我想在两个进程之间共享一个内存映射区域,并使用ptrace将数据“戳”到其中。根据{{3}},package main
import (
"flag"
"fmt"
"io/ioutil"
"log"
"os"
"os/exec"
"syscall"
"unsafe"
)
func A() {
f, err := ioutil.TempFile("", "test")
if err != nil {
log.Fatal(err)
}
f.Write([]byte("4321"))
b, err := syscall.Mmap(int(f.Fd()), 0, 10, syscall.PROT_WRITE, syscall.MAP_SHARED)
if err != nil {
log.Fatalln("mmap", err)
}
maps, err := ioutil.ReadFile("/proc/self/maps")
if err != nil {
log.Fatal(err)
}
fmt.Println("A maps:")
fmt.Println(string(maps))
cmd := exec.Command("/proc/self/exe", "B")
cmd.SysProcAttr = &syscall.SysProcAttr{
Ptrace: true,
Cloneflags: syscall.CLONE_VM | syscall.CLONE_PTRACE,
}
cmd.Stdout = os.Stdout
cmd.Stderr = os.Stderr
err = cmd.Start()
if err != nil {
log.Fatal(err)
}
_, err = syscall.Wait4(cmd.Process.Pid, nil, 0, nil)
if err != nil {
log.Fatalln("Wait4", err)
}
ptr := unsafe.Pointer(&b[0])
log.Printf("PokeText into %p\n", ptr)
// Poke text into the mmaped-region via ptrace
_, err = syscall.PtracePokeText(cmd.Process.Pid, uintptr(ptr), []byte("1234"))
if err != nil {
log.Fatalln("PokeText", err)
}
}
func B() {
_, _, errno := syscall.RawSyscall(syscall.SYS_PTRACE, uintptr(syscall.PTRACE_TRACEME), 0, 0)
if errno != 0 {
log.Fatal("TRACEME", errno)
}
log.Println("B exiting")
}
func main() {
flag.Parse()
if flag.Arg(0) != "B" {
A()
} else {
B()
}
}
标志是我正在寻找的,但是,我似乎无法访问子进程中的映射。
A maps:
00400000-004ab000 r-xp 00000000 00:16 29942418 /tmp/go-build924065198/b001/exe/a
004ab000-0055d000 r--p 000ab000 00:16 29942418 /tmp/go-build924065198/b001/exe/a
0055d000-00573000 rw-p 0015d000 00:16 29942418 /tmp/go-build924065198/b001/exe/a
00573000-00592000 rw-p 00000000 00:00 0
c000000000-c000001000 rw-p 00000000 00:00 0
c41fff8000-c420100000 rw-p 00000000 00:00 0
7fe59696a000-7fe59696b000 -w-s 00000000 00:16 29942419 /tmp/test112646167
7fe59696b000-7fe596a0b000 rw-p 00000000 00:00 0
7ffd43a91000-7ffd43ab4000 rw-p 00000000 00:00 0 [stack]
7ffd43acc000-7ffd43ace000 r--p 00000000 00:00 0 [vvar]
7ffd43ace000-7ffd43ad0000 r-xp 00000000 00:00 0 [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0 [vsyscall]
2018/04/02 14:04:28 PokeText into 0x7fe59696a000
2018/04/02 14:04:28 PokeText input/output error
exit status 1
2018/04/02 14:04:28 B exiting
这是输出:
@Document(collection = "rule_tables")
public class TableRaw {
@Id
private String _id;
private String key;
private String name;
private String returns;
private ArrayList<AxisRaw> axis;
private List<List<Integer>> values; // no initialization.
}
答案 0 :(得分:3)
如果我理解正确,您希望与子进程共享一个缓冲区,其中两个进程是协作的?首先,不要使用CLONE_VM,它主要用于线程。其次,你在父进程和子进程之间共享缓冲区的简单任务大大过于复杂。
相反,我会建议using memfd并将其传递给子进程。从那里开始共享内存,不需要进行丑陋和缓慢的ptrace调用。请记住,您需要锁定以防止缓冲区被子级和父级同时修改。这需要像a futex这样的低级原语来实现锁定。
这一切都是针对特定Linux的,因为您使用clone我认为可移植性在我的回答中无关紧要。我还假设你使用了一个相当新的内核(memfd中已经主导了3.17)。
Sidenote :从Linux 3.2开始,您可以获得这两个新的精彩系统调用:process_vm_readv and process_vm_writev,这样可以省去必须使用ptrace's poke的麻烦(其中正如你可能猜到的那样,不断切换到内核会产生巨大的损失。
Sidenote 2 :由于您未使用CI会建议使用您的语言机制来执行子流程,因此没有理由使用clone 。您需要做的就是将文件描述符传递给子进程(一种UNIX域套接字或非CLOEXEC文件描述符)。
修改:您似乎正在尝试在父级和子级之间共享mmap文件,并且正在以绕过&#所有内核机制的方式进行操作39;那里允许这样做&#34;只是工作&#34;。将fd传递给孩子,内核将负责其余的事情。或者重新打开孩子的文件。无论是否有效,它都是数据库使用的常用技术。
编辑2 :如果我从评论中理解正确,则尝试执行依赖于私有映射和
从依赖于大型运行时的垃圾收集语言(Go)执行此操作,并且可能执行很多事情,例如内存分配,因为几乎所有事情的副作用都是触发竞争条件的坏方法。在这种情况下,使用共享映射会破坏漏洞利用的重点。我仍然对你想要完成的事情感到困惑,但是如果要在Go中复制这个漏洞,我建议不要这样做,它只是不是正确的工具。工作
此外,您是否正在尝试将访问权限提升到您似乎已具有写入权限的文件?这似乎更没意义。我认为,在尝试复制漏洞利用之前,考虑漏洞利用的语义以及高级语言可能不太合适的地方很重要。