linux内核系统调用的SYSCALL_DEFINE分析

最新推荐文章于 2024-03-23 00:30:30 发布
最新推荐文章于 2024-03-23 00:30:30 发布
阅读量729 收藏
点赞数
分类专栏: Arm-Linux技术漫谈 文章标签: linux uboot 内核
原文链接:https://blog.youkuaiyun.com/skyflying2012/article/details/9747969
版权

今天跟sys_mount系统调用发现在2.6.36内核下没有直接定义sys_mount而是用

SYSCALL_DEFINE5来定义,于是在网上搜了一下找到了下面的资料(红字部分为网上资料):

CVE-2010-3301是其中一个。这个漏洞的成因是,在64位的内核上执行32位的系统调用时,作为

传递系统调用号的%rax高32位未被清零处理,而且在进行比较的时候直接使用的%eax,导致高32

位被忽略:

        cmpl $(IA32_NR_syscalls-1),%eax
        ja ia32_badsys
ia32_do_call:
        IA32_ARG_FIXUP
        call *ia32_sys_call_table(,%rax,8)
这样以来,通过静心构造的%rax就可以跳转到它想要的位置去!在这个exploit中,它就利用

ptrace()来跟踪系统调用,并把计算好的想要跳转地址的偏移传递到%rax中,然后执行事先放置好

的代码来提升权限!

修复方法很简单,要么把%rax的高位清零,要么比较的时候使用%rax。修复这个问题的commit是:

http://git.kernel.org/linus/36d001c70d8a0144ac1d038f6876c484849a74de

http://git.kernel.org/linus/eefdca043e8391dcd719711716492063030b55ac

和这个问题类似的问题之前也曾出现过,CVE-2009-0029,问题更严重,涉及很多的系统调用。

不同的是,这个涉及64位的内核和64位的用户空间,来自用户空间的传递系统调用参数的寄存器

的高32位同样没被清零,而带32位参数(比如int)的系统调用就会有问题,内核代码只会检查对

它有意义的低32位,高32位就被忽略而直接传递到后面去了,这就会带来问题了。

问题的解决方法也很简单,就是要把这些寄存器高位清零。说起来简单,做起来难。要是和上面一

样直接用汇编处理的话,参数的类型的信息就丢失了,因为你汇编里分不清它到底是32位还是64

位;而如果用C处理的话,有那么多系统调用,一个一个处理?那不符合Linus的作风!他是怎么做

的呢?用宏!而且用强制转化,把所有的32位参数声明为long,然后再强制转化成实际的类型,比

如int。去看看__SC_CASTx()和__SC_LONGx()的定义就知道了:

PLAIN TEXT
C:
#define __SC_CAST1(t1, a1)      (t1) a1
#define __SC_LONG1(t1, a1)      long a1
 
#define __SYSCALL_DEFINEx(x, name, ...)                                 \
        asmlinkage long sys##name(__SC_DECL##x(__VA_ARGS__));           \
        static inline long SYSC##name(__SC_DECL##x(__VA_ARGS__));       \
        asmlinkage long SyS##name(__SC_LONG##x(__VA_ARGS__))            \
        {                                                               \
                __SC_TEST##x(__VA_ARGS__);                              \
                return (long) SYSC##name(__SC_CAST##x(__VA_ARGS__));    \
        }                                                               \
        SYSCALL_ALIAS(sys##name, SyS##name);                            \
        static inline long SYSC##name(__SC_DECL##x(__VA_ARGS__))

可见Linus大神把宏用到了何等出神入化的地步。:-) 这也是为什么你在内核中看到系统调用都是用SYSCALL_DEFINEx()来定义了。

从网上找到的这些资料中的宏定义实现在内核源码的include/linux/syscalls.h中,看了一下。

我要跟踪的sys_mount的定义在fs/namespace.c中,定义如下:

SYSCALL_DEFINE5(mount, char __user *, dev_name, char __user *, dir_name, char __user *, type, unsigned long, flags, void __user *, data);

在syscalls.h中找到:

#define SYSCALL_DEFINE5(name, ...) SYSCALL_DEFINEx(5, _##name, __VA_ARGS__)

从而展开为:

SYSCALL_DEFINEx(5, _mount, __VA_ARGS__);(VA_ARGS代表mount后面的参数)

SYSCALL_DEFINEx的定义如下:

#define SYSCALL_DEFINEx(x, sname, ...)              \
    __SYSCALL_DEFINEx(x, sname, __VA_ARGS__)
接着上面展开为:

__SYSCALL_DEFINEx(5, _mount,__VA_ARGS__)

__SYSCALL_DEFINEx定义如下:

#define __SYSCALL_DEFINEx(x, name, ...)                 \
    asmlinkage long sys##name(__SC_DECL##x(__VA_ARGS__))

接着上面展开为:

asmlinkage long sys_mount(__SC_DECL5(__VA_ARGS__));

__SC_DECL5的定义:

#define __SC_DECL1(t1, a1)  t1 a1
#define __SC_DECL2(t2, a2, ...) t2 a2, __SC_DECL1(__VA_ARGS__)
#define __SC_DECL3(t3, a3, ...) t3 a3, __SC_DECL2(__VA_ARGS__)
#define __SC_DECL4(t4, a4, ...) t4 a4, __SC_DECL3(__VA_ARGS__)
#define __SC_DECL5(t5, a5, ...) t5 a5, __SC_DECL4(__VA_ARGS__)
#define __SC_DECL6(t6, a6, ...) t6 a6, __SC_DECL5(__VA_ARGS__)

这样从而将上面的展开为:

asmlinkage long sys_mount(char __user * dev_name, char __user * dir_name, char __user * type, unsigned long flags, void __user * data);


这个过程我是按照内核配置的最简单的情况,根据menuconfig选项,syscall_definex的实现会比较

复杂,这个复杂就是为了解决64位机器上32位系统调用的问题,SYSCALL_DEFINEx的x就是代表

的系统调用的参数的个数啦。

Linux系统调用 SYSCALL_DEFINE怎么用
天使也有爱
03-12 870
SYSCALL_DEFINEx里面的x代表的是系统调用参数个数。每一个系统调用内核中的接口函数是以 sys_*为开头的函数。这里我们自定义一个系统调用sys_myopent asmlinkage long sys_myopent(int, int, int);那么可以看出来对应的应该是SYSCALL_DEFINE3 ...
linux那些事之SYSCALL_DEFINEx
weixin_42730667的博客
06-06 834
内核代码中常常在查看系统调用宏时常常会看到使用SYSCALL_DEFINEX一系列宏定义来定义内核针对系统调用接口的定义该宏位于include\linux\syscalls.h文件中,针对系统调用的参数不同,使用了一系列的宏进行方便定义: 针对不同的参数个数,一般会使用不同的宏定义,例如open系统调用总共由三个参数,内核中针对open的系统调用为: 上述几个宏定义,最终都是调用SYSCALL_DEFINEx, 在该宏中x参数代表的是系统调用参数个数,name为系统调用名称,例如open,被_#
linux内核SYSCALL_DEFINE分析
做一个有技术追求的人
08-04 6609
CVE-2010-3301是其中一个。这个漏洞的成因是,在64位的内核上执行32位的系统调用时,作为传递系统调用号的%rax高32位未被清零处理,而且在进行比较的时候直接使用的%eax,导致高32位被忽略: cmpl $(IA32_NR_syscalls-1),%eax ja ia32_badsys ia32_do_call: IA32_ARG_F
Linux系统调用SYSCALL_DEFINE
u014044624的博客
02-03 747
        相信熟悉系统调用的都知道,系统调用内核中的入口都是sys_xxx,我也不例外,记得有一次,我抱着学习一下socket内核实现的心态想在内核中寻找sys_socket系统调用,却发现只能找到宏定义,怎么也找不到函数实现。后来经过查阅才知道,原来Linux系统调用都改为SYSCALL_DEFINE定义的了。相信...
SYSCALL_DEFINE详解
热门推荐
adaptiver的专栏
01-04 1万+
CVE-2010-3301是其中一个。这个漏洞的成因是,在64位的内核上执行32位的系统调用时,作为传递系统调用号的%rax高32位未被清零处理,而且在进行比较的时候直接使用的%eax,导致高32位被忽略: cmpl $(IA32_NR_syscalls-1),%eax ja ia32_badsys ia32_do_call: IA32_AR
linux内核syscall_define6,Linux系统调用SYSCALL_DEFINE
weixin_39713219的博客
05-02 279
#defineSYSCALL_DEFINE0(name)asmlinkagelongsys_##name(void)#defineSYSCALL_DEFINE1(name,...)SYSCALL_DEFINEx(1,_##name,__VA_ARGS__)#defineSYSCALL_DEFINE2(name,...)SYSCALL_DEFINEx(2,_##n...
Linux系统调用SYSCALL_DEFINE详解
彼方的博客
07-22 4935
Linux系统调用SYSCALL_DEFINE详解 Linux源码可以去这里 https://mirrors.edge.kernel.org/pub/linux/kernel/ 下载,本文是基于linux-2.6.34版本来讲解的,老版本代码比较简洁,更容易看懂。 学过Linux系统编程的小伙伴应该都知道,Linux系统调用内核中的入口函数都是 sys_xxx ,但是如果我们拿着内核源码去搜索的话,就会发现根本找不到 sys_xxx 的函数定义,这是因为Linux系统调用对应的函数全部都是由 SY
SYSCALL_DEFINE 系统调用定义宏分析
zhu_superman的博客
03-23 1009
SYSCALL_DEFINE
syscall指令_linux系统调用-SYSCALL_DEFINEx详解
weixin_36060333的博客
12-28 1085
系统调用内核中的入口都是sys_xxx,但其实Linux系统调用都改为SYSCALL_DEFINE定义的。本文以socket系统调用为例来详解。1 首先看一下SYSCALL_DEFINE的定义,如下:1 #define SYSCALL_DEFINE0(name) asmlinkage long sys_##name(void)2 #define SYSCALL_DEFINE1(na...
linux kernel SYSCALL_DEFINE3和SYSCALL_DEFINE6的区别
最新发布
06-06
SYSCALL_DEFINE3和SYSCALL_DEFINE6都是Linux内核中用来定义系统调用的宏。它们的区别在于参数个数不同。 SYSCALL_DEFINE3用于定义有三个参数的系统调用,而SYSCALL_DEFINE6用于定义有六个参数的系统调用。 具体来...
SYSCALL_DEFINEx的定义
liken的专栏
03-22 3772
<br />in linux-2.6.36.3<br />#define SYSCALL_DEFINE0(name)       asmlinkage long sys_##name(void)<br /> #define SYSCALL_DEFINE1(name, ...) SYSCALL_DEFINEx(1, _##name, __VA_ARGS__)<br /> #define SYSCALL_DEFINE2(name, ...) SYSCALL_DEFINEx(2, _##name, __VA_
SYSCALL_DEFINE
qwaszx523的博客
06-06 1076
在include/linux/syscall.h里有下面一组宏: 点击(此处)折叠或打开 #define SYSCALL_DEFINE0(name)     asmlinkage long sys_##name(void) #define SYSCALL_DEFINE1(name, ...) SYSCALL_DEFINEx(1, _##name, __VA_ARG
linux内核系统调用学习5:SYSCALL_DEFINE<0-6>
07-26 1091
linux内核系统调用学习5:SYSCALL_DEFINE<0-6>
linux内核syscall_define6,Syscall系统调用Linux内核跟踪
weixin_36004880的博客
05-02 316
Linux的用户空间,我们经常会调用系统调用,下面我们跟踪一下read系统调用,使用的Linux内核版本为Linux2.6.37。不同的Linux版本其中的实现略有不同。在一些应用中我们可以看到下面的一些定义:#define real_read(fd, buf, count ) (syscall(SYS_read, (fd), (buf), (count)))其实真正调用的还是系统函数sysca...
3、系统调用SYSCALL_DEFINE分析
cswhl的博客
12-09 2316
前言 为什么要将系统调用定义成宏SYSCALL_DEFINEx?bug CVE-2009-0029,CVE-2010-3301的存在: Linux 2.6.28及以前版本的内核中,将系统调用中32位参数传入64位的寄存器时无法作符号扩展,可能导致系统崩溃或提权漏洞。 内核开发者通过将系统调用的所有输入参数都先转化成long类型(64位),再强制转化到相应的类型来规避这个漏洞。 SYSCALL_DEFINEx的宏定义 // 定义位置:\include\linux\syscalls.h #define SYSC
系统调用定义宏 SYSCALL_DEFINEx 的分析
weixin_42992444的博客
09-17 2898
了解系统调用的同学, 应该知道, 系统调用内核中的入口都是sys_xxx, 比如read()系统调用内核的入口就是sys_read(). 但查看内核源码会发现, 内核中并没有sys_xxx()这样的函数, 根本就无法搜到sys_xxx()函数的定义与实现. 其实, Linux内核中的系统调用, 都是经过一个叫SYSCALL_DEFINEx的宏展开出来的, 没展开之前, 是无法搜到sys_xxx()的. 本文就是分析定义系统调用的宏SYSCALL_DEFINEx的实现. 这里以open()这个系统调用为例
系统调用SYSCALL_DEFINE
WU.GJ
12-30 2663
本文讲解x86中系统调用的过程,以read系统调用为例。 1.系统调用号:arch/x86/include/asm/unistd_64.h #define __NR_read 0 __SYSCALL(__NR_read, sys_read) 2.系统调用表:sys_call_table 内核记录了系统调用表中所有已注册过的系统调用的列表,存储在sys_call_table
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值