色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

如何對NULL指針地址建立合法映射,從而合法訪問NULL指針

Linux閱碼場 ? 來源:Linuxer ? 2019-11-29 14:26 ? 次閱讀

本文將介紹如何對NULL指針地址建立合法映射,從而合法訪問NULL指針。本文表達的宗旨:

任何虛擬地址,只要有合法的頁表映射,就能訪問!

提到C語言編程,我想幾乎所有人都遭遇過NULL指針。我們的代碼中總是在不斷的判斷指針是否為NULL:

if (p1 != NULL) {

//...

}

if (p2 == NULL) {

exit(-1);

}

如果我們忘記了這種判斷,我們會收獲到段錯誤:

[15445.731305] a.out[3511]: segfault at 0 ip 000000000040071c sp 00007ffedbacbdd0 error 4 in a.out[400000+1000]

誠然,我們都討厭segfault,但segfault并非由于訪問NULL指針引起的,相反,我們要感謝NULL指針,它幫助我們的程序排除了大量的segfault。

在現代操作系統中,程序訪問的地址都是虛擬地址,硬件MMU結合操作系統創建的頁表會在進程私有虛擬地址和全局物理地址之間做映射,當程序訪問一個虛擬地址的時候,該映射會將這次訪問轉換成到物理地址的訪問。

所以,segfault的本質是程序訪問的虛擬內存地址無法合理映射到物理地址的一種錯誤通知。

引發segfault的地址成為非法地址。

現在,隨意給出兩個虛擬地址:

unsigned char *p1 = 0x7f1233443344;

unsigned char *p2 = 0xaa12bb443344;

誰能說出哪個虛擬地址是合法的,哪個是非法的?誰也說不出,只有試著訪問它的時候才知道,引發segfault的地址就是非法的,否則就是合法的。這可能會對程序數據造成嚴重的傷害。

因此有必要人為規定一個非法地址,這樣在程序中就可以做判斷了,只要不是人為規定的那個非法地址,那就是合法的。至于說誰來嚴格保證其合法性,除了需要編程規范和編程習慣之外,操作系統也確實不會為該非法地址映射可以訪問的物理頁面。有法可依只是安全的必要條件,加上違法必究才是充分且必要的。

數字0是最特殊的,判斷一個值是否為0在硬件層面上也很高效,把0作為非法地址具有高度的可辨識性,于是幾乎所有的編程語言都用0來表示非法地址:

#define NULL 0

這就是NULL指針的本質。

現在讓我們忘掉編程層面的原則,重新審視NULL指針。

NULL指針指示地址0,地址0沒有什么特殊的,它就是進程地址空間的一個普通地址,只要為其映射一個可以訪問的物理地址,它就是可以訪問的。下面我們就來試試。

首先我們寫個簡單的C程序:

// gcc access0.c -o access0

#include

#include

#include

int main(int argc, char **argv)

{

int i, j;

unsigned char *nilp = NULL;

unsigned char *used = NULL;

used = (unsigned char *)calloc(128, 1);

// 寫頁面,調物理頁面到內存。

strcpy(used, "zhejiang wenzhou pixie shi");

// 以下的打印便于將信息傳遞到內核模塊,這只是為了方便,真正

// 正確的做法應該自己去hack這些信息,然后傳遞到內核模塊。

printf("pid=%d addr=%p ", getpid(), used);

// 等待內核模塊創建NULL地址的頁表,完成后敲回車。

getchar();

// 打印NULL指針的前64個字節

for (i = 0; i < 4; i++) {

for (j = 0; j < 16; j++) {

printf("0x%0.2x ", *nilp);

nilp++;

}

printf(" ");

}

getchar();

free (used);

return 0;

}

可以看到,從for循環開始,我們的程序訪問NULL指針地址后的64字節的數據。我們希望把NULL指針映射到calloc的地址處,然后看看是不是打印出了 “zhejiang wenzhou pixie shi”。

這個很簡單,寫一個內核模塊,把NULL開始的一個page和calloc返回的used開始的一個page映射到同一個物理頁面即可。

下面該寫內核模塊了,為了簡化操作,這里采用Guru模式的stap腳本來進行編程:

// mapNULL.stp

%{

#include

#include

#include

pte_t * get_pte(struct task_struct *task, unsigned long address)

{

pgd_t* pgd;

pud_t* pud;

pmd_t* pmd;

pte_t* pte;

struct mm_struct *mm = task->mm;

static int nil = 0;

static pmd_t gpmd = {0};

static pte_t gpte = {0};

pgd = pgd_offset(mm, address);

if(pgd_none(*pgd) || pgd_bad(*pgd)) {

return NULL;

}

pud = pud_offset(pgd, address);

if(pud_none(*pud) || pud_bad(*pud)) {

return NULL;

}

pmd = pmd_offset(pud, address);

if(pmd_none(*pmd) || pmd_bad(*pmd)) {

*pmd = gpmd;

if(pmd_none(*pmd) || pmd_bad(*pmd)) {

return NULL;

}

}

pte = pte_offset_kernel(pmd, address);

if (nil != 0) {

pte->pte &= 0xfffffffffffff000;

*pte = gpte;

}

if(pte_none(*pte)) {

return NULL;

}

if (nil == 0) {

gpmd = *pmd;

gpte = *pte;

nil = 1;

}

return pte;

}

%}

function mapNULL:long(pid:long, addr:long)

%{

struct task_struct *task;

pte_t* pte;

void (*fun)(void);

fun = (void (*))0xffffffff81066090;

fun();

task = pid_task(find_pid_n***_ARG_pid, &init_pid_ns), PIDTYPE_PID);

if(!(pte = get_pte(task, STAP_ARG_addr))) {

STAP_RETVALUE = -1;

return;

}

fun();

if(get_pte(task, 0) == NULL) {

STAP_RETVALUE = -1;

return;

}

fun();

STAP_RETVALUE = 0;

%}

probe begin

{

mapNULL($1, $2);

exit();

}

下面演示一下效果,先看直接執行access0,不加載內核模塊的效果:

[root@localhost mod]# ./access0

pid=4172 addr=0x1c78010

段錯誤

[root@localhost mod]#

很顯然,訪問了“非法地址NULL”之后,收獲一個segfault。下面,我們結合內核模塊再次來運行access0:

[root@localhost mod]# ./access0

pid=4174 addr=0xf38010

另起一個終端,按照打印的pid和addr加載模塊:

[root@localhost mod]# stap -g mapNULL.stp 4174 0xf38010

[root@localhost mod]#

access0的終端敲入回車:

[root@localhost mod]# ./access0

pid=4174 addr=0xf38010

0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x91 0x00 0x00 0x00 0x00 0x00 0x00 0x00

0x7a 0x68 0x65 0x6a 0x69 0x61 0x6e 0x67 0x20 0x77 0x65 0x6e 0x7a 0x68 0x6f 0x75

0x20 0x70 0x69 0x78 0x69 0x65 0x20 0x73 0x68 0x69 0x00 0x00 0x00 0x00 0x00 0x00

0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00

[root@localhost mod]#

可以看到,第二行開始的就是“zhejiang Wenzhou pixie shi ”了:

0x7a 0x68 0x65 0x6a 0x69 0x61 0x6e 0x67 0x20 0x77 0x65 0x6e 0x7a 0x68 0x6f 0x75

0x20 0x70 0x69 0x78 0x69 0x65 0x20 0x73 0x68 0x69 ...

那么第一行是什么呢?很顯然,used內存是calloc返回的,這種內存是被malloc內存管理結構鎖管理的,第一行的16字節就是這種管理機構,如果我們破壞掉它,那么在最后的free處就會出錯。我們可以試一試:

// 打印NULL指針的前64個字節

for (i = 0; i < 4; i++) {

for (j = 0; j < 16; j++) {

printf("0x%0.2x ", *nilp);

if (i == 0) 將第一行16字節數據設置成0ff。

*nilp = 0xff;

nilp++;

}

printf(" ");

}

效果就是:

[root@localhost mod]# ./access0

pid=4184 addr=0x90a010

0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x91 0x00 0x00 0x00 0x00 0x00 0x00 0x00

0x7a 0x68 0x65 0x6a 0x69 0x61 0x6e 0x67 0x20 0x77 0x65 0x6e 0x7a 0x68 0x6f 0x75

0x20 0x70 0x69 0x78 0x69 0x65 0x20 0x73 0x68 0x69 0x00 0x00 0x00 0x00 0x00 0x00

0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00

*** Error in `./access0': munmap_chunk(): invalid pointer: 0x000000000090a010 ***

======= Backtrace: =========

/lib64/libc.so.6(+0x7f5d4)[0x7f06b56705d4]

./access0[0x400789]

/lib64/libc.so.6(__libc_start_main+0xf5)[0x7f06b56133d5]

./access0[0x4005c9]

======= Memory map: ========

00400000-00401000 r-xp 00000000 fd:00 38533721

通過重寫NULL指針地址的映射頁表,我們成功訪問了NULL指針,并且讀出了數據。

由于MMU的映射粒度是頁面,即4096字節(x86_64平臺,也可以是別的值,比如2M),所以嚴格來講,“非法地址”并非只有NULL,而是從0到4096的一個頁面。

很多系統正是通過將NULL地址開始的一個page映射到一個不可讀寫不可訪問的物理page來達到捕捉非法地址的效果的。

現在,我們把部分task_struct結構體的內存映射到NULL開始的第一個虛擬地址空間頁面,通過修改task結構體的comm來修改自己的名字,達到自省的目的。

修改自己名字的方法很多,prct就可以,但是本文通過映射task結構體的方式進行。

先看用戶態C代碼:

#include

#include

#include

int main(int argc, char **argv)

{

int i;

unsigned char *nilp = NULL;

// 為模塊提供信息。

printf("pid=%d addr=%p ", getpid(), used);

getchar();

// 在一個頁面范圍查找task的comm字段

for (i = 0; i < 4096; i++) {

// +2是為了跳過“./”,此處沒有進行復雜的字符串解析

if (!memcmp(nilp, argv[0]+2, strlen(argv[0])-2)) {

printf("OK ");

// 更改comm字段為皮鞋濕

memcpy(nilp, "pixieshi", 8);

break;

}

nilp++;

}

printf(" ");

getchar();

free (used);

}

下面是對應的內核模塊:

// mapCOMM.c

// make -C /lib/modules/`uname -r`/build SUBDIRS=`pwd` modules

#include

#include

#include

#define DIRECT_MAP_START 0xffff880000000000

#define PAGE_TABLE_E 0x8000000000000000

static int pid = 16790;

module_param(pid, int, 0644);

static unsigned long addr = 0;

module_param(addr, long, 0644);

static int nil = 0;

static pmd_t gpmd = {0};

static pte_t gpte = {0};

static unsigned long tskp;

void (*fun)(void);

static pte_t* get_pte(struct task_struct *task, unsigned long address)

{

pgd_t* pgd;

pud_t* pud;

pmd_t* pmd;

pte_t* pte;

struct mm_struct *mm = task->mm;

pgd = pgd_offset(mm, address);

if(pgd_none(*pgd) || pgd_bad(*pgd)) {

return NULL;

}

pud = pud_offset(pgd, address);

if(pud_none(*pud) || pud_bad(*pud)) {

return NULL;

}

pmd = pmd_offset(pud, address);

if(pmd_none(*pmd) || pmd_bad(*pmd)) {

*pmd = gpmd;

if(pmd_none(*pmd) || pmd_bad(*pmd)) {

return NULL;

}

}

pte = pte_offset_kernel(pmd, address);

if (nil != 0) {

pte->pte = tskp;

}

if(pte_none(*pte)) {

return NULL;

}

if (nil == 0) {

pte_t p = *pte;

gpmd = *pmd;

gpte = p;

nil = 1;

}

return pte;

}

static int mapCOMM_init(void)

{

struct task_struct *task;

pte_t* pte;

int tsk_off;

struct page* page;

fun = 0xffffffff81066090;

fun();

task = pid_task(find_pid_ns(pid, &init_pid_ns), PIDTYPE_PID);

tskp = (unsigned long)task;

tskp -= DIRECT_MAP_START;

tsk_off = tskp & 0xfff;

#define COMM_OFF 1872

// 保證可以在一個頁面內找到comm字段

if (tsk_off + COMM_OFF > 0xfff) {

tskp += 0x1000;

}

// 頁面對齊

tskp &= 0xfffffffffffff000;

tskp += PAGE_TABLE_E;

// 用戶態讀寫權限

tskp |= 0x67;

if(!(pte = get_pte(task, addr)))

return -1;

fun();

if(!(pte = get_pte(task, 0)))

return -1;

fun();

return -1;

}

static void mapCOMM_exit(void)

{

}

module_init(mapCOMM_init);

module_exit(mapCOMM_exit);

MODULE_LICENSE("GPL");

編譯后備用。我們先運行我們的skinshoe進程。

[root@localhost mod]# ./skinshoe

pid=4216 addr=0x22d4010

獲得輸出信息后,另起終端,加載模塊,輸入skinshoe打印的信息:

[root@localhost mod]# insmod ./mapCOMM.ko pid=4216 addr=0x22d4010

insmod: ERROR: could not insert module ./mapCOMM.ko: Operation not permitted

此時skinshoe進程的運行終端看看進程的名字有沒有改變:

[root@localhost mod]# cat /proc/4216/comm

pixieshi

[root@localhost mod]# ps -e|grep 4216

4216 pts/4 00:00:00 pixieshi

OK,已經改成“皮鞋濕”了。

當然了,合法訪問NULL指針其實有更加“正規”的做法,即修改內核參數

[root@localhost stap]# sysctl -a|grep vm.mmap_min_addr

vm.mmap_min_addr = 4096

[root@localhost stap]# sysctl -w vm.mmap_min_addr=0

vm.mmap_min_addr = 0

[root@localhost stap]# sysctl -a|grep vm.mmap_min_addr

vm.mmap_min_addr = 0

[root@localhost stap]#

然后使用mmap系統調用將指針FIXed map到地址0即可。

說一下本文的緣起以及一些例行的形而上的意義。

前天晚上,有位朋友問了我一個問題,為了備忘,我昨天發了一則朋友圈:

昨天有人問我說為什么NULL指針不能訪問,我說NULL指針是可以訪問的,NULL就是0,0也是一個合法地址,為什么不能訪問?之所以一訪問NULL就會收獲一個段錯誤純粹是編程意義上的人為規定,不存在操作系統硬件層面的硬性機制阻止NULL指針被訪問。為此,我還專門寫了一個demo,修改頁表項為NULL地址映射一個物理頁面,NULL地址不光可以讀寫,還能修改進程名字呢。char *p;char *p = NULL;以上二者是不同的,上面那個p指針是“無”,而下面那個p則是“空”,“無”是什么都沒有,“空”是實實在在的空,仔細體會這種略帶哲學意味的區別。

關于“空”和“無”,在C/C++編程規范上特別要注意:

防止訪問空指針:訪問指針前要判斷NULL。

杜絕野指針:釋放指針后要設置NULL。

總之,我們要依靠“空”,避開“無”。

“無”是什么都沒有,薛定諤的無,“空”是實實在在的空,空為萬物,萬物皆空。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 操作系統
    +關注

    關注

    37

    文章

    6807

    瀏覽量

    123285
  • C語言
    +關注

    關注

    180

    文章

    7604

    瀏覽量

    136701
  • null
    +關注

    關注

    0

    文章

    18

    瀏覽量

    3967

原文標題:Linux C程序真的不能訪問NULL指針嗎?

文章出處:【微信號:LinuxDev,微信公眾號:Linux閱碼場】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    善用Optional,告別NPE

    作者:京東物流 王亞寧 1、NPE是什么? NPE:NullPointerException(空指針異常)。可以說自Null的誕生以來它就讓無數的程序員為之哀嚎,也是無數系統Bug的來源。托尼·霍爾
    的頭像 發表于 12-18 09:46 ?400次閱讀

    C語言指針學習筆記

    本文從底層內存分析,徹底讓讀者明白C語言指針的本質。
    的頭像 發表于 11-05 17:40 ?229次閱讀
    C語言<b class='flag-5'>指針</b>學習筆記

    C語言指針運算符詳解

    在C語言中,當你有一個指向數組中某個元素的指針時,你可以對該指針執行某些算術運算,例如加法或減法。這些運算可以用來遍歷數組中的元素,如ptr[i]等價于*(ptr + i)。然而,如果你的操作使得指針指向了數組以外的位置(除了數
    的頭像 發表于 10-30 11:16 ?243次閱讀

    海外爬蟲IP的合法邊界:合規性探討與實踐

    海外爬蟲IP的合法邊界主要涉及合規性探討與實踐。
    的頭像 發表于 10-12 07:56 ?210次閱讀

    C語言指針詳細解析

    指針,野指針就是指針指向的位置是不可知的(隨機的、不正確的、沒有明確限制的),其值是隨機的,指針變量的值是別的變量的地址,意味著
    發表于 09-14 10:03

    面試常考+1:函數指針指針函數、數組指針指針數組

    在嵌入式開發領域,函數指針指針函數、數組指針指針數組是一些非常重要但又容易混淆的概念。理解它們的特性和應用場景,對于提升嵌入式程序的效率和質量至關重要。一、
    的頭像 發表于 08-10 08:11 ?831次閱讀
    面試常考+1:函數<b class='flag-5'>指針</b>與<b class='flag-5'>指針</b>函數、數組<b class='flag-5'>指針</b>與<b class='flag-5'>指針</b>數組

    面試中的高頻問題:指針函數與函數指針,你能完美應對嗎?

    一直覺得C語言較其他語言最偉大的地方就是C語言中的指針,有些人認為指針很簡單,而有些人認為指針很難,當然這里的對簡單和難并不是等價于對指針的理解程度。為此在這里對C語言中的
    的頭像 發表于 06-22 08:11 ?1705次閱讀
    面試中的高頻問題:<b class='flag-5'>指針</b>函數與函數<b class='flag-5'>指針</b>,你能完美應對嗎?

    提高C代碼可讀性的編寫技巧與策略

    指針是 C 語言的靈魂,是 C 比其他語言更靈活,更強大的地方。所以學習 C 語言必須很好的掌握指針。函數指針,即指向函數在內存映射中的首地址
    發表于 04-23 18:25 ?492次閱讀

    為什么指針之間不要隨意賦值呢?

    指針之間也不能隨意賦值。
    的頭像 發表于 03-28 17:13 ?651次閱讀
    為什么<b class='flag-5'>指針</b>之間不要隨意賦值呢?

    函數指針與回調函數的應用實例

    通常我們說的指針變量是指向一個整型、字符型或數組等變量,而函數指針是指向函數。 函數指針可以像一般函數一樣,用于調用函數、傳遞參數。
    的頭像 發表于 03-07 11:13 ?400次閱讀
    函數<b class='flag-5'>指針</b>與回調函數的應用實例

    C語言的指針用法

    C語言編程中善用指針可以簡化一些任務的處理,而對于一些任務(比如動態內存分配),必須要有指針才行的。也就是說精通C指針編程是很有必要的,幫助你成為一名優秀的Cer。
    發表于 03-05 14:22 ?346次閱讀
    C語言的<b class='flag-5'>指針</b>用法

    怎么理解指針指針

    怎么理解指針指針?其實這個概念并不難,只是把它放到實際應用中,容易造成困擾。
    的頭像 發表于 02-23 16:46 ?1174次閱讀
    怎么理解<b class='flag-5'>指針</b>的<b class='flag-5'>指針</b>?

    TC275有函數返回指針地址明明有地址返回值變成NULL是為什么?

    \",pcb);return (pcb);}調用: struct udp_pcb *udp;udp = udp_new();udp 獲取到的地址永遠是NULL,但是單步或者是打印看pcb分配是成功的,有地址值;
    發表于 02-06 08:18

    結構體與指針的關系

    指針則是指向結構體類型的指針,用于操作和訪問結構體的成員。下面我們將分別詳細解釋結構體和結構體指針,并提供相應的示例代碼。1.結構體:結構體是一種自定義數據類型
    的頭像 發表于 01-11 08:00 ?981次閱讀
    結構體與<b class='flag-5'>指針</b>的關系

    函數指針指針函數是不是一個東西?

    函數指針的本質是指針,就跟整型指針、字符指針一樣,函數指針指向的是一個函數。
    的頭像 發表于 01-03 16:35 ?526次閱讀
    函數<b class='flag-5'>指針</b>和<b class='flag-5'>指針</b>函數是不是一個東西?
    主站蜘蛛池模板: 国产h视频免费观看| 伊人久久精品AV一区二区| 久久综合丁香激情久久| 啊灬啊灬啊灬快灬深高潮啦| 性色AV一区二区三区咪爱四虎| 久久精品国产在热亚洲完整版| yw193龙物免费官网在线| 亚洲欧美中文日韩v在线| 欧美亚洲日韩自拍高清中文 | 妹妹我要色| 国产午夜永久福利视频在线观看| 1313久久国产午夜精品理论片| 午夜插插插| 青柠视频在线观看高清HD| 九九99热久久精品在线6| 吃奶摸下的羞羞漫画| 18国产精品白浆在线观看免费| 午夜无码国产理论在线| 欧美一区二区三区播放| 久久人妻少妇嫩草AV無碼| 国产亚洲精品品视频在线| 成人手机在线观看| 99热这里只有精品9| 在线欧美 精品 第1页| 亚洲日韩一区精品射精| 午夜福利电影| 国产午夜精品理论片在线| 乳色吐息在线观看全集免费观看| 在线播放午夜理论片| 亲嘴扒胸摸屁股视频免费网站| 艺术片 快播| 久久精品亚洲AV无码三区观看 | 伊人久久大香线蕉资源| 亚洲视频黄| 亚洲精品久久久久中文字幕二区| 色在线视频亚洲欧美| 日本黄 色大片全| 日本工口生肉全彩大全| 欧美亚洲韩日午夜| 欧美2019高清hd巨大| 能看的黄页最新网站|