内核stack_protector导致异常崩溃

最新推荐文章于 2024-03-20 23:31:12 发布
最新推荐文章于 2024-03-20 23:31:12 发布
阅读量950 收藏 2
点赞数
分类专栏: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wxywxywxy110/article/details/109537493
版权

##问题描述:
DMA写完数据后,产生DMA中断,中断中wake_up_interruptible唤醒等待队列(wait_event_interruptible_timeout),唤醒后,中断上下文程序会先执行,但偶尔唤醒的进程上下文会先于中断上下文执行。某次wake_up_interruptible唤醒等待队列后导致内核崩溃。崩溃堆栈打印pc是在__wake_up_common_lock,大致如下:

Unable to handle kernel NULL pointer dereference at virtual address 00000000000005c8
pc : __wake_up_common_lock+0xa0/0xc8   
lr : __wake_up_common_lock+0x90/0xc8  
Call trace:
__wake_up_common_lock+0xa0/0xc8
__wake_up+0x14/0x20
hi3531dv200_dma_irq_handler+0x88/0x210
__handle_irq_event_percpu+0x70/0x180
handle_irq_event_percpu+0x34/0x88
handle_irq_event+0x40/0xa0
handle_fasteoi_irq+0xcc/0x1b0
generic_handle_irq+0x24/0x38
__handle_domain_irq+0x5c/0xb8

乍一看有点懵逼

##分析问题:
为什么会出现wake_up导致内核崩溃,我只传了一个结构类型为wait_queue_head_t的参数到该API中,并且进程已经被唤醒且调度了。怀疑极大可能是传入的参数wait_queue_head_t数据结构有可能被破坏了。将内核vmlinux反汇编,查看反汇编部分__wake_up_common_lock代码如下:

ffffff80080d9b00 <__wake_up_common_lock>:
ffffff80080d9b00:	a9b87bfd 	stp	x29, x30, [sp, #-128]!
ffffff80080d9b04:	910003fd 	mov	x29, sp
ffffff80080d9b08:	a90153f3 	stp	x19, x20, [sp, #16]
ffffff80080d9b0c:	aa0003f3 	mov	x19, x0
ffffff80080d9b10:	a90363f7 	stp	x23, x24, [sp, #48]
ffffff80080d9b14:	2a0203f4 	mov	w20, w2
ffffff80080d9b18:	a9025bf5 	stp	x21, x22, [sp, #32]
ffffff80080d9b1c:	2a0303f7 	mov	w23, w3
ffffff80080d9b20:	f90023f9 	str	x25, [sp, #64]
ffffff80080d9b24:	f00047f9 	adrp	x25, ffffff80089d8000 <page_wait_table+0x15c0>
ffffff80080d9b28:	91172325 	add	x5, x25, #0x5c8
ffffff80080d9b2c:	2a0103f6 	mov	w22, w1
ffffff80080d9b30:	f94000a6 	ldr	x6, [x5]
ffffff80080d9b34:	f9003fa6 	str	x6, [x29, #120]
ffffff80080d9b38:	d2800006 	mov	x6, #0x0                   	// #0
ffffff80080d9b3c:	aa0403f8 	mov	x24, x4
ffffff80080d9b40:	9101a3a5 	add	x5, x29, #0x68
ffffff80080d9b44:	b90053bf 	str	wzr, [x29, #80]
ffffff80080d9b48:	a905ffbf 	stp	xzr, xzr, [x29, #88]
ffffff80080d9b4c:	f90037a5 	str	x5, [x29, #104]
ffffff80080d9b50:	f9003ba5 	str	x5, [x29, #112]
ffffff80080d9b54:	14000002 	b	ffffff80080d9b5c <__wake_up_common_lock+0x5c>
ffffff80080d9b58:	aa1303e0 	mov	x0, x19
ffffff80080d9b5c:	941b1cab 	bl	ffffff80087a0e08 <_raw_spin_lock_irqsave>
ffffff80080d9b60:	aa0003f5 	mov	x21, x0
ffffff80080d9b64:	2a1403e2 	mov	w2, w20
ffffff80080d9b68:	910143a5 	add	x5, x29, #0x50
ffffff80080d9b6c:	aa1803e4 	mov	x4, x24
ffffff80080d9b70:	2a1703e3 	mov	w3, w23
ffffff80080d9b74:	2a1603e1 	mov	w1, w22
ffffff80080d9b78:	aa1303e0 	mov	x0, x19
ffffff80080d9b7c:	97ffff8b 	bl	ffffff80080d99a8 <__wake_up_common>
ffffff80080d9b80:	2a0003f4 	mov	w20, w0
ffffff80080d9b84:	aa1503e1 	mov	x1, x21
ffffff80080d9b88:	aa1303e0 	mov	x0, x19
ffffff80080d9b8c:	941b1c75 	bl	ffffff80087a0d60 <_raw_spin_unlock_irqrestore>
ffffff80080d9b90:	b94053a0 	ldr	w0, [x29, #80]
ffffff80080d9b94:	3717fe20 	tbnz	w0, #2, ffffff80080d9b58 <__wake_up_common_lock+0x58>
ffffff80080d9b98:	91172339 	add	x25, x25, #0x5c8
ffffff80080d9b9c:	f9403fa1 	ldr	x1, [x29, #120]
ffffff80080d9ba0:	f9400320 	ldr	x0, [x25]
ffffff80080d9ba4:	ca000020 	eor	x0, x1, x0
ffffff80080d9ba8:	b50000e0 	cbnz	x0, ffffff80080d9bc4 <__wake_up_common_lock+0xc4>
ffffff80080d9bac:	a94153f3 	ldp	x19, x20, [sp, #16]
ffffff80080d9bb0:	a9425bf5 	ldp	x21, x22, [sp, #32]
ffffff80080d9bb4:	a94363f7 	ldp	x23, x24, [sp, #48]
ffffff80080d9bb8:	f94023f9 	ldr	x25, [sp, #64]
ffffff80080d9bbc:	a8c87bfd 	ldp	x29, x30, [sp], #128
ffffff80080d9bc0:	d65f03c0 	ret
ffffff80080d9bc4:	97ff0a39 	bl	ffffff800809c4a8 <__stack_chk_fail>

崩溃指令是在__wake_up_common_lock+0xa0/0xc8(ldr x0, [x25])处,我们看汇编代码,代码里面获得自旋锁,唤醒进程,并且释放锁流程已经处理完了,且进程也被唤醒了。崩溃的确实有点懵逼。
咱们联系上下文,看看这条汇编指令是干啥的,这个是把x25里面的值加载到x0寄存器,这也能崩?继续网上寻找x25做了啥。

str	x25, [sp, #64]  	\\将x25值入栈保存
adrp	x25, ffffff80089d8000 <page_wait_table+0x15c0>  \\从page_wait_table+0x15c0获取值存入x25
add	x5, x25, #0x5c8		\\x25+0x5c8存入x5
mov	w22, w1		
ldr	x6, [x5]		\\x5中的值存入x6
str	x6, [x29, #120]	\\x6中的值存入x29+120
```
```
ldr	x1, [x29, #120]	\\将x29+120值加载到x1
ldr	x0, [x25]		\\将x25值加载到x0	
eor	x0, x1, x0		\\x0 = x1^x0
cbnz	x0, ffffff80080d9bc4 <__wake_up_common_lock+0xc4>  \\判断异或结果是否是0,如果不等于0 则跳转__wake_up_common_lock+0xc4()

联系上下文后,再看,豁然开朗。就是进入函数后,将寄存器x25值入栈,然后从page_wait_table+0x15c0获取值存入x25,再经过处理后存入x6,最终入栈x29(sp), #120,然后函数主要流程基本处理完了。最后从x25取值,和入栈时的值做了一个stack_chk_fail判断。
stack_chk_fail这个玩意函数体中根本没有,经查证得知是内核STACK_PROTECTOR校验机制(有具体宏控制)。所以得出结论,wake_up将函数唤醒了,但是做栈校验这部分,出现了异常导致内核崩溃。也就是崩溃在ldr x0, [x25],原因就是x25寄存器中存放的地址被破坏了,根据内核崩溃打印应该是变成了NULL,x25是获得的页基址,__wake_up_common_lock本身并未对x25做异常处理,但做完压栈处理后,为什么取出来后就异常了呢?结合代码分析:

init_waitqueue_head(&new_task->task.dma_write_q);
···
···
wait_event_interruptible_timeout(ptask->task.dma_write_q, 0 != ptask->task.irqraised, HZ);
···

##原因:
结构wait_queue_head_t是定义在栈上的,当初始化完成后,调用等待队列API进入睡眠,wake_up唤醒后即调度该进程,导致唤醒的进程立马跑完了,然后栈空间的wait_queue_head_t结构被释放了,导致后面栈校验的时候就异常了。

##解决方案:
将栈空间的数据结构拷贝到数据结构本身,使得函数走完栈空间释放,不会影响wait_queue_head_t结构的存亡。

IT_FAVORITE
关注
专栏目录
GCC:堆栈溢出保护
风静如云的博客
07-13 4244
因此在开发阶段最好使用-fstack-protector-all编译选项已便于早期捕捉到堆栈溢出问题。-fstack-protector:启用堆栈保护,不过只为局部变量中含有 char。-fstack-protector-all:启用堆栈保护,为所有函数插入保护代码。-fstack-protector-strong:提供更广泛的堆栈保护。-fno-stack-protector:禁用堆栈保护。已放弃 (核心已转储)的函数插入保护代码。
linux内核启动过程3:内核初始化阶段
大昱的博客
02-22 1291
上一篇<<linux内核启动过程2:保护模式执行流程>>分析了保护模式启动过程以及bzImage的解压入口函数,本篇继续分析内核启动过程,从保护模式到C代码初始化。 startup_64   进入arch/x86/kernel/head_64.S,分析startup_64函数: .text __HEAD .code64 SYM_CODE_START_NOALIGN(startup_64) UNWIND_HIN.
stack溢出 ** stack smashing detected ***: ./a.out terminated
iteye_572的博客
05-10 1833
该类错误是修改了返回指针,一般是由于 1. 数组越界赋值。(数组没有边界检查)int a[8]; a[8],a[9],a[-1]。。都能正常编译,连接,运行时可能出错。 2.使用 strcpy等不安全(不带长度检测的函数),char a[1], char *b="aaa"; strcpy(a,b);   局部变量(函数内的变量)存在栈中,应为栈是先下(低地址)生长的,故 函数返回指针 要...
关于GCC的stack-protector选项
Netfilter
06-02 6616
初看起来,觉得GCC的-fstack-protector选项并不是很好用,它对栈帧的保护程度非常有限! 该选项只能发现 guard被冲刷掉的情况 。面对精准的返回地址替换,guard变量是无能为力的,比如下面: #include <stdio.h> #include <stdlib.h> unsigned long orig; void stub_func() { u...
ARMCC/GCC下的stack protector
u011280717的博客
05-20 4991
Stack overflow攻击是一种很常见的代码攻击,armcc和gcc等编译器都实现了stack protector来避免stack overflow攻击。虽然armcc和gcc在汇编代码生成有些不同,但其原理是相同的。这篇文章以armcc为例,看一看编译器的stack protector。armcc提供了三个编译选项来打开/关闭stack protector。 –no_protect_stac
gcc-stack-protector机制
飞翔de刺猬
04-16 1万+
GCC “stack smashing detected”机制相信使用C/C++语言开发软件的程序猿们都经历过‘栈溢出’的问题。‘栈溢出’问题通常十分的隐蔽,有的时候问题复现也十分的困难。每当软件出现莫名其妙的问题时,总是有人怀疑是不是栈溢出了,但是问题的排查又十分的困难,所以,‘栈溢出’就是广大C/C++开发者的噩梦。大家不禁要问有没有通用的方法来避免或者来检测’栈溢出‘问题呢?其实,’栈溢出‘问
二进制漏洞挖掘之栈溢出-开启Canary
ylcangel的专栏
10-18 1106
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
内核的角度看进程以及多线程
jggyyhh的博客
07-24 1328
前言:就如我之前所说的一样,程序只是一个被编译器(包括汇编器以及连接器)将你的抽象代码转换为计算机能理解的有一定格式的二进制文件,它有一定格式(ELF,PE之类),就如之前的我所说的例子,就好比程序就如一段铁轨,你是铁路设计师,编译器负责把铁轨做好,那么之后很多复杂的事都被内核承包了,也就是铺铁轨以及让火车(CPU)在上面跑起来。接下来我描述的问题会由浅入深,来纠正很多人对于多线程的疑惑,因为我发
Linux内核(4.17.10)配置项详解(x86)
liao20081228的博客
08-03 1万+
64-bit kernel——支持64位 General setup——通用设置 Cross-compiler tool prefix——交叉编译工具前缀 Local version-append to kernel release——内核显示的版本信息,填入64字符以内的字符串,可用uname -a命令看到。 Automatically append version informatio...
安装RTAI5.2 +rtnet0.9.13基于Ubuntu16.04和4.4.176 内核
weixin_41934249的博客
11-16 1863
安装RTAI5.2 +rtnet0.9.13基于Ubuntu16.04和4.4.176 内核 安装的主要步骤: 1、安装操作系统和工具; 2、给内核打补丁; 3、配置内核并安装; 4、安装RTAI并测试。 5、安装RTnet并测试 步骤一:安装操作系统和工具 1.1 安装操作系统 我选择的是Ubuntu16.04,RTAI5.2 支持的内核版本可以查看,分别为3.10.32;3.14.44;3.16.7;3.18.20;4.1.18;4.4.162;4.4.166;4.4.176;4.9.135;4.9.1
gcc选项-stack-protector栈保护机制
最新发布
qq_41573572的博客
03-20 1422
`stack-protector`是一个安全相关的编译器选项,用于防止栈溢出攻击。当启用这个选项时,编译器会在函数的栈帧中插入一个称为"canary"的特殊值,并在函数返回之前检查这个值是否被篡改。如果"canary"值发生变化,这意味着栈被非法修改,编译器会触发一个信号(通常是`SIGABRT`),导致程序异常终止。这样可以防止攻击者通过栈溢出来执行任意代码。
CC_STACKPROTECTOR防止内核stack溢出补丁分析
12-01 3171
CC_STACKPROTECT补丁是Tejun Heo在09年给主线kernel提交的一个用来防止内核堆栈溢出的补丁。默认的config是将这个选项关闭的,可以在编译内核的时候, 修改.config文件为CONFIG_CC_STACKPROTECTOR=y来启用。未来飞天内核可以将这个选项开启来防止利用内核stack溢出的0day攻击。 这个补丁的防溢出原理是: 在进程启动的时候, 在每个
-fno-stack-protector
南京大学的CS渣
10-24 3438
4down voteaccepted In the standard/stock GCC, stack protector is off by default. However, some Linux distributions have patched GCC to turn it on by default. In my opinion, this is rather h
GCC关闭Stack-Smashing Protecto(stack smashing detected) zz
摸爬滚打
04-19 745
zz http://blog.csdn.net/white_eyes/article/details/7168062 Ubuntu下面的GCC默认开启了Stack Smashing Protector,如果想在这个系统中学习缓冲区溢出的原理,在编译时要加上fno-stack-protector选项,否则运行时会出现*** stack smashing detected ***: xxx te
编译驱动模块时,出现“stack protector enabled but no compiler support”[解决办法]
dfz87292的博客
03-23 537
写驱动程序,编译驱动模块时,出现 “make[1]:Enteringdirectory`/usr/src/linux-headers-2.6.32-5-amd64' /usr /src/linux-headers-2.6.32-5-common/arch/x86 /Makefile:81:stackprotectorenabledbutnocompilersupp...
内核栈溢出保护
u014089131的博客
04-28 5443
linux内核中有个编译选项CC_STACKPROTECTOR用来开启GCC的stack-protector功能, 这个功能是在GCC4.1版本中引入,用来检测栈是否遭到溢出攻击。 目前我们用的版本中开启了这两个选项CONFIG_CC_STACKPROTECTOR、CONFIG_CC_STACKPROTECTOR_REGULAR。 编译器栈溢出保护原理: 函数栈存储结构,从
Linux 内核安全增强—— stack canary
weixin_71478434的博客
08-30 1567
per-cpu 变量的引入是为了实现per-task的stack canary, 每个cpu上同时只能运行一个进程/线程, per cpu变量可以随进程的切换而切换,故通过一个per-cpu变量完全可以为每个进程/线程解引用到不同的canary地址(后续称为per-cpu canary),以实现per-task的canary.默认stack canary使用全局符号(变量) __stack_chk_guard 作为原始的canary(后续称为全局canary), 在gcc/clang中均使用相同的名字...
Android系统安全 — 2.0-移动终端栈溢出的保护机制设置
qincheng168的博客
09-26 2350
操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险。例如 NX/DEP、ASLR(PIE)、CANARY、FORTIFY、RELRO 等手段。
栈溢出的几种保护机制
热门推荐
ATFWUS的博客
02-28 3万+
Stack Protector(栈保护) 也称 cannary。 说明:当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。 canary...
内核dump_stack
11-01
内核dump_stack是Linux内核提供的一个调试工具,用于输出当前函数调用堆栈信息。当内核遇到严重错误或异常情况时,可以通过调用dump_stack函数将当前函数调用堆栈信息打印出来,从而帮助开发者快速定位问题所在。 dump_stack函数首先会获取当前CPU的初始调用堆栈指针,然后遍历堆栈上的每一层函数调用,将对应的函数地址和偏移量打印出来。这些信息可以让开发者了解代码的执行流程,找到错误产生的位置。 dump_stack的输出信息包括函数地址、函数名、文件名以及行号等。通过这些信息,开发者可以快速定位到出错函数所在的代码文件,进而进行调试和修复。 值得注意的是,dump_stack函数只能在内核代码中调用,当发生异常时才能触发输出。这是因为在普通应用程序中,没有权限直接访问和操作系统相关的堆栈信息。 总结起来,内核dump_stack是一种非常有用的调试工具,可以输出当前函数调用堆栈信息,帮助开发者快速定位内核错误和异常。通过分析这些信息,开发者可以准确地找到代码出错的位置,从而解决问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值