【漏洞挖掘】使用Syzkaller&QEMU捕捉内核堆溢出Demo

已于 2022-07-17 10:49:10 修改
阅读量678 收藏
点赞数
分类专栏: 漏洞挖掘 文章标签: 内核
于 2021-04-05 11:34:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panhewu9919/article/details/115439956
版权

文章目录

参考:

本文主要参考第一篇文章,但是文章中很多步骤不全面,而且存在错误,故记录本实验过程。本实验前提是参照配置syzkaller&QEMU环境配置好syzkaller环境。

本文将演示使用Syzkaller联合QEMU触发一个内核溢出的bug。 包括三个步骤:

  • (1)在syzkaller中添加规则触发堆溢出

  • (2)编译一个带有堆溢出模块的kernel

  • (3)运行syzkaller&QEMU捕捉内核堆溢出

1.在syzkaller中添加规则

本例新增调用模板见proc_operation.txt,/syzkaller/sys/linux目录下的sys.txt中有通用的调用形式可以参考。

解释:syzkaller使用它自己的声明式语言来描述系统调用模板,docs目录下的syscall_descriptions.md中可以找到相关的说明。这些系统调用模板被翻译成syzkaller使用的代码需要经过两个步骤。第一步是使用syz-extract从linux源代码中提取符号常量的值,结果被存储在.const文件中,例如/sys/linux/tty.txt被转换为sys/linux/tty_amd64.const。第二步是根据系统调用模板和第一步中生成的const文件使用syz-sysgen生成syzkaller用的go代码。可以在/sys/linux/gen/amd64.go和/executor/syscalls.h中看到结果。最后,重新编译生成带有相应规则的syzkaller二进制可执行文件。

调用规则 号前的 s y s c a l l n a m e 是系统调用名, 号前的syscallname是系统调用名, 号前的syscallname是系统调用名,号后的type是指特定类型的系统调用。如上文的 open$proc 指的就是open这个类调用中proc这个具体的调用,这个名字是由规则编写者确定的,具体行为靠的是后面的参数去确定。 参数的格式如下: ArgumentName ArgumentType[Limit] ArgumentName是指参数名,ArgumentType指的是参数类型,例如上述例子有string、flags等类型。[ ]号中的内容就是具体的类型的值,不指定的时候由syzkaller自动生成,若要指定须在后文指定,以上文为例:

      mode flags[proc_open_mode]
      proc_open_mode = ...

因为我们给的例子是通过/proc/test这个内核接口的写操作来触发堆溢出,因此我们需要控制的参数是open函数中的file参数为“/proc/test”即可,其他操作参考sys.txt即可。

步骤

  • (1)编译生成syz-extract

     ~/Desktop/ctf/kernel_fuzz/gopath/src/github.com/google/syzkaller$ make bin/syz-extract

  • (2)编译生成syz-sysgen

    ~/Desktop/ctf/kernel_fuzz/gopath/src/github.com/google/syzkaller$ make bin/syz-sysgen

  • (3)用syz-extract生成.const文件(本例proc_operation.txt有错误,read和write不需要返回值)可选择只生成你新增的.txt

    ~/Desktop/ctf/kernel_fuzz/gopath/src/github.com/google/syzkaller$ bin/syz-extract -os linux -sourcedir "/home/john/Desktop/ctf/kernel_fuzz/linux/linux" -arch amd64 sys/linux/proc_operation.txt

    同目录下生成了proc_operation_amd64.const。

  • (4)然后运行syz-sysgen

    ~/Desktop/ctf/kernel_fuzz/gopath/src/github.com/google/syzkaller$ bin/syz-sysgen

  • (5)重编译syzkaller

    进入syzkaller源码目录,运行:

    $ make clean
$ make all

  • (6)拷贝编译好的syz-fuzzer到目标系统:

    scp -P 10021 -i ./stretch.id_rsa -r ../gopath/bin root@127.0.0.1:/root/bin

2.编译带有堆溢出的内核模块

漏洞:代码见test.c,主要是proc_write()函数有堆溢出。

编译:参考https://www.cnblogs.com/zhangjy6/p/5462644.html

$ make
$ scp -P 10021 -i ./stretch.id_rsa -r ./test/test.ko root@127.0.0.1:/root/bin
# 目标机器上$ sudo insmod test.ko

问题:无法insmod——我本机linux-headers版本是4.4.0-103-generic,目标内核版本是5.2.0-rc1+(查看版本命令$ uname -r),编译出来的driver在目标机上无法ismod,需安装linux-headers-5.2.0-rc1+。

解决:安装linux-headers-5.2.0-rc1+方法,先在网页上找到对应版本的headers。

$ wget https://kernel.ubuntu.com/~kernel-ppa/mainline/v5.2-rc1/linux-headers-5.2.0-050200rc1_5.2.0-050200rc1.201905191930_all.deb
$ wget https://kernel.ubuntu.com/~kernel-ppa/mainline/v5.2-rc1/linux-headers-5.2.0-050200rc1-generic_5.2.0-050200rc1.201905191930_amd64.deb
$ sudo dpkg -i *.deb
# 修改KDIR =/usr/src/linux-headers-5.2.0-050200rc1-generic

结果:还是不匹配,很无奈,要么重新编译内核吧,我选择linux-4.4.0.184版本,大不了把本机内核也更新为这个版本。(参考https://www.itsmearunchandel.co.in/linux/ubuntu/upgrade-kernel-version-in-ubuntu.html; 内核源码https://kernel.ubuntu.com/~kernel-ppa/mainline/v4.4.184/)

问题:应该更新了也还是不行,linux-headers-5.2.0-050200rc1-generic跟linux-headers-5.2.0-rc1+还是不匹配。

解决:将驱动模块编译进内核。所以要么把模块编译到目标内核,要么魔改许多module里的数据结构进行错版本加载。

# (参考https://blog.csdn.net/qq_33487044/article/details/81949703和https://kouriba.iteye.com/blog/1632767)

$ make menuconfig->Enable loadable module support->Forced module loading(同时关闭Module versioning support,只开启前3个)。

# 修改drvier目录下的MAKEFILE文件,在最后一行添加: obj-y += testmod/

# 然后在testmode目录下,添加一个MAKEFILE 文件,文件的内容为:obj-m := hello.o

步骤如下

  • (1)test.c拷贝到/linux/drivers/char/目录下

  • (2)/linux/drivers/char/Kconfig下添加

          menu "Character devices"      #已有
      config TEST_MODULE
      tristate "Heap Overflow Test"    #在menuconfig中显示的名字
      default y                    #默认选项
      help
        This file is to test a buffer overflow.
      endmenu       #已有

  • (3)/linux/drivers/char/Makefile下添加

    obj-$(CONFIG_TEST_MODULE) += test.o

  • (4)如果/linux/drivers/char/是新目录,需修改/linux/drivers/Kconfig(加上source “drivers/char/Kconfig”);修改/linux/drivers/Makefile(加上obj-$(CONFIG_TEST_MODULE) += char/)。

  • (5)配置文件选择该模块$ make menuconfig -> Device Drivers -> Character devices -> Heap Overflow Test (*表示直接编如内核,M表示模块形式,)

  • (6)运行内核,查看模块是否加载

    $ ls /proc/test 或  $dmesg|grep test

3.运行syzkaller捕捉溢出

(1)修改my.cfg(只允许某些调用,速度更快):
  "enable_syscalls": [
        "open$proc",
        "read$proc",
        "write$proc",
        "close$proc"
    ],
(2)运行虚机测试:
$ bin/syz-manager -config ./my.cfg -v 10

用浏览器打开“127.0.0.1:56741”,运行一段时间后出现以下日志:

PROC_DEV:into open!

==================================================================

BUG: KASAN: slab-out-of-bounds in copy_from_user arch/x86/include/asm/uaccess.h:698 [inline] at addr ffff88003c1f5e20

BUG: KASAN: slab-out-of-bounds in proc_write+0x64/0x90 drivers/mod_test/test.c:45 at addr ffff88003c1f5e20

Write of size 4096 by task syz-executor0/2569

CPU: 0 PID: 2569 Comm: syz-executor0 Not tainted 4.11.0-rc8+ #23

Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.10.2-1 04/01/2014

Call Trace:

__dump_stack lib/dump_stack.c:16 [inline]

dump_stack+0x95/0xe8 lib/dump_stack.c:52

kasan_object_err+0x1c/0x70 mm/kasan/report.c:164

print_address_description mm/kasan/report.c:202 [inline]

kasan_report_error mm/kasan/report.c:291 [inline]

kasan_report+0x252/0x510 mm/kasan/report.c:347

check_memory_region_inline mm/kasan/kasan.c:326 [inline]

check_memory_region+0x13c/0x1a0 mm/kasan/kasan.c:333

kasan_check_write+0x14/0x20 mm/kasan/kasan.c:344

copy_from_user arch/x86/include/asm/uaccess.h:698 [inline]

proc_write+0x64/0x90 drivers/mod_test/test.c:45

proc_reg_write+0xf6/0x180 fs/proc/inode.c:230

__vfs_write+0x10b/0x560 fs/read_write.c:508

vfs_write+0x187/0x520 fs/read_write.c:558

SYSC_write fs/read_write.c:605 [inline]

SyS_write+0xd4/0x1a0 fs/read_write.c:597

entry_SYSCALL_64_fastpath+0x18/0xad

RIP: 0033:0x450a09

RSP: 002b:00007ff6efd15b68 EFLAGS: 00000216 ORIG_RAX: 0000000000000001

RAX: ffffffffffffffda RBX: 00000000006f8000 RCX: 0000000000450a09

RDX: 0000000000000090 RSI: 0000000020d09000 RDI: 0000000000000005

RBP: 0000000000000046 R08: 0000000000000000 R09: 0000000000000000

R10: 0000000000000000 R11: 0000000000000216 R12: 0000000000000000

R13: 00007ffc210fd8ff R14: 00007ff6efd16700 R15: 0000000000000000

Object at ffff88003c1f5e20, in cache kmalloc-512 size: 512

...

Dumping ftrace buffer:

 (ftrace buffer empty)

Kernel Offset: disabled

这就是内核被crash时打印出来的调用信息,我们可以看到溢出发生在proc_write+0x64/0x90 drivers/mod_test/test.c:45处,也就是我们添加进去的带有堆溢出的模块。说明我们用Syzkaller添加规则捕捉到了堆溢出的代码。

结果我啥都没跑出来。

img

syzkaller网页显示

img

syzkaller所跑的syscall

4.漏洞复现

workdir/crashes目录下包含crash之前执行的程序。/tools目录下几个工具值得关注:syz-execprog以各种模式执行单个或一组程序,首先在循环中运行log中所有的程序来确认确实它们之一引发了crash。

$./syz-execprog -executor=./syz-executor -repeat=0 -procs=16 -cover=0 crash-log

然后尝试识别是哪个程序导致的crash。

$./syz-execprog -executor=./syz-executor -repeat=0 -procs=16 -cover=0 single-program

syz-execprog在本地执行程序,所以需要将syz-execprogsyz-executor复制到带有测试内核的VM中并在那里运行它。一旦确认了引发崩溃的单个程序,尝试通过注释掉单个系统调用并删除无关的数据来缩小范围。还可以尝试将所有mmap调用合并为一个。给syz-execprog加上-threaded=0 -collide=0标志确认这个程序仍然能够导致crash。

如果不能复现的话,尝试把每个系统调用移到单独的线程中[4]。然后通过syz-prog2c得到C程序,C程序应该也可以导致crash。这个过程在某种程度上也可以通过syz-repro自动化,需要提供config文件和crash报告。

$./syz-repro -config my.cfg crash-qemu-1-1455745459265726910
bsauce
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用qemu进行内核源码级调试
09-18
使用qemu虚拟机环境实现linux内核源码级的调试
qemu内核镜像, Linux-0.2.img
04-11
qemu内核镜像文件, 可以用于Linux环境下, qemu虚拟机的使用
syzkaller环境搭建及介绍
m0_71540099的博客
02-08 953
Syzkaller 使用 fuzzing 技术,通过生成大量随机输入来测试操作系统内核的代码路径,以发现潜在的漏洞和错误。:Syzkaller 不仅支持 Linux 内核的 fuzz 测试,还支持其他操作系统内核的测试,如 FreeBSD、NetBSD、Windows 等。它是一个开源的测试工具,专门设计用于发现和报告操作系统内核中的软件漏洞和错误。总的来说,Syzkaller 是一个强大的系统内核 fuzz 测试工具,能够帮助发现和修复操作系统内核中的漏洞和错误,提高系统的稳定性和安全性。
Linux内核调试环境的搭建(使用qemu
01-09
这里说明下,本人调试的内核版本是2.6.11.12,为什么去调试这么“古老”的版本?原因不多说了,你手头也许正拿着ULK3,而它针对的内核版本正是2.6.11,有比这更好的理由吗?而且这个版本不算旧,已不算新,我认为还算不错,想想当下还有如此多的人在学习0.11的道路上笃定的前行,讨论关于版本的事情,真的没什么意义。只要你认为有用,能学到东西,做什么别人都不会说你错!   接下来,我尽量把我碰到的一些棘手或者关键的地方都交代清楚,希望看到这篇文章的朋友能顺利搭建好自己的环境。good luck!   你手头需要有VMware,其他的虚拟化工具不谈了,用法差不多。在vmware中,我先后
syzkallersyzkaller是无监督的,覆盖率指导的内核模糊器
02-04
syzkaller-内核模糊器 syzkaller ( [siːzˈkɔːlə] )是[siːzˈkɔːlə]监督的,覆盖率指导的内核模糊测试器。 支持的操作系统: Akaros , FreeBSD , Fuchsia , gVisor , Linux , NetBSD , OpenBSD , Windows 。 邮件列表: (通过或加入)。 发现的错误: , , , , , , 。 文献资料 最初,syzkaller的开发考虑到Linux内核的模糊性,但现在已扩展为也支持其他OS内核。 目前,大多数文档都与内核有关。 对于其他OS内核,请检查: , , , ,
二进制扫描的缓冲区溢出漏洞探测技术
09-08
缓冲区溢出漏洞自从出现以来,一直引起许多严重的安全性问题,而且随着软件系统越做越大,越来越复杂,缓冲区溢出漏洞的出现越来越普遍。本文从检测程序的漏洞方面着手,比较了以前常用的静态代码分析和实时错误注入的检测方法,提出了一种对可执行文件反汇编后的代码进行缓冲区溢出漏洞检测的技术, 提高了检测软件系统漏洞的效率。
syzkaller是不受监督的,覆盖率指导的内核模糊器-Golang开发
05-26
syzkaller-内核模糊器syzkaller是不受监督的,覆盖率指导的内核模糊器。 Linux内核模糊测试得到最多的支持,不同程度上支持akaros,freebsd,紫红色,netbsd,windows和gvisor。 pr syzkaller-内核模糊器syzkaller是不受监督的,覆盖率指导的内核模糊器。 Linux内核模糊测试得到最多的支持,不同程度上支持akaros,freebsd,紫红色,netbsd,windows和gvisor。 项目邮件列表受[电子邮件保护]。 您可以使用Google帐户或通过向[受电子邮件保护]发送电子邮件来订阅。 发现的错误列表。 文档最初,syzkaller的开发考虑到Linux内核的模糊性,但现在它已扩展为支持
fuzz测试之syzkaller(linux kernel fuzz)
m0_46097570的博客
08-23 5793
目录一、fuzz二、syzkaller简介三、syzkaller整体架构四、使用syzkaller进行Linux内核漏洞挖掘环境准备构建运行syzkaller 一、fuzz 模糊测试 (fuzz testing, fuzzing)是一种软件测试技术。其核心思想是自动或半自动的生成随机数据输入到一个程序中,并监视程序异常,如崩溃,断言(assertion)失败,以发现可能的程序错误,比如内存泄漏。模糊测试常常用于检测软件或计算机系统的安全漏洞。 进行软件漏洞挖掘时,通常有静态分析(staticanalysis
syzkaller 黑盒测试1:环境搭建
Zheng__Huang的博客
01-02 1438
使用syzkaller对闭源操作系统进行漏洞测试,会遇到与开源系统完全不同的问题。文中附有笔者自己的解决办法
Syzkaller学习笔记---更新syz-manager(二)
hxhxhxhxx的博客
02-12 1395
syzkaller是 google 开源的一款无监督覆盖率引导的 kernel fuzzer,支持包括 Linux、Windows 等操作系统的测试。syzkaller 有很多个部件。syz-extract:用于解析 syzlang 中的常量syz-sysgen:用于解析 syzlang,提取其中描述的 syscall 和参数类型,以及参数依赖关系syz-manager:用于启动与管理 syzkallersyz-fuzzer:实际在 VM 中运行的 fuzzer。
syzkaller, syzkaller是一个无监督的,覆盖指导的内核 fuzzer.zip
09-18
syzkaller, syzkaller是一个无监督的,覆盖指导的内核 fuzzer syzkaller-- 内核 fuzzer syzkaller 是一个无监督的覆盖指南内核 fuzzer 。 支持 Linux 内核 fuzzing,akaros 。freebsd 。fuchsia 。netbsd 和 window
【推荐】网络安全中的漏洞挖掘实践合集.zip
09-03
推荐,网络安全中的漏洞挖掘实践合集,仅供大家学习参阅,包含内容如下: 针对现实应用的文本对抗攻击研究 安全众测下的漏洞发展新趋势 安卓应用漏洞挖掘 从0到1-发现与拓展攻击面 对基于Git的版本控制服务的通用攻击面的探索 对民用飞行控制系统固件的逆向与漏洞分析 卫星通信的安全缺陷 基于全流量的智慧漏洞挖掘 基于运行时类型嗅探技术提高模糊测试的漏洞发掘效果 漏洞挖掘进化论-推开xray之门 逆向在漏洞挖掘中的应用 苹果攻击面和漏洞挖掘自动化研究 如何从高赏金项目中拿到高危 如何去挖掘物联网环境中的高级恶意软件威胁 如何在3个月发现 12 个内核信息泄露漏洞 沙箱内持久化.行之有效的沙箱攻击新思路 深度解析Weblogic_XMLDecoder反序列化 使用数据流敏感模糊测试发现漏洞 锁不住的安全 谈谈工业协议转换器的一些问题 逃逸IE浏览器沙箱-在野0Day漏洞利用复现 为何自动化漏洞挖掘如此困难 现代可抵赖后门研究 一扇虚掩的大门-现代智能系统的重要攻击面 源代码漏洞挖掘 远程root现代安卓设备 在现代Windows内核中发现存在20年的漏洞 针对智能设备漏洞挖掘的一些新方法 AI用于软件漏洞挖掘 AndroidWebView安全攻防指南2020 Java反序列化漏洞自动挖掘方法 macOS从运行库劫持到内核提权 MTK安全启动大剖析.CIS大会分论 MyBatis框架下SQL注入解决方案 Qemu-kvm和ESXi虚拟机逃逸实例分享 WEB常见漏洞与挖掘技巧研究 Web漏洞挖掘速成特训营 混合式漏洞挖掘研究进展
基于Docker和Qemu的Linux内核学习环境设计源码
04-09
Linux内核学习环境 - 基于Docker和Qemu开发,包含365个文件,如SH、MD、GITIGNORE、PATCH、S、C、TXT、PC和PNG等。该项目为用户提供了一个极速的Linux内核学习、开发和测试环境,通过界面交互和功能模块,为用户提供...
飞歌G6IV刷机包,恢复出厂解决车机问题
05-05
飞歌G6IV刷机包,恢复出厂解决车机问题
人工智能大作业-无人机图像目标检测.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
node-v10.9.0-linux-s390x.tar.xz
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Telecord机器人,无electron依赖。.zip
05-05
无人机最强源码,无人机算法,易于部署和学习交流使用
中国统计NJ面板数据-(更新至2022年)林业有害生物防治情况.xls
最新发布
05-06
数据来源:中国统计NJ-2023版
基于QEMU内核调试流程
05-22
基于QEMU内核调试流程一般包括以下几个步骤: 1. 编译内核使用交叉编译工具链编译内核,并生成内核镜像文件。 2. 启动QEMU使用QEMU启动内核镜像文件,命令如下: ``` qemu-system-x86_64 -kernel path/to/vmlinuz -initrd path/to/initrd.img -nographic -s -S ``` 参数说明: * `-kernel`:指定内核镜像文件路径; * `-initrd`:指定initramfs文件路径; * `-nographic`:关闭图形界面,使用纯文本终端; * `-s`:开启GDBstub调试接口; * `-S`:启动时暂停,等待GDB连接。 3. 启动GDB:使用交叉编译工具链中的GDB连接到QEMU的调试接口,命令如下: ``` gdb vmlinux (gdb) target remote localhost:1234 ``` 参数说明: * `vmlinux`:编译后的内核文件; * `target remote localhost:1234`:连接到QEMU的GDBstub接口。 4. 设置断点:在GDB中设置断点,例如: ``` (gdb) break start_kernel ``` 5. 继续执行:在GDB中输入 `c` 命令让内核继续执行,直到断点处停止。 6. 调试:在GDB中可以使用各种调试命令,例如查看寄存器、内存等等。 7. 退出:调试结束后,可以在GDB中输入 `quit` 命令退出。 以上是基于QEMU内核调试流程的简要介绍,具体使用还需要根据实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值