Linux内核漏洞调试环境搭建.doc

K_K Linux内核漏洞调试环境搭建 一．前言 之前没怎么用过Linux，但是那天看到exploit-db上有不少Linux内核漏洞的POC。当时想如果可以请自动手调试一下这些漏洞，肯定会学到一些Linux下特定漏洞的利用技巧。（比如怎么利用空指针引用漏洞来进行本地提权）。所以就GOOGLE了很多关于Linux内核调试的文章，虽然一步一步老老实实照前人的指点的做，但是还是问题连着问题。反反复复的尝试，才历尽千心万苦搭建起了这个内核漏洞调试环境。在此过程中得到了广大网友的帮助，特别是wzt85和塞(他的ID为塞)这两位前辈的指点。既然取之于“网”,那我觉得应该把这个过程用文字描述出来放到网络上，与同道中人分享。 本文的第二部分将简单介绍目前Linux下内核调试的几种常用调试技术路线，由于我对Linux的了解确实不多，所以这一部分写的肯定会很不专业，但目的在于抛砖引玉——更专业的文章烦请自行GOOGLE。 本文的第三部分会详细介绍该调试环境的搭建过程，关键点会有截图说明。 本文的第四部分是一点补充性的文字。 二.Linux下内核调试技术路线 1.QEMU+GDB QEMU是一款开源的虚拟机软件，它自身带有gdb stub可用于和Host 主机上的GDB通信来对Guest主机的Linux内核进行源码(C代码)级调试。为实现源码级调试，那必须要有调试信息以及符号表，所以首先从www.kernel.org上下载一份Linux内核源代码进行编译。编译成功后会得到bzImage文件和vmlinux文件。其中vmlinux就是要供Host主机上的GDB进行调试的带有调试信息，符号表的内核文件。 使用这种方法试验环境的搭建比较简单，而且最吸引人的地方在于它能够实现源码级的调试。但是遗憾的是，这种方法调试不了漏洞。因为当Guest主机上的内核发生内存访问异常的时候，Host主机中的GDB根本得不到异常事件，这样一来也就无法获知是那条指令引发的异常，以及被访问的内存地址是什么。 一开始我觉得很不可思议，调试器都Attach到内核了，下段点神码的都毫无压力，为啥一个一个异常事件却捕获不到呢？后来查了些资料，并且特意到chinaunix上发了篇帖子询问高人才知道是为啥。原因就是当Linux内核中发生异常，特别是内存访问异常的时候，内核自己就把问题解决了，解决不了的话那就kill掉当前进程并且在日志文件里记录一些信息(比如触发异常的指令，函数调用栈)，如果问题实在严重就直接宕机。整个异常处理过程根本不会考虑内核调试器的存在与否。 所以这种方法对于调试内核漏洞来说肯定是不合适的，但是如果仅是单纯的希望通过动态调试手段来了解Linux内核的工作原理，个人还是强烈推荐这种方法的。 2.KDB KDB是SGI公司开发的一款内核级调试器，其强大的地方在于可以进行单机调试，但不能进行源码级调试。使用这种方法首先需要从 3.KGDB KGDB是一款源码级内核调试器，需要两台机器方可进行内核调试。对于老版本的Linux内核，使用KGDB同样需要先对内核打补丁。但是在较新的内核中，已经内置了KGDB，无须再打补丁了，只要在编译内核的时候在kernel hacking中选择相关选项即可。 对于2.6.32版本的内核，编译时注意选择以下选项即可 这种方法我也进行了尝试，但照着搜来的文章上面说的那样做并没有成功。由于后来wzt85给我的建议也是使用KDB，所以也就没有在深究失败的原因，而是集中精力去搞掂KDB。 三.使用KDB搭建调试环境 需要强调的是，KDB能够胜任单机调试内核的任务，只是我个人考虑如果调试内核漏洞时，需要多次让主机宕掉，而且还要反复重启系统。所以决定还是把这种脏活交给虚拟机吧。 1.安装QEMU 命令: sudo apt-get install qemu 2.创建磁盘镜像 命令: qemu-img create -f qcow2 vlinux.img 8G 创建一个8G大小的名为vlinux.img的磁盘镜像，其格式为qcow2 3.给虚拟机安装操作系统 命令： qemu -hda vlinux.img -cdrom <linux安装镜像文件路径> -boot d 虚拟机将从光盘镜像启动，安装操作系统即可。 4.下载Linux内核源码 从http://www.kernel.org/pub/linux/kernel/v2.6/上下载一份内核源代码，因为目的就是为了调试漏洞，所以内核的版本不用太新，而且打补丁的不要。另外内核源代码的版本应该和KDB内核补丁包支持的内核版本一致。(KDB目前最新的内核补丁包支持的版本为2.6.33)。我选择的内核版本为2.6.32 sudo cp linux-2.6.32.tar.bz2 /usr/src cd /usr/src sudo tar xvf linux-2.6.32.tar.bz2 sudo ln -s linux-2.6.32 linux 5.下载KDB内核补丁包 从ftp:// kdb-v4.4-2.6.32-common-6.bz2 kdb-v4.4-2.6.32-x86-6.bz2 解压到目录/usr/src/linux下，打补丁 /usr/src/linux:patch -p1 < kdb-v4.4-2.6.32-common-6 /usr/src/linux:patch -p1 < kdb-v4.4-2.6.32-x86-6 我当时完成这一步后就直接开始编译内核，然后就悲剧了——提示arch/x86/kernel/traps.c在415行有“}”不匹配，编译该文件不成功！ 上网搜了一把，在文章[2]中找到了解决方案，即把多余的一个”}”删去，这个文件就可以顺利编译通过了。 重新来过时，不料在编译驱动文件drivers/usb/host/ehci-q.c又出现了错误！还是上述那篇文章中提到，对于2.6.32版本的内核，在用kdb打过补丁后，还需要再单独对着个文件打补丁。该文章中给出了补丁的内容，将其保存为文件usb.patch，并复制到目录/usr/src/linux下。然后输入补丁命令 /usr/src/linux:patch -p1 < usb.patch 打好这个补丁就可以开始编译内核了 6.编译内核 6.1 配置编译选项 我个人比较喜欢用make xconfig提供的图形界面进行配置(使用make xconfig需要安装qt3) /usr/src/linux:sudo make xconfig 为了使内核支持使用KDB进行调试，以下kernel hacking目录下的选项必须选择 CONFIG_DEBUG_INFO：compile the kernel with debug info CONFIG_DEBUG_KERNEL:if you are developing driver modules or try to debug and identify kernel problems 为了使KDB能够正常工作，以下选项万万不能选 CONFIG_DEBUG_RODATA：make kernel read-only data as write protected in the pagetables 这个选项是为了保护内核关键数据不被改写，如果被选中了，那么KDB将无法下断点！（当下断点时提示invalid address） 6.2 制作内核DEB安装包 在ubuntu/debian版本的Linux中提供了一个用于制作内核安装包的工具——make-kpkg,它能够自动根据内核编译选项对内核以及驱动模块进行编译，并生成一个deb安装包。我个人觉得使用这个工具最大的好处在于方便内核的安装。网上几乎所有介绍Linux内核编译并且安装的文章几乎都只介绍了怎样在同一台机器上编译内核并且安装，假如我需要在A机器上编译内核，但是又要将编译好的内核安装在B机器上是否可行？当然是可行的，只不过非常麻烦。而用make-kpkg生成的内核安装包可以完美的解决这个问题！ /usr/src/linux:sudo make-dpkg –initrd –revision 2.6.32 kernel_image 这个过程比较漫长，出去跑几圈再洗个澡回来应该就欧了。 最终在/usr/src/目录下生成文件linux-image-2.6.32_2.6.32_i386.deb 6.3 将内核DEB安装包复制到QEMU虚拟机中 关于QEMU虚拟机怎样和Host主机同步数据，QEMU的用户手册提供了很多解决方案。对于qcow2格式的磁盘镜像文件，可以使用工具qemu-nbd将磁盘镜像挂载到本地的文件系统。使用qemu-nbd要加载提供Network Block Device的内核模块nbd 完整的命令如下： sudo modprobe nbd max_part=16 sudo qemu-nbd -c /dev/nbd0 image.qcow2 sudo partprobe /dev/nbd0 sudo mount /dev/nbd0p1 /mnt/vmlinux 将linux-image-2.6.32_2.6.32_i386.deb复制到/mnt/vmlinux中 sudo cp /usr/src/linux-image-2.6.32_2.6.32_i386.deb /mnt/vmlinux/ 6.4 在虚拟机中安装内核 启动虚拟机后，在根目录“/”下可以看到内核安装文件 linux-image-2.6.32_2.6.32_i386.deb，打开终端，输入以下命令开始安装： sudo dpkg -i linux-image-2.6.32_2.6.32_i386.deb 在安装过程的最后会自动执行命令update-grub对grub进行更新，这样安装结束后，重新启动后就可以选择内核版本了 选择ubuntu,with Linux 2.6.32 6.5 启动KDB 关于进入系统后怎样启动KDB网上几乎所有的文章都说，直接按“Pause” 键KDB就可以蹦出来。但我在按下“Pause”键后，系统除了“静止”了之外再无任何反应！后来在博客大巴上找到了塞的一篇文章《KDB调试Linux内核驱动》。这篇文章也提到了同样的问题并给出了解决方案——在单用户模式下使用KDB (1)sudo init 1进入单用户模式 (2)在以下界面中选择root Drop to root shell prompt (3)输入root管理员密码，进入纯命令行界面 (4)Pause,弹出KDB 接下来就可以开始Happy Debugging了 四、再说几句 由于对Linux不熟，前前后后差不多一周时间才搭建起了这个调试环境，在屡遭挫折时也考虑自己一上来就往内核里扎步子是不是迈的有些大？所幸最终还是连滚带爬得实现了自己的目标，算是没白耽误功夫吧。虽然扯着了蛋，但在这整个过程中还是学到了不少东西的，比如内核的编译、安装、卸载；比如怎么给源码打补丁；比如QEMU虚拟机的使用等等。以后遇上类似的问题，虽然不敢说肯定可以解决，但最起码不会怵，而且知道从哪里去找解决办法。 最后隆重推荐wzt85和塞的博客，wzt85的博客里有很多关于Linux内核漏洞利用方法与漏洞分析的文章，篇篇经典！塞的博客里涉及的领域更广，不但涵盖Linux内核安全，而且对Windows内核漏洞也有分析介绍。 wzt85: 塞： http://debug- 五、参考 [1] http://qemu.weilnetz.de/qemu-doc.html QEMU用户手册 [2] Linux 2.6.32.15编译安装kdb-v4.4-2.6.32 [3] http://debug- 用KDB调试Linux内核驱动 [4] CVE-2010-4258漏洞分析