2. 程式人生 > >kptr_restrict 向用戶空間核心中的指標(/proc/kallsyms-modules顯示value全部為0)

kptr_restrict 向用戶空間核心中的指標(/proc/kallsyms-modules顯示value全部為0)

阿新 發佈:2019-02-18

知識共享許可協議

因本人技術水平和知識面有限, 內容如有紕漏或者需要修正的地方, 歡迎大家指正, 也歡迎大家提供一些其他好的除錯工具以供收錄, 鄙人在此謝謝啦

1 /proc/kallsyms顯示value全部為0

今天一個同事問我 cat /proc/kallsyms 顯示 value 全部為 0. 我在手機端試了一下, 果然如此.

切換到 root 使用者執行, 依然是 0. 感到十分奇怪, 因為核心發生 crash 或者開啟 trace 的時候, 都是呼叫的 sprint_ symbol 來列印的. 為啥核心可以, 使用者態 cat 就不行呢?

後來發現是系統為了保護這些符號地址洩露, 而用的一種保護手段, 從而使除 root

使用者外的普通使用者不能直接檢視符號地址.

2 kptr_restrict 介紹

原因在於核心檔案 kallsyms.c 中的顯示符號地址命令中做了如下限制.

seq_printf(m, "%pK %c %s\n", (void *)iter->value, iter->type, iter->name);

只需要把其中的 %pK 換成 %p 就可以讓普通使用者檢視符號地址了. 很多提權漏洞一般會用到此處的修改來獲取符號地址

核心提供控制變數 /proc/sys/kernel/kptr_restrict 來進行修改. 從核心文件 Documentation/sysctl/kernel.txt

中可以看到 kptr_restrict 用於控制核心的一些輸出列印.

Documentation/printk-formats.txt 有更加詳細的描述, 除了我們平時遇到的一些列印格式之外, 還有一些比較特殊的格式(我以前沒注意到).

==============================================================

kptr_restrict:

This toggle indicates whether restrictions are placed on
exposing kernel addresses via /proc and other interfaces.

When kptr_restrict is set
 
 to (0), the default, there are no restrictions.

When kptr_restrict is set to (1), kernel pointers printed using the %pK
format specifier will be replaced with 0's unless the user has CAP_SYSLOG
and effective user and group ids are equal to the real ids. This is
because %pK checks are done at read() time rather than open() time, so
if permissions are elevated between the open() and the read() (e.g via
a setuid binary) then %pK will not leak kernel pointers to unprivileged
users. Note, this is a temporary solution only. The correct long-term
solution is to do the permission checks at open() time. Consider removing
world read permissions from files that use %pK, and using dmesg_restrict
to protect against uses of %pK in dmesg(8) if leaking kernel pointer
values to unprivileged users is a concern.

When kptr_restrict is set to (2), kernel pointers printed using
%pK will be replaced with 0's regardless of privileges.
==============================================================
kptr_restrict 許可權描述
2 核心將符號地址列印為全0, root和普通使用者都沒有許可權
1 root使用者有許可權讀取, 普通使用者沒有許可權
0 root和普通使用者都可以讀取

kptr_restrict 值為 2 時, 所有使用者都無法讀取核心符號地址.

<code>kptr_restrict</code> 值為 <code>2</code> 時

kptr_restrict 值為 1 時, 普通使用者都無法讀取核心符號地址, root 使用者可以檢視.

<code>kptr_restrict</code> 值為 <code>1</code> 時

kptr_restrict 值為 0 時, 所有使用者都可以讀取核心地址.

<code>kptr_restrict</code> 值為0時

注意 kptr_restrict 對核心中很多地址和符號表的資訊匯出都有影響, 比如 /proc/modules 等.

3 kptr_restrict的設計

#http://elixir.free-electrons.com/linux/v4.13.9/source/lib/vsprintf.c#L1708
    case 'K':
        switch (kptr_restrict) {
        case 0:
            /* Always print %pK values */
            break;
        case 1: {
            const struct cred *cred;

            /*
             * kptr_restrict==1 cannot be used in IRQ context
             * because its test for CAP_SYSLOG would be meaningless.
             */
            if (in_irq() || in_serving_softirq() || in_nmi()) {
                if (spec.field_width == -1)
                    spec.field_width = default_width;
                return string(buf, end, "pK-error", spec);
            }

            /*
             * Only print the real pointer value if the current
             * process has CAP_SYSLOG and is running with the
             * same credentials it started with. This is because
             * access to files is checked at open() time, but %pK
             * checks permission at read() time. We don't want to
             * leak pointer values if a binary opens a file using
             * %pK and then elevates privileges before reading it.
             */
            cred = current_cred();
            if (!has_capability_noaudit(current, CAP_SYSLOG) ||
                !uid_eq(cred->euid, cred->uid) ||
                !gid_eq(cred->egid, cred->gid))
                ptr = NULL;
            break;
        }
        case 2:
        default:
            /* Always print 0's for %pK */
            ptr = NULL;
            break;
        }
        break;

4 參考

相關推薦

kptr_restrict 空間核心指標(/proc/kallsyms-modules顯示value全部0)

因本人技術水平和知識面有限, 內容如有紕漏或者需要修正的地方, 歡迎大家指正, 也歡迎大家提供一些其他好的除錯工具以供收錄, 鄙人在此謝謝啦 1 /proc/kallsyms顯示value全部為0 今天一個同事問我 cat /

核心通過/proc/kallsyms獲得符號的地址

.config CONFIG_KALLSYMS=y CONFIG_KALLSYMS_ALL=y 符號表中包括所有的變數(包括沒有用EXPORT_SYMBOL匯出的變數) CONFIG_KALLSYMS_EXTRA_PASS=y make menuconfig General setup  --->  

服務器返回的狀態碼和提示信息,常見的有以下一些(方括號是該狀態碼對應的HTTP動詞)

authorize valid 記錄 creat unp pat 授權 eat 無法 200 OK - [GET]:服務器成功返回用戶請求的數據,該操作是冪等的(Idempotent)。 201 CREATED - [POST/PUT/PATCH]:用戶新建或修改數據成功

Linux內核中斷引入空間(異步通知機制)【轉】

sso mis 文件 ack 文件的 ssi dsm 進行 log 轉自:http://blog.csdn.net/kingdragonfly120/article/details/10858647 版權聲明:本文為博主原創文章,未經博主允許不得轉載。

空間與內核空間,進程上下文與中斷上下文[總結]【轉】

存儲器 com ont article 模式 tab 用戶代碼 ssi 而在 轉自:http://blog.csdn.net/lizuobin2/article/details/51791863 本文轉載自:http://www.cnblogs.com/Anker/p/3

空間和內核空間通訊之【proc文件系統】

page ext4 sha 依靠 全局變量 dmesg 設備 net url 今天我們介紹還有一種用戶內核空間通信的方法:proc文件系統。 proc文件系統作為linux提供的一種虛擬文件系統並不占用實際外圍存儲空間,它僅存在於內存中。系統斷電即消失。proc

空間和內核空間通訊之【Netlink 上】

提取 意思 數據報 multi 主動 聯合 興趣 ora 指示 原文地址:用戶空間和內核空間通訊之【Netlink 上】 作者:wjlkoorey258 引言 Alan Cox在內核1.3版本的開發階段最先引入了Netlink,剛開始時Netlink是以

盤古越獄工具在空間的行為

重要 move pub set undle fill cli gravity bre 背景知識 盤古在用戶空間主要利用了iOS安裝程序的一個漏洞,這裏先列出安裝一個應用的主要過程: 整個安裝過程分為12個階段,上圖僅僅是列出了起點、終點還是對盤古越獄

1-18Linux內核空間空間

c++ inux comm ksh tcs int ++ .cn ash 轉載請說明出處:http://www.cnblogs.com/zaifeng0108/p/7364411.html OS的接口有兩類: GUI:Graphic User Interface GNo

C#開發微信支付之企業付款

退款 充足 通過 d+ 當前 get 返回 驗證類型 inter 1、企業付款的介紹 所謂企業付款指的是,在功能開放後諸如保險行業的客戶理賠、退保、商品退款、發放征集活動獎金、抽獎互動等操作都可以通過企業付款完成。而此前,微信支付只能提供客戶向企業單向付款。 商戶如果需要給

+++++++++空間進程通信、tcp協議基礎、http協議基礎

博客 linux 運維 遊戲 it 互聯網網絡進程的通信知識裸套接字、分段、分片、MTU進程地址、用戶空間、內核空間進程間通信、sockettcp協議http協議超文本定義、超文本格式web資源:動態靜態訪問入口、被訪問的資源跨站引用/盜鏈URI,URL,RUN關系,子集URL格式主機地址+進程地址(port

linux 添加到sudo

生效 pre sudoers visudo 修改 就是 blog span 需要 步驟 1. 先切到root用戶 2. 執行visudo,其實就是修改/etc/sudoers 3. 添加用戶,規則如下: youuser ALL=(ALL)

空間網絡提升 NFV 的性能

ssl mpls int 並行處理 開始 tcpip class 不同 協議 本文是一篇翻譯,翻譯自https://software.intel.com/en-us/blogs/2015/06/12/user-space-networking-fuels-nfv-perf

linux驅動開發:空間操作LCD顯示簡單的圖片【轉】

res fin blue var chang uil print views statistic 轉自:http://blog.csdn.net/changliang7731/article/details/53074616 上一章我們簡單介紹了LCD的一些基本原

Linux時間子系統(三) 空間接口函數

因此 delet inter 擁有 基本 數據 關系 and sse 一、前言 從應用程序的角度看,內核需要提供的和時間相關的服務有三種: 1、和系統時間相關的服務。例如,在向數據庫寫入一條記錄的時候,需要記錄操作時間(何年何月何日何時)。 2、讓進程睡眠一段時間 3、和t

linux 態和內核態以及進程上下文、中斷上下文 內核空間空間理解

內存映射 自旋鎖 復制。 系統性能 準備 emc 進入 就會 運行環境 1、特權級 Intel x86架構的cpu一共有0~4四個特權級,0級最高,3級最低,ARM架構也有不同的特權級,硬件上在執行每條指令時都會對指令所具有的特權級做相應的檢查。硬件已經提

你在無意就打破了體驗設計最重要的規則!

以下內容由Mockplus(摹客)團隊翻譯整理,僅供學習交流,Mockplus是更快更簡單的原型設計工具。 產品設計中最重要的規則,可能是產品的周期管理。 每個人都應該遵守一定的重要規則,特別是那些從事產品設計的人。而許多設計師卻日復一日地在設計中違反規則,而這是絕對不利於他們的

java的專題之異常處理——將異常處理運用在管理系統(很重要)

ava 例子 AS 異常處理 構造方法 str run 用戶 per 如何讓我們的異常處理變得足夠靈活—— 我們可以自己創建一個異常類(所有異常的通用操作) 在用戶管理系統中具體操作如下: 1、創建一個UserException的類 2、找到Superclass,點擊Bro

“System.OutOfMemoryException”類型的異常在 mscorlib.dll 發生,但未在代碼進行處理

測試 未在 bsp 如果 文件流 回收 結構 聲明 邏輯 “System.OutOfMemoryException”類型的異常在 mscorlib.dll 中發生,但未在用戶代碼中進行處理 這個原因肯定不是因為程序內部的邏輯錯誤,或者別的什麽情況。 想想,肯定是因為大

應用程序使用數據而在圖形界面設置的基本單元

程序 按鈕 縮進 最小 標題欄 圖標 實現 界面 顯示 視窗 應用程序為使用數據而在圖形用戶界面中設置的基本單元。應用程序和數據在窗口內實現一體化。在窗口中,用戶可以在窗口中操作應用程序,進行數據的管理、生成和編輯。通常在窗口四周設有菜單、圖標,數據放在中央。 在窗口中,