我想在 2 个进程之间共享一个内存映射区域,并使用 ptrace 将数据“插入”其中。根据clone man page , CLONE_VM 标志是我正在寻找的,但是,我似乎无法访问子进程中的映射。
package main
import (
"flag"
"fmt"
"io/ioutil"
"log"
"os"
"os/exec"
"syscall"
"unsafe"
)
func A() {
f, err := ioutil.TempFile("", "test")
if err != nil {
log.Fatal(err)
}
f.Write([]byte("4321"))
b, err := syscall.Mmap(int(f.Fd()), 0, 10, syscall.PROT_WRITE, syscall.MAP_SHARED)
if err != nil {
log.Fatalln("mmap", err)
}
maps, err := ioutil.ReadFile("/proc/self/maps")
if err != nil {
log.Fatal(err)
}
fmt.Println("A maps:")
fmt.Println(string(maps))
cmd := exec.Command("/proc/self/exe", "B")
cmd.SysProcAttr = &syscall.SysProcAttr{
Ptrace: true,
Cloneflags: syscall.CLONE_VM | syscall.CLONE_PTRACE,
}
cmd.Stdout = os.Stdout
cmd.Stderr = os.Stderr
err = cmd.Start()
if err != nil {
log.Fatal(err)
}
_, err = syscall.Wait4(cmd.Process.Pid, nil, 0, nil)
if err != nil {
log.Fatalln("Wait4", err)
}
ptr := unsafe.Pointer(&b[0])
log.Printf("PokeText into %p\n", ptr)
// Poke text into the mmaped-region via ptrace
_, err = syscall.PtracePokeText(cmd.Process.Pid, uintptr(ptr), []byte("1234"))
if err != nil {
log.Fatalln("PokeText", err)
}
}
func B() {
_, _, errno := syscall.RawSyscall(syscall.SYS_PTRACE, uintptr(syscall.PTRACE_TRACEME), 0, 0)
if errno != 0 {
log.Fatal("TRACEME", errno)
}
log.Println("B exiting")
}
func main() {
flag.Parse()
if flag.Arg(0) != "B" {
A()
} else {
B()
}
}
这是输出:
A maps:
00400000-004ab000 r-xp 00000000 00:16 29942418 /tmp/go-build924065198/b001/exe/a
004ab000-0055d000 r--p 000ab000 00:16 29942418 /tmp/go-build924065198/b001/exe/a
0055d000-00573000 rw-p 0015d000 00:16 29942418 /tmp/go-build924065198/b001/exe/a
00573000-00592000 rw-p 00000000 00:00 0
c000000000-c000001000 rw-p 00000000 00:00 0
c41fff8000-c420100000 rw-p 00000000 00:00 0
7fe59696a000-7fe59696b000 -w-s 00000000 00:16 29942419 /tmp/test112646167
7fe59696b000-7fe596a0b000 rw-p 00000000 00:00 0
7ffd43a91000-7ffd43ab4000 rw-p 00000000 00:00 0 [stack]
7ffd43acc000-7ffd43ace000 r--p 00000000 00:00 0 [vvar]
7ffd43ace000-7ffd43ad0000 r-xp 00000000 00:00 0 [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0 [vsyscall]
2018/04/02 14:04:28 PokeText into 0x7fe59696a000
2018/04/02 14:04:28 PokeText input/output error
exit status 1
2018/04/02 14:04:28 B exiting
最佳答案
如果我没理解错的话,您想与两个进程协作的子进程共享缓冲区?首先,不要使用CLONE_VM,它主要用于线程。其次,您使在父进程和子进程之间共享缓冲区的简单任务过于复杂。
相反,我会建议 using memfd并将其传递给子进程。从那里共享内存,不需要丑陋和缓慢的 ptrace 调用。请记住,您需要锁定以防止缓冲区被子对象和父对象同时修改。这将需要像 a futex 这样的低级原语。实现锁定。
这都是高度特定于 Linux 的,并且由于您使用的是 clone 我假设可移植性在我的回答中无关紧要。我还假设您使用的是相当新的内核(memfd 在 3.17 中成为主线)。
旁注:从 Linux 3.2 开始,您将获得这两个奇妙的新系统调用:process_vm_readv and process_vm_writev这应该可以省去必须使用 ptrace 的 poke 的麻烦(正如您可能猜测的那样,这会导致不断切换到内核的巨大损失)。
旁注 2:由于您没有使用 C,我建议使用您的语言的机制来执行子进程,因此没有理由在那里使用 clone。您需要做的就是将文件描述符传递给子进程(想到 UNIX 域套接字或非 CLOEXEC 文件描述符)。
编辑:您似乎正试图在 parent 和 child 之间共享一个 mmap 文件,并且正在以一种绕过允许这样做的所有内核机制的方式进行“只是工作”。将 fd 传递给 child ,内核将处理其余部分。或者重新打开 child 中的文件。两者都有效,这是数据库常用的技术。
编辑 2:如果我从评论中理解正确,这是尝试执行 Dirty COW依赖于内核 VM 子系统中的私有(private) 映射和竞争条件 的漏洞。
从依赖于大型运行时的垃圾收集语言 (Go) 执行此操作,并且可能会做很多事情,例如内存分配,因为几乎任何事情的副作用都是触发竞争条件的糟糕方法。在这种情况下,使用共享映射会破坏漏洞利用点。我仍然对您要实现的目标感到困惑,但如果它是在 Go 中复制漏洞,我建议您不要这样做,因为它不是完成这项工作的正确工具。
您还试图利用对您似乎已经具有写入权限的文件的访问权限提升吗?这似乎更没有意义。底线是,我认为在尝试复制漏洞利用之前,重要的是要考虑漏洞利用的语义,以及高级语言可能不太适合的地方。
关于linux - 如何在子进程中访问父进程的内存映射区域?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49610906/