[crash分析]报文解密造成的系统crash

最新推荐文章于 2021-09-26 11:26:56 发布
最新推荐文章于 2021-09-26 11:26:56 发布
阅读量733 收藏
点赞数 1
分类专栏: Linux Kernel Crash 加解密 C语言 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xqjcool/article/details/108523572
版权

现网环境出现了crash,原因是"general protection fault: 0000 [#1] ",也就是说访问了异常地址导致。

查看异常调用栈。

//...省略部分
 #6 [ffff88041fd43830] general_protection at ffffffff8168ef68
    [exception RIP: put_page+10]
    RIP: ffffffff8118edaa  RSP: ffff88041fd438e8  RFLAGS: 00010202
    RAX: 0000000000000040  RBX: 0000000000000002  RCX: 0000000000000010
    RDX: ffffea000a758960  RSI: ffff88041fd5a0a8  RDI: 2f302009302f3020
    RBP: ffff88041fd438f0   R8: ffffea000a758960   R9: ffff88041fb78980
    R10: 00000000000000cc  R11: 000000000000004e  R12: ffff8800775db4c0
    R13: ffff88020cf2c900  R14: ffff8800775db46a  R15: ffff8800775db44e
    ORIG_RAX: ffffffffffffffff  CS: 0010  SS: 0018
 #7 [ffff88041fd438f8] skb_release_data at ffffffff8155ea0f
 #8 [ffff88041fd43920] skb_release_all at ffffffff8155eae4
 #9 [ffff88041fd43938] consume_skb at ffffffff8155efdc
#10 [ffff88041fd43958] __dev_kfree_skb_any at ffffffff8156ee5d
#11 [ffff88041fd43980] TM_WanRx at ffffffffa03374d8 [testmod]
//...省略部分

直接原因是释放page时,page指针异常。异常值为 RDI:2f302009302f3020,把值作为page指针访问时触发异常地址访问保护机制。

crash> dis -r put_page+10
0xffffffff8118edb0 <put_page>:  data32 data32 data32 xchg %ax,%ax [FTRACE NOP]
0xffffffff8118edb5 <put_page+5>:        push   %rbp
0xffffffff8118edb6 <put_page+6>:        mov    %rsp,%rbp
0xffffffff8118edb9 <put_page+9>:        push   %rbx
0xffffffff8118edba <put_page+10>:       testq  $0xc000,(%rdi)    //访问page

在skb_release_data处理中将skb指针保存在寄存器$13中,且put_page并未对其改动,所以我们可以指导skb指针地址为 R13: ffff88020cf2c900。

crash> sk_buff ffff88020cf2c900
struct sk_buff {
//...
  _skb_refdst = 0, 
  sp = 0x0, 
  len = 76, 
  data_len = 0, 
  mac_len = 14, 
//...
  headers_start = 0xffff88020cf2c998, 
  skb_iif = 3, //...
  transport_header = 98, 
  network_header = 78, 
  mac_header = 78, 
//...
  headers_end = 0xffff88020cf2c9c8, 
//...
  tail = 190, 
  end = 192, 
  head = 0xffff8800775db400 "496\t 0/0/0/0\t 100,120,0,0,0,0,10,12\t 0,0,0,0,0,0,0\t 0,0,0,0,0,0, \220oBwE\376\356\070T\022<\b", 
  data = 0xffff8800775db472 "kV\235\201\215\245\003\064\341\266o\372\252c\n\005\325h\001\230\071\224Ͻ\275\276\276g\200\355d\215?\301\221q\347\316\316'\\\265\a`5\373\325\347\031C\246\320d\270\061}\364\f\220\036{\331Xx\021\322L(+R\327\372V\223\037\062e\265", <incomplete sequence \336>, 
  truesize = 768, 
//...
}

进而得到 skb_shared_info的内容 skb->head + skb->end = 0xffff8800775db400 + c0 = 0xffff8800775db4c0。

crash> skb_shared_info 0xffff8800775db4c0
struct skb_shared_info {
  nr_frags = 102 'f', 
  tx_flags = 222 '\336', 
  gso_size = 0, 
  gso_segs = 0, 
  gso_type = 0, 
  frag_list = 0x0, 
  hwtstamps = {
    hwtstamp = {
      tv64 = 0
    }, 
    syststamp = {
      tv64 = 0
    }
  }, 
  ip6_frag_id = 0, 
  dataref = {
    counter = 1
  }, 
  destructor_arg = 0x945424f52502009, 
  frags = {{
      page = {
        p = 0xffffea000a19cbc0
      }, 
      page_offset = 140, 
      size = 1350
    }, {
      page = {
        p = 0x2f302009302f3020	//异常page指针
      }, 
      page_offset = 807405872, 
      size = 808398895
    },
//...
}

可以看到是在释放frags[1]的page时出现异常的。

skb->data_len = 0表示没有分片,所以skb_shared_info的nr_frags = 102 是异常值。

由于 skb_shared_info是紧跟在数据buffer的end之后,怀疑是修改数据buffer时异常将buffer之后的内容也修改了。

查看业务代码逻辑,我们在 TM_WanRx 处理中会对payload进行解密操作,使用的是aes对称解密,blocksize是16字节。

但是payload的长度是76字节,由于业务处理逻辑不严谨,导致会解密16 * 5 = 80字节,也就是tail之后多操作了4个字节。

//错误逻辑会导致将skb->tail之后的字节也当作密文解密了
    for (i = 0; i < skb->len; i += crypto_cipher_blocksize(tfm))
    {
        crypto_cipher_decrypt_one(tfm, dst + i, src + i);
    }

skb->tail=190 , skb->end = 192,也就是说会把end之后2个字节写坏。刚好是 nr_frags和tx_flags,然后在释放skb时,因为nr_frags不为0,依次释放page时,导致异常。

crash> rd 0xffff8800775db472 16		//查看payload内容
ffff8800775db472:  3403a58d819d566b 050a63aafa6fb6e1   kV.....4..o..c..
ffff8800775db482:  bdcf9439980168d5 8d64ed8067bebebd   .h..9......g..d.
ffff8800775db492:  27cecee77191c13f e7d5fb356007b55c   ?..q...'\..`5...
ffff8800775db4a2:  7d31b864d0a64319 7858d97b1e900cf4   .C..d.1}....{.Xx
ffff8800775db4b2:  fad7522b284cd211 de66b565321f9356   ..L(+R..V..2e.f.	//66是nr_frags de是tx_flags
ffff8800775db4c2:  0000000000000000 0000000000000000   ................
ffff8800775db4d2:  0000000000000000 0000000000000000   ................
crash> rd 0xffff8800775db4c0 -8                       //skb_shared_info开始
ffff8800775db4c0:  66                                 //nr_frags
crash> rd 0xffff8800775db4c1 -8
ffff8800775db4c1:  de                                 //tx_flags                .

触发问题的场景找到了,但是有个小问题。正常情况下对端加密后payload应该是16字节的整数倍,然后这边正常解密。什么情况导致payload长度错误呢?

查看系统log发现,在crash前有个配置变更,将报文传输方式由不加密修改为加密。配置是发向连接的两端设备,但是存在时间差,在这时收到了对端发来的不加密报文,被当作加密报文处理了,从而导致了该问题的发生。

浮沉飘摇
关注
专栏目录
crash 分析
dreamDay2016_11_11的博客
09-28 1229
crash analysis
Kernel Panic (Kdump) 解析实例之一
存储老小伙的专栏
09-27 6514
网络上已经有一些介绍如何配置kexec已产生kdump的文章。这里不重复介绍配置方法,而是介绍如何进行kdump文件解析。 下面介绍的都是Linux内核产生的kdump,利用crash这一工具解析。关于crash这个工具支持哪些命令,请参考crash命令自带的help。 1) 用crash命令打开vmcore 刚打开文件后,会输出一些关于软件本身以及vmcore文件的信息,基本用处不
[crash分析]slab内存重叠导致的crash问题
08-31 1770
公司设备升级新版本后,出现了crash,描述"general protection fault: 0000 [#1] SMP ",初步看来是访问了异常地址。 异常栈如下: PID: 945 TASK: ffff880079231f60 CPU: 0 COMMAND: "config_t/0" #0 [ffff88001037f9d0] machine_kexec at ffffffff81059bab #1 [ffff88001037fa30] __crash_kexec at ffffff
虚机运行时重启主机容易panic
py199122的博客
09-26 1566
一:问题描述 最近有遇到重启主机时产生panic的情况,异常的堆栈如下: [2847164.482478] kvm: exiting hardware virtualization [2847164.482504] kvm: exiting hardware virtualization [2847164.482528] ------------[ cut here ]------------ [2847164.482530] kernel BUG at /root/kvm/source/x86/x8
冷启动白屏分析
刘国栋的博客
06-25 530
介绍下Android应用程序启动过程 1)Launcher通过Binder进程间通信机制通知ActivityManagerService,它要启动一个Activity; 2)ActivityManagerService通过Binder进程间通信机制通知Launcher进入Paused状态; 3)Launcher通过Binder进程间通信机制通知ActivityManagerService,它...
kscrash 指定参数发往 自己服务器,使用KSCrash进行崩溃日志的采集
weixin_42105816的博客
07-30 647
KSCrash的功能特性KSCrash的日志处理KSCrash的集成扩展1.KSCrash的功能特性我挑选了几个重要的功能a.支持在设备上进行离线符号化的工作和PLCrashReporter中的PLCrashReporterSymbolicationStrategyAll枚举值类似,提供了一种本地符号化的功能。大多数平台的日志解析都需要我们上传对应的符号表文件,用于日志的符号化。但是后台无法提供M...
[转]高负载并发网站架构分析
热门推荐
bluehire的专栏
12-23 2万+
由于自己正在做一个高性能大用户量的论坛程序,对高性能高并发服务器架构比较感兴趣,于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流 msn: defender_ios@hotmail.com ——————————————————————————————————————— ? 初创网站与开源软件 6 ? 谈谈大型高负载网站服务器的优化心得! 8 ? Lighttpd+Squid+Apach
x264 代码重点详解 详细分析
nmwhqjl的专栏
09-12 2万+
eg mplayer x264 代码重点详解 详细分析 分类: ffmpeg 2012-02-06 09:19 4229人阅读 评论(1) 收藏 举报 h.264codecflv优化initializationinteger 目录(?)[+] ffmpeg和mplayer中求平均值得方法 1 ordinary c language level #def
面经笔记
zhz的博客
05-08 237
文章目录面经笔记三次握手过程为啥挥手有个2倍最大报文时长握手成功后协商什么子网掩码的作用是什么cookies是什么?服务端怎么设置cookie?TCP为啥可靠UDP用在啥情况了https是安全的,说一下为啥安全,加密过程说下ssl协议建立连接的过程说一下502是什么错误?详细说一下什么是快重传进程和线程的区别A是B的父进程,A挂了,B的父进程是谁?什么是内核态什么是用户态?你来设计的话,怎么设计内核态知道多路复用吗?为啥select的socket数量是有限的知道redis吗? redis为啥快?redis内
TCP SACK panic漏洞的解释和思考
认知 行动 坚持
06-30 3566
转载地址:https://blog.csdn.net/dog250/article/details/93397367 最近几天一直在和CVE-2019-11477 SACK panic漏洞进行纠缠,挺有意思的。 细节就不多说了,给出几个链接自己看吧:https://access.redhat.com/security/vulnerabilities/tcpsackhttps:...
定位Oops错误代码行【整理】
张继飞的专栏
03-28 1111
[17184178.672000] Bad mode in data abort handler detected[17184178.672000] Internal error: Oops - bad mode: 0 [#1] PREEMPT[17184178.672000] CPU: 0    Not tainted  (2.6.26.5 #1255)[17184178.672000] PC ...
Linux调试内核函数,内核调试的几种方法
weixin_39850699的博客
04-30 551
1.首先在编译生成内核的时候同时生成了一个vmlinux,使用gdb。在内核配置时,make menuconfig 要打开complie with debug info选项。注意这行:PC is at skb_release_data+0x74/0xc4这告诉我们,skb_release_data函数有0xc4这么大,而Oops发生在0x74处。 那么我们先看一下skb_release_data...
skb管理函数之skb_put、skb_push、skb_pull、skb_reserve
weixin_30621919的博客
09-16 2113
四个操作函数直接的区别,如下图: 1 /** 2 * skb_put - add data to a buffer 3 * @skb: buffer to use 4 * @len: amount of data to add 5 * 6 * This function extends the used data area o...
crash:dis命令
Change The World
05-14 1831
更多内容:Debug All In One crash_arm64> help dis NAME dis - disassemble SYNOPSIS dis [-rfludxs][-b [num]] [address | symbol | (expression)] [count] DESCRIPTION This command disassembles source code instructions starting (or ending) at a text addr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浮沉飘摇

码字不易,打赏随意。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值