GNU/Linux >> Linux Esercitazione >  >> Linux

È possibile utilizzare mprotect() per modificare i permessi di .rodata?

  • Le sezioni non esistono nel contesto di un processo in esecuzione, solo i segmenti.
  • mprotect può essere utilizzato per modificare i permessi delle pagine il text segmento a cui è mappato. Ecco un tutorial su come eseguire questa operazione:Scrivere un programma C x86_64 auto-mutante
  • dalle note sul mprotect pagina di manuale:

    Su Linux è sempre consentito chiamare mprotect() su qualsiasi indirizzo nello spazio degli indirizzi di un processo (ad eccezione dell'area kernel vsyscall). In particolare può essere utilizzato per modificare le mappature del codice esistenti in modo che siano scrivibili .

Le informazioni sulla sezione sono memorizzate nella tabella dell'intestazione della sezione. La tabella delle intestazioni di sezione è un array di intestazioni di sezione. La tabella delle intestazioni di sezione non è mappata a nessun segmento e non è analizzata dal programma di caricamento. Il caricatore utilizza le informazioni sul segmento solo durante la mappatura di un programma nella memoria virtuale.

I segmenti, non le sezioni, hanno permessi e questi sono memorizzati nell'intestazione del programma del segmento nel p_flags campo. Le intestazioni del programma risiedono nella tabella delle intestazioni del programma binario.

Tutto questo è documentato nei capitoli 4 e 5 del Sistema V ABI (generico).

Nell'output seguente, possiamo vedere le autorizzazioni associate a ciascun segmento sotto flags colonna:

$ readelf -l /bin/ls

Elf file type is EXEC (Executable file)
Entry point 0x404890
There are 9 program headers, starting at offset 64

Program Headers:
  Type           Offset             VirtAddr           PhysAddr
                 FileSiz            MemSiz              Flags  Align
  PHDR           0x0000000000000040 0x0000000000400040 0x0000000000400040
                 0x00000000000001f8 0x00000000000001f8  R E    8
  INTERP         0x0000000000000238 0x0000000000400238 0x0000000000400238
                 0x000000000000001c 0x000000000000001c  R      1
      [Requesting program interpreter: /lib64/ld-linux-x86-64.so.2]
  LOAD           0x0000000000000000 0x0000000000400000 0x0000000000400000
                 0x0000000000019d44 0x0000000000019d44  R E    200000
  LOAD           0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
                 0x0000000000000804 0x0000000000001570  RW     200000
  DYNAMIC        0x0000000000019e08 0x0000000000619e08 0x0000000000619e08
                 0x00000000000001f0 0x00000000000001f0  RW     8
  NOTE           0x0000000000000254 0x0000000000400254 0x0000000000400254
                 0x0000000000000044 0x0000000000000044  R      4
  GNU_EH_FRAME   0x000000000001701c 0x000000000041701c 0x000000000041701c
                 0x000000000000072c 0x000000000000072c  R      4
  GNU_STACK      0x0000000000000000 0x0000000000000000 0x0000000000000000
                 0x0000000000000000 0x0000000000000000  RW     10
  GNU_RELRO      0x0000000000019df0 0x0000000000619df0 0x0000000000619df0
                 0x0000000000000210 0x0000000000000210  R      1

 Section to Segment mapping:
  Segment Sections...
   00     
   01     .interp 
   02     .interp .note.ABI-tag .note.gnu.build-id .gnu.hash .dynsym .dynstr .gnu.version .gnu.version_r .rela.dyn .rela.plt .init .plt .text .fini .rodata .eh_frame_hdr .eh_frame 
   03     .init_array .fini_array .jcr .dynamic .got .got.plt .data .bss 
   04     .dynamic 
   05     .note.ABI-tag .note.gnu.build-id 
   06     .eh_frame_hdr 
   07     
   08     .init_array .fini_array .jcr .dynamic .got

Il .rodata La sezione nei file ELF contiene parti del segmento di testo che non devono essere modificate.

Questo è falso. L'intero text segmento è Read/Execute.

Per impostazione predefinita, tutte le pagine di questa sezione sono di sola lettura e qualsiasi tentativo di modifica attiverà un errore di protezione generale.

Questo è falso. I segmenti, non le sezioni, sono mappati alle pagine (da qui il Align valori) e avere i permessi (da qui il Flags valori).

Maggiori informazioni possono essere trovate qui:

  • http://duartes.org/gustavo/blog/post/how-the-kernel-manages-your-memory/
  • https://lwn.net/Articles/631631/
  • http://nairobi-embedded.org/040_elf_sec_seg_vma_mappings.html#section-segment-vma-mappings

Dal manuale:

Su Linux è sempre consentito chiamare mprotect() su qualsiasi indirizzo nello spazio degli indirizzi di un processo (ad eccezione dell'area kernel vsyscall). In particolare può essere utilizzato per modificare le mappature del codice esistenti in scrivibili.

Ecco un programma di esempio da dimostrare.

#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>

#define PAGE_SIZE 4096

const unsigned char rodata[3*PAGE_SIZE] = {1,2,3};

int main(void)
{
    printf("rodata = %p\n", rodata);
    uintptr_t page_base = ((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE;
    unsigned char *p = (unsigned char *)rodata + PAGE_SIZE;
    //*p = '!'; // this would cause a segfault
    puts("Before mprotect:");
    system("cat /proc/$PPID/maps");
    if (mprotect((void*)page_base, 1, PROT_READ | PROT_WRITE) < 0) {
        perror("mprotect");
        return 1;
    }
    puts("After mprotect:");
    system("cat /proc/$PPID/maps");
    *p = '!';
    return 0;
}

Ovviamente tutti i dati che scrivi sulla pagina rimarranno in memoria. Linux vede che il processo sta scrivendo su una pagina attualmente mappata in sola lettura e ne crea una copia. Al momento della scrittura, il kernel non lo distingue dalla copia su scrittura dopo che un processo è stato biforcato. Puoi osservarlo biforcando, scrivendo in un processo e leggendo nell'altro:l'altro processo non vedrà la scrittura poiché è una scrittura nella memoria del processo di scrittura, non nella memoria del processo di lettura.

#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#include <unistd.h>

#define PAGE_SIZE 4096

const unsigned char rodata[3*PAGE_SIZE] = {0};

void writer(char *p)
{
    if (mprotect(p, 1, PROT_READ | PROT_WRITE) < 0) {
        perror("mprotect");
        return 1;
    }
    puts("After mprotect:");
    system("cat /proc/$PPID/maps");
    *p = 1;
    printf("wrote %d\n", *p);
}

void reader(char *p)
{
    printf("read %d\n", *p);
}

int main(void)
{
    printf("rodata = %p\n", rodata);
    uintptr_t page_base = (((uintptr_t)rodata / PAGE_SIZE + 1) * PAGE_SIZE);
    volatile char *p = (volatile char *)page_base;
    //*p = '!'; // this would cause a segfault
    puts("Before mprotect:");
    system("cat /proc/$PPID/maps");
    if (fork() == 0) {
        writer(p);
    } else {
        sleep(1);
        reader(p);
    }
    return 0;
}

Sospetto che esistano patch di rafforzamento che impediscono a un processo di modificare le proprie mappature di memoria, ma non ne ho una da offrire.


Linux

  1. Modifica le autorizzazioni di un file

  2. GDB può modificare il codice assembly di un programma in esecuzione?

  3. Come modificare il browser predefinito utilizzato dal notebook ipython/jupyter in Linux?

  4. Come posso modificare il layout della tastiera di input mentre sono nella console?

  5. Come posso modificare gli indirizzi IP e gateway in modo permanente?

Come modificare ricorsivamente le autorizzazioni dei file in Linux

Posso cambiare il colore delle schede in Gedit?

Posso cambiare il dominio principale dell'account di hosting?

Come posso correggere i permessi dei miei file?

Come posso modificare l'ora prima che il sistema si blocchi?

Come posso ripristinare un chmod nella directory etc?