我正在尝试为不同的系统调用实现陷阱函数。 目标是,经纪人将执行它们,然后返回结果。 所以客户端不会自己执行命令。
Seccomp 提供了实现这一目标的能力:
我做了什么?
- 为 SIGSYS 信号初始化信号处理程序。
- 使用操作 SCMP_ACT_TRAP 初始化了 seccomp 过滤器。
- 等待 SA_SIGINFO 信号。
- 修改结果系统调用的返回值。
总的来说,这个方法是有效的。 它在 chromium 项目和 mozilla 中也是这样使用的。
问题
更改返回整数的系统调用的返回值,例如 open 可以完美运行。更改返回指针的函数的返回值不起作用(例如 getcwd)。
不知何故,只返回第一个参数,甚至不是在所有情况下。 有时会返回 NULL。
我也尝试过
我还使用 ptrace 创建了一个工作示例。 ptrace 解决方案通过将指令指针更改为另一个用户空间函数并修改返回调用来拦截系统调用。 该解决方案有效,但由于在后台使用了 ptrace,因此有点老套并且不受欢迎。
示例代码
下面是代码的简单分解。
#define _GNU_SOURCE
#include <stdio.h>
#include <sys/stat.h>
#include <signal.h>
#include <errno.h>
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <stddef.h>
#include <unistd.h>
#include <seccomp.h>
#include <fcntl.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>
#include <sys/socket.h>
#include <dirent.h>
#include <linux/filter.h>
#include <ucontext.h>
extern int errno;
#define SECCOMP_REG(_ctx, _reg) ((_ctx)->uc_mcontext.gregs[(_reg)])
#define SECCOMP_RESULT(_ctx) SECCOMP_REG(_ctx, REG_RAX)
#define SECCOMP_SYSCALL(_ctx) SECCOMP_REG(_ctx, REG_RAX)
#define SECCOMP_IP(_ctx) SECCOMP_REG(_ctx, REG_RIP)
#define SECCOMP_PARM1(_ctx) SECCOMP_REG(_ctx, REG_RDI)
#define SECCOMP_PARM2(_ctx) SECCOMP_REG(_ctx, REG_RSI)
#define SECCOMP_PARM3(_ctx) SECCOMP_REG(_ctx, REG_RDX)
#define SECCOMP_PARM4(_ctx) SECCOMP_REG(_ctx, REG_R10)
#define SECCOMP_PARM5(_ctx) SECCOMP_REG(_ctx, REG_R8)
#define SECCOMP_PARM6(_ctx) SECCOMP_REG(_ctx, REG_R9)
static char fake[100] = "fake";
/*
* Catch violations so we see, which system call caused the problems
*/
static void catchViolation(int sig, siginfo_t* si, void* void_context)
{
int old_errno = errno;
printf("Attempted banned syscall number [%d] see doc/Seccomp.md for more information [%d]\n",
si->si_syscall, sig);
ucontext_t* ctx = (ucontext_t*)void_context;
// Just printing some registers for debugging
printf("RAX IS: %p\n", (void*)SECCOMP_RESULT(ctx));
printf("RIP IS: %p\n", (void*)SECCOMP_IP(ctx));
printf("RDI IS: %p\n", (void*)SECCOMP_PARM1(ctx));
printf("RSI IS: %p\n", (void*)SECCOMP_PARM2(ctx));
printf("RDX IS: %p\n", (void*)SECCOMP_PARM3(ctx));
printf("R10 IS: %p\n", (void*)SECCOMP_PARM4(ctx));
printf("R8 IS: %p\n", (void*)SECCOMP_PARM5(ctx));
printf("R9 IS: %p\n", (void*)SECCOMP_PARM6(ctx));
// Set register 4 to 0 according to ABI and set return value
// to fake address
SECCOMP_PARM4(ctx) = 0;
SECCOMP_RESULT(ctx) = (greg_t)fake;
printf("RAX After Change: %p\n", (void*)SECCOMP_RESULT(ctx));
errno = old_errno;
}
/*
* Setup error handling
*/
static void init_error_handling(){
struct sigaction sa = { .sa_sigaction = catchViolation, .sa_flags = SA_SIGINFO | SA_NODEFER };
if (sigaction(SIGSYS, &sa, NULL)){
printf("Failed to configure SIGSYS handler [%s]\n", strerror(errno));
}
}
void init_seccomp_filters(){
if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)) {
perror("Could not start seccomp:");
exit(1);
}
scmp_filter_ctx ctx;
ctx = seccomp_init(SCMP_ACT_TRAP);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(read), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(recvmsg), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(rt_sigreturn), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(fstat), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(lstat), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(writev), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(readlink), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(sendmsg), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(getppid), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit_group), 0);
if (seccomp_load(ctx)== -1) {
perror("Could not start seccomp:");
exit(1);
}
}
int main(){
init_error_handling();
init_seccomp_filters();
char dir[100] = "hello";
printf("CALL GETCWD\n");
char *t = getcwd(dir, 100);
printf("---------------------\n");
printf("PTR IS: %p\n", t);
printf("EXPECTED: %p\n", fake);
printf("Text is - %s\n", t);
exit(0);
}
控制台输出
// SITUATION 1 RETURNING WRONG POINTER
CALL GETCWD
Attempted banned syscall number [79] see doc/Seccomp.md for more information [31]
RAX IS: 0x4f
RIP IS: 0x7f3c1dadff8a
RDI IS: 0x7fff983f8940
RSI IS: 0x64
RDX IS: 0x7f3c1dd9f760
R10 IS: 0x61c
R8 IS: 0x3
R9 IS: 0x410
RAX After Change: 0x563659aa70a0
---------------------
PTR IS: 0x7fff983f8940
EXPECTED: 0x563659aa70a0
Text is - hello
// SITUATION 2 RETURNING NULL
CALL GETCWD
Attempted banned syscall number [79] see doc/Seccomp.md for more information [31]
RAX IS: 0x4f
RIP IS: 0x7eff3372bf8a
RDI IS: 0x7ffce201d880
RSI IS: 0x64
RDX IS: 0x7eff339eb760
R10 IS: 0x61c
R8 IS: 0x3
R9 IS: 0x410
RAX After Change: 0x55fcab2c70a0
---------------------
PTR IS: (nil)
EXPECTED: 0x55fcab2c70a0
Text is - (null)
最佳答案
据我所知,您确实需要这个 What are the return values of system calls in Assembly?
这只是 Linux 系统调用转换,任何从 -1 到 -4096 的返回值都被视为 errno。
另外,引用这里https://code.woboq.org/userspace/glibc/sysdeps/unix/sysv/linux/hppa/syscall.c.html
if ((unsigned long int) __sys_res >= (unsigned long int) -4095)
{
__set_errno (-__sys_res);
__sys_res = -1;
}
return __sys_res;
另外,我很好奇为什么你的 fake 指针这么大?
PS:不要声明errno,它在系统头文件中定义,通常作为宏定义。
对于 getcwd,这个 Linux 系统调用不返回指针,它被定义为这个 int __getcwd(char* buf, size_t size)
关于c - seccomp 系统调用陷阱函数中的指针返回值,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47614469/