【趣话编程】一个整数＋1引发的灾难

简介： 本故事根据Linux内核真实漏洞改编。

原文链接

帝国危机

夜幕降临，喧嚣褪去，繁忙的Linux帝国渐渐平静了下来，谁也没有想到，一场改变帝国命运的风暴正在悄然而至......

“小王，你赶紧跟他过去IDT看一下，调查清楚速来报我”，部长对着一旁的助理说到。
小王点了点头，准备出发，刚走到门口，又被部长叫住了。
“等等！此事非同小可，我还是亲自去一趟吧”

IDT修改谜案

安全部长随即出发，来到IDT所在的地方，这里一切如旧，未见有何异样。

部长指着这一排门墙问道：“他是从哪道门进来的？”
“4号”，这时，看守IDT大门的白发老头闻讯走了过来回答到。

“奇怪了，IDT表中的函数入口，都是帝国安排好了的，讲道理没有哪一个会去修改passwd文件才对”，部长看着这些表项，低头自语。

部长听完猛的一抬头，“高32位变成了0x00000000，那整个函数入口地址不就指向了用户态地址空间了？”
小黑和小王都不敢说话，大家都知道这后果有多严重，天知道那家伙利用内核权限执行了用户空间的什么代码。
“不对，在他进来之前，一个用户空间的线程怎么能改IDT的内容呢？他没权限访问才对，我不信！”
“这个我倒是知道，他改的是时候，我特地留意了一下他的调用堆栈，不是在用户空间，是从内核空间的函数——perf_swevent_init方向来的”，老头说到。

整数+1的悲剧

部长二话没说，又带着大家直奔perf_swevent_init函数而去。

线索在这里被切断了，本来指望在perf_swevent_init这个函数这里寻找IDT被修改之谜，看来要无功而返了。
不知不觉，时间已经很晚了，部长一行决定先回去，再从长计议。
部长走了几步，见小王没有跟上来，便回头叫了他一声。
“部长请留步，我好像感觉哪里不太对劲”，小王此刻也皱起了眉头。
“你发现了什么？”，部长和小黑他们又走了回来。
“部长，你看第3行，这个event_id是一个int型的变量，也就是说这是一个有符号数。”，小王说到。
“有符号数怎么了？”，小黑也忍不住开口问了。
“如果······”
“_如果event_id变成了一个负数，它将能越界访问数组，并且还能通过第9行的大小检查！_”，没等小王说完，部长道破了玄机！
众人再一次将目光聚集在了这个event_id上，打算看一下第三行给它赋值的event->attr.config是个什么来头。
首先是perf_event中的attr成员变量：

struct perf_event {
  // ...
  struct perf_event_attr attr;
  // ...
};

接着是perf_event_attr中的config成员变量：

struct perf_event_attr {
  // ...
  __u64 config;
  // ...
};

看到最后，部长和小王都倒吸了一口凉气，这config竟然是个64位无符号整数，把它赋值给一个int型变量不出问题就怪了！
见大家都不说话，小黑挠了挠头，弱弱的问到：“怎么了，你们怎么都不说话，这有什么问题吗？”
小王把小黑拉到一边，“问题大了，你看我要是把一个值为0xFFFFFFFF的config赋值给event_id，event_id会变成什么？”
“负，负，负1？”

“IDT中的中断/异常处理函数的地址不是一个完整的64位，而是拆成了几部分，其中高32位我给大家红色标示出来了，在64位Linux帝国，内核空间的地址高32位都是0xFFFFFFFF，如果······”
“如果利用前面的event_id数组下标越界访问，把这个地方原子+1，那就变成了0，对不对？”，小黑总算明白了。

真相大白

安全部长为小王的精彩分析鼓起了掌，“不错不错，大家都很聪明！事到如今，我们来复盘一下吧！”

• 第一步：精心设计一个config值，从应用层传入内核空间的perf_swevent_init函数
• 第二步：利用帝国内核漏洞，把一个64位无符号数赋值给一个int型变量，导致变量溢出为一个负数。
• 第三步：利用溢出的event_id越界访问perf_swevent_enabled，指向IDT的表项，将第四项中断处理函数的高32位进行原子+1
• 第四步：修改后的中断处理函数指向了用户空间，提前在此安排恶意代码
• 第五步：应用层执行int 4汇编指令，触发4号中断，线程将进入内核空间，以至高权限执行提前安排的恶意代码。

事情总算是水落石出，安全部长回去之后便上报帝国总部，修复了此漏洞，将event_id的类型从int修正为u64。
即便如此，部长的心情却并没有轻松多少，未知的敌人已经闯入帝国，它们是谁？做了什么？现在藏在哪里？一个又一个的问题还在不断在脑中闪现······
未完待续······

彩蛋

一个闷热的下午，风扇飞速的旋转，热得人喘不过气。
部长的办公室出现了一个熟悉的身影，走近一看原来是小马哥。
“部长，nginx公司又出事了”
预知后事如何，请关系后续精彩······

来源 | 编程技术宇宙
作者 | 轩辕之风