快捷搜索:  汽车  科技

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞wget https://dl.google.com/go/go1.17.6.linux-amd64.tar.gz tar -zxvf go1.17.6.linux-amd64.tar.gz export GOPATH=/home/test/git/go/go //路径替换为自己虚拟机中的路径 export GOroot=/home/test/git/go/go export PATH=$GOPATH/bin:$PATH export PATH=$GOROOT/bin:$PATH运行go命令可以执行,即为安装成功。sudo apt-get install debootstrap sudo apt install qemu-KVM sudo apt-get install subversion sudo apt-get install git sudo apt-get install ma

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(1)

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(2)

作者:维阵漏洞研究员--km1ng

一、简述

Syzkaller是Google开发的一款内核模糊测试工具,简单点说就是自动化向内核输入各种有效的、无效的、完全随机化的参数数据,并观察内核的运行状况,是否发生了panic、内存泄漏等问题,以此发现隐藏在内核中的漏洞。近些年很多内核的CVE发现均来自于此,该工具的开发维护也相对活跃。它不仅支持x86,还支持ARM、Power、MIPS等处理器,而且不仅支持linux,还支持windows、FreeBSD、Fuchsia等系统,同时还能支持对远程物理机、本地虚拟机的测试,此外还能支持分布式多机器测试。

本篇文章侧重于使用,并无太多原理与代码分析,仅需一点linux使用基础即可,适合用于syzkaller入门,整个环境搭建和使用过程踩了很多坑,有不少是网上没提到的。

二、基础环境

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(3)

三、环境搭建

3.1 Ubuntu虚拟机配置

Ubuntu虚拟机配置如下图所示,因为需要编译Linux内核与syzkaller所以内存尽量的设置大一些。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(4)

Vmware自带的vmtools安装在Ubunut1804上不能与物理机之间互相拷贝文件可以尝试如下命令解决:

sudo apt update sudo apt install open-vm-tools-desktop fuse

3.2 安装基本软件

sudo apt-get install debootstrap sudo apt install qemu-KVM sudo apt-get install subversion sudo apt-get install git sudo apt-get install make sudo apt-get install qemu sudo apt install libssl-dev libelf-dev sudo apt-get install flex bison libc6-dev libc6-dev-i386 linux-libc-dev linux-libc-dev:i386 libgmp3-dev libmpfr-dev libmpc-dev sudo apt-get install g sudo apt-get install build-essential sudo apt install gcc sudo apt install openssh-server

安装go编程语言并没有使用apt install golang-go,使用apt安装的go编程语言版本为1.10,使用这个版本的go会在编译syzkaller时报错,所以在这选择下载安装1.17版本的go。

wget https://dl.google.com/go/go1.17.6.linux-amd64.tar.gz tar -zxvf go1.17.6.linux-amd64.tar.gz export GOPATH=/home/test/git/go/go //路径替换为自己虚拟机中的路径 export GOroot=/home/test/git/go/go export PATH=$GOPATH/bin:$PATH export PATH=$GOROOT/bin:$PATH

运行go命令可以执行,即为安装成功。

3.3 编译syzkaller

使用下面的命令拉取编译syzkaller代码。

git clone https://github.com/google/syzkaller.git cd syzkaller make //这一步有可能会报错

如果出现卡死或killed process,使用dmesg | egrep -i -B100 'killed process'查看,如果为Out of memory即为内存不足。这时可以先使用如下命令单独编译第一个文件:

GOOS=linux GOARCH=amd64 go build "-ldflags=-s -w -X github.com/google/syzkaller/prog.GitRevision= -X 'github.com/google/syzkaller/prog.gitRevisionDate='" -o ./bin/syz-manager github.com/google/syzkaller/syz-manager

查看bin目录下是否有编译好的syz-manager文件:

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(5)

继续使用make命令完成编译,如下图所示:

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(6)

如果单独编译第一个文件之后还是存在内存不足的问题,可以通过添加swap分区解决。

dd if=/dev/zero of=/root/swapfile bs=1M count=1024 //创建要作为swap分区的文件:增加1GB大小的交换分区,则命令写法如下,其中的count等于想要的块的数量(bs*count=文件大小)。 mkswap /root/swapfile #建立swap的文件系统 swapon /root/swapfile #启用swap文件 /root/swapfile swap swap defaults 0 0 //使系统开机时自启用,在文件/etc/fstab中添加

3.4 编译Linux内核

git拉取linux代码:

git clone https://mirrors.tuna.tsinghua.edu.cn/git/linux.git cd linux

如果拉取代码的时候报证书校验错误如下图所示:

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(7)

通过如下命令解决:

sudo apt update sudo apt install -y libgnutls30

进入linux目录后使用如下命令进行配置:

make CC="/usr/bin/gcc" defconfig make CC="/usr/bin/gcc" kvm_guest.config

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(8)

配置完成后打开当前目录下的.config文件进行手动添加配置,添加内容如下:

CONFIG_KCOV=y CONFIG_DEBUG_INFO=y CONFIG_KASAN=y CONFIG_KASAN_INLINE=y CONFIG_CONFIGFS_FS=y CONFIG_SECURITYFS=y

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(9)

再执行如下命令:

make CC="/usr/bin/gcc" olddefconfig

如果出现如下图所示:

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(10)

再次打开.config文件发现刚才添加的配置被删除了,那是因为配置文件中存在如下图所示:

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(11)

重新执行olddefconfig之前的所有配置命令,然后在.config文件中,删除我们想添加配置的注释命令所在的行如:# CONFIG_KCOV is not set,最后在上面重新添加配置,然后执行make CC="/usr/bin/gcc" olddefconfig命令可以发现不会出现warning。

如果不删除在之后进行qemu虚拟化时会出现Failed to start Remount Root and Kernel File Systems的错误。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(12)

最后执行如下命令即可完成编译。

make CC="/usr/bin/gcc" -j64

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(13)

3.5 制作文件系统

使用如下命令:

wget https://raw.githubusercontent.com/google/syzkaller/master/tools/create-image.sh -O create-image.sh chmod x create-image.sh ./create-image.sh

wget命令下载文件失败,可以直接浏览器访问拷贝一份也不影响使用。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(14)

可以看到目录下出现stretch.id_rsa、stretch.id_rsa.pub、stretch.img文件即为成功。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(15)

3.6 运行syzkall

这里需要打开Vmware虚拟机的虚拟化。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(16)

安装qemu虚拟工具。

sudo apt-get install qemu-system-x86

在当前目录创建boot.sh文件,文件内容如下:

qemu-system-x86_64 \ -kernel linux/arch/x86/boot/bzImage \ -append "console=ttyS0 root=/dev/sda debug earlyprintk=serial slub_debug=QUZ"\ -hda ./stretch.img \ -net user hostfwd=tcp::10021-:22 -net nic \ -enable-kvm \ -nographic \ -m 2560M \ -smp 2 \ -pidfile vm.pid \ 2>&1 | tee vm.log

运行boot.sh,出现Failed to start Remount Root and Kernel File Systems是上面配置文件没配置好,出现不能访问KVM为虚拟机设置问题。

运行qemu虚拟机有登录提示输入root如下图所示,无密码登录。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(17)

在Vmware虚拟机使用如下命令,以是否能登录qemu虚拟机判断qemu虚拟机的ssh服务是否成功启动(syzkaller需要使用ssh)。

ssh -i stretch.id_rsa -p 10021 -o "StrictHostKeyChecking no" root@localhost

进入之前下载的syzkaller目录,创建my.cfg配置文件,文件内容如下:

{ "target": "linux/amd64" "http": "127.0.0.1:56741" "workdir": "/home/test/git/syzkaller/workdir" "kernel_obj": "/home/test/git/linux" "image": "/home/test/git/stretch.img" "sshkey": "/home/test/git/stretch.id_rsa" "syzkaller": "/home/test/git/syzkaller" "procs": 8 "type": "qemu" "vm": { "count": 4 "kernel": "/home/test/git/linux/arch/x86/boot/bzImage" "cpu": 2 "mem": 2048 } }

使用./bin/syz-manager -config my.cfg命令运行。运行时稍微有些慢需要等待一下。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(18)

四、解决Failed to start Raise network interfaces错误

执行syz-manager或qemu模拟运行的时候经常会出现Failed to start Raise network interfaces错误。

执行boot.sh脚本,运行起虚拟机,执行ifconfig命令,发现不存在此命令。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(19)

目前qemu虚拟机ping不通外网不能使用apt命令进行安装,所以这里选择下载net-tools离线包编译好,拷贝进qemu虚拟机。

qemu虚拟机初始有默认的ip为10.0.2.15,同时也会初始化物理机ip为10.0.2.2。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(20)

可以使用如下命令进行文件拷贝操作:

ip link set enp0s3 up scp -r test@10.0.2.2:/home/test/Desktop/net-tools-2.10 ./

拷贝完成后就可以执行ifconfig命令了,如下图所示:

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(21)

当使用boot.sh脚本运行qemu虚拟机,出现报错Failed to start Raise network interfaces的时候,再次执行ifconfig命令发现只存在lo网卡、enp0s3网卡未启动或未分配ip地址。进行删除qemu虚拟机中的/etc/network/interfaces文件,新建interfaces文件,文件内容如下,拷贝到到qemu虚拟机/etc/network/interfaces路径。

auto eth0 iface eth0 inet dhcp auto enp0s3 iface enp0s3 inet dhcp

多次使用boot.sh启动qemu虚拟机,有时报错Failed to start Raise network interfaces,然后使用ifconfig命令查看结果依旧存在ip地址。

本机网卡名不为eth0可以使用如下命令进行更改:

ip link set ens33 down ip link set ens33 name eth0 ip link set eth0 up

再次使用syzkaller 进行fuzz,效果会好很多,至于根本原因笔者目前也并未分析源码,以后可能会更新。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(22)

五、fuzz Linux驱动程序

5.1 编译驱动

在test.c中存在一个堆溢出的demo:

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(23)

编译内核模块的时候,涉及到一个linux header的问题。(比如说我在5.4.0的系统下编译5.17的驱动)所以这里的Makefile如下:

CONFIG_MODULE_SIG=n obj-m = test.o EXTRA_Cflags = -fno-stack-protector -no-pie all: make -C /lib/modules/5.17.0-rc3-00316-gb81b1829e7e3/build M=$(PWD) modules

创建目录test,将test.c和Makefile拷贝到目录下,运行make命令。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(24)

如果找不到/lib/modules/5.17.0-rc3-00316-gb81b1829e7e3路径,在linux源代码目录下执行make modules_install /lib/module命令即可。

将test.c拷贝到linux/drivers/char目录下:

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(25)

在char目录下的Kconfig文件中添加如下配置:

config TEST_MODULE tristate "Heap Overflow Test" default y help This file is to test a buffer overflow.

在char目录下的Makefile中添加obj-$(CONFIG_TEST_MODULE) = test.o。

进入linux源码目录重新make,编译后使用boot.sh启动虚拟机,进入proc目录,可以看到test,表明成功编译代码并加载。

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(26)

5.2 添加syzkaller规则

进入syzkaller/sys/linux/目录,新建proc_operation.txt,文件内容如下所示:

include <linux/fs.h> open$proc(file ptr[in string["/proc/test"]] flags flags[proc_open_flags] mode flags[proc_open_mode]) fd read$proc(fd fd buf buffer[out] count len[buf]) write$proc(fd fd buf buffer[in] count len[buf]) close$proc(fd fd) proc_open_flags = O_RDONLY O_WRONLY O_RDWR O_APPEND FASYNC O_CLOEXEC O_CREAT O_DIRECT O_DIRECTORY O_EXCL O_LARGEFILE O_NOATIME O_NOCTTY O_NOFOLLOW O_NONBLOCK O_PATH O_SYNC O_TRUNC __O_TMPFILE proc_open_mode = S_IRUSR S_IWUSR S_IXUSR S_IRGRP S_IWGRP S_IXGRP S_IROTH S_IWOTH S_IXOTH

回到syzkaller目录,编译syz-extract和syz-sysgen:

make bin/syz-extract make bin/syz-sysgen

使用syz-extract生成.const文件:

bin/syz-extract -os linux -sourcedir "/home/test/git/linux" -arch amd64 proc_operation.txt

生成了proc_operation.txt.const内容如下:

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(27)

接下来执行如下命令:

bin/syz-sysgen make clean make //这里参考上面

修改my.cfg文件,在其中加上如下字段:

"enable_syscalls": [ "open$proc" "read$proc" "write$proc" "close$proc" ]

5.3 fuzz linux 驱动程序

使用bin/syz-manager -config my.cfg命令:

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(28)

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(29)

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(30)

linux的内核技术学习:零基础syzkaller挖掘Linux内核漏洞(31)

syzkaller将其识别为空指针解引用错误。

六、总结

从使用体验来讲这个框架进行漏洞发掘还是存在一定难度,尤其对一些具有复杂接口的内核模块来说更是如此,并且是使用go编写的增加了学习成本,但它确实挖出了不少漏洞值得学习。

参考链接:

1、syzkaller 环境搭建:

https://kiprey.github.io/2021/11/syzkaller_1/#三、crash-测试

2、syzkaller的安装与运行:

https://www.giantbranch.cn/2021/06/25/syzkaller的安装与运行/

3、从0到1开始使用syzkaller进行Linux内核漏洞挖掘:

https://bbs.pediy.com/thread-265405.htm#尝试使用syzkaller捕捉一个简单的内核堆溢出

4、Linux Kernel Pwn III:使用syzkaller进行漏洞挖掘:

https://arttnba3.cn/2021/11/24/NOTE-0X06-LINUX-KERNEL-PWN-PART-III/#0x02-开始使用-syzkaller

5、使用Syzkaller测试Linux内核:

https://i-m.dev/posts/20200313-143737.html

猜您喜欢: