阅。如果你只是需要快速使用工具来进行问题排查,包括但不限于函数调用栈跟踪、函数调用子函数流程、函数返回结果,那么推荐你直接使用 BCC trace[1] 或 B...
一个内核oops问题的分析及解决
嵌入式Linux
05-21 1180
个人简介lccz(龙城赤子),资深嵌入式开发者,爱好Linux内核相关技术。个人CSDN博客:wwwyue1985。最近在调试设备时,遇到了一个偶发的开机死机问题。通过查看输出日志,发现内核报告了oops错误,如下所示(中间省略了部分日志,以......代替):Unable to handle kernel NULL pointer dereference at virt...
简单的oops调试
m0_37797953的博客
04-17 652
oops ~ # insmod /mnt/oops.ko [ 117.135066] oops: loading out-of-tree module taints kernel. [ 117.142239] Unable to handle kernel NULL pointer dereference at virtual address 0000000000000000 [ 117.142564] Mem abort info: [ 117.142679] ESR = 0x960...
ARM汇编笔记
kernweak的博客
06-19 803
简介 现阶段ARM已存在64位体系架构即armv8,指令体系分为:AARCH_64和AARCH_32 Armv7a以及之前的架构使用的arm指令称为A32(ARM)和T32(Thumb),armv8使用的64位指令成为A64,兼容32位(ABI级并不兼容,两种执行模型) 体系 处理器模式: 用户模式(User):ARM处理器正常的程序执行状态(相当于intelR3) 快速中断模式(FIQ):...
pfn_pte()
kernel_details的专栏
01-15 3342
pfn_pte(pfn, prot)根据prot加工第pfn物理页所对应的页表项内容#define pfn_pte(pfn, prot)  __pte(((pfn) #define PAGE_SHIFT  12#define pgprot_val(x)   ((x).pgprot)
三个PTE标志位的含义:PTE_DIRTY,PTE_YOUNG,PTE_PRESENT
kaka__55的博客
08-02 2205
PTE_DIRTY:CPU在写操作时会设置该标志位,表示对应页面被写过,为脏页。 PTE_YOUNG:CPU访问该页时会设置该标志位。在页面换出时,如果该标志位置位了,说明该页刚被访问过,页面是young的,不适合把该页换出,同时清除该标志位。 PTE_PRESENT:表示页在内存中。 ...
HSD100PXN1-A00-C40 Product Information 1.0-显示屏产品规格书.pdf
11-21
"HSD100PXN1-A00-C40 Product Information 1.0-显示屏产品规格书.pdf" 这份文档是来自HannStar Display Corp.的HSD100PXN1-A00-C40嵌入式LCD液晶显示屏的产品规格书,主要包含了该显示屏的技术细节和设计指南。作为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值