Я пытаюсь реализовать функции ловушки для разных системных вызовов. Цель состоит в том, чтобы брокер их выполнил, а затем вернул результат. Таким образом, клиент не будет выполнять команды сам.
Seccomp предлагает возможность добиться этого:
Что я наделал?
- Инициализируйте обработчик сигналов для сигналов SIGSYS.
- Инициализировал фильтр seccomp действием SCMP_ACT_TRAP.
- Дождитесь сигнала SA_SIGINFO.
- Измените возвращаемое значение результирующего системного вызова.
В целом этот способ работает. Он также используется таким же образом в проекте Chrome и в Mozilla.
Проблема
Измените возвращаемое значение для системных вызовов, возвращающих целые числа, например, open работает безупречно. Изменение возвращаемого значения для функций, возвращающих указатели, не работает (например, getcwd).
Почему-то возвращается только первый параметр, и это даже не во всех случаях. Иногда возвращается NULL.
Что я тоже пробовал
Я также создал рабочий пример, используя ptrace. Решение ptrace перехватывает системные вызовы, изменяя указатель инструкции на другую функцию пользовательского пространства и изменяя обратный вызов. Это решение работает, но немного взломано и не рекомендуется из-за использования ptrace в фоновом режиме.
Пример кода
Вот минималистичная разбивка кода.
#define _GNU_SOURCE
#include <stdio.h>
#include <sys/stat.h>
#include <signal.h>
#include <errno.h>
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <stddef.h>
#include <unistd.h>
#include <seccomp.h>
#include <fcntl.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>
#include <sys/socket.h>
#include <dirent.h>
#include <linux/filter.h>
#include <ucontext.h>
extern int errno;
#define SECCOMP_REG(_ctx, _reg) ((_ctx)->uc_mcontext.gregs[(_reg)])
#define SECCOMP_RESULT(_ctx) SECCOMP_REG(_ctx, REG_RAX)
#define SECCOMP_SYSCALL(_ctx) SECCOMP_REG(_ctx, REG_RAX)
#define SECCOMP_IP(_ctx) SECCOMP_REG(_ctx, REG_RIP)
#define SECCOMP_PARM1(_ctx) SECCOMP_REG(_ctx, REG_RDI)
#define SECCOMP_PARM2(_ctx) SECCOMP_REG(_ctx, REG_RSI)
#define SECCOMP_PARM3(_ctx) SECCOMP_REG(_ctx, REG_RDX)
#define SECCOMP_PARM4(_ctx) SECCOMP_REG(_ctx, REG_R10)
#define SECCOMP_PARM5(_ctx) SECCOMP_REG(_ctx, REG_R8)
#define SECCOMP_PARM6(_ctx) SECCOMP_REG(_ctx, REG_R9)
static char fake[100] = "fake";
/*
* Catch violations so we see, which system call caused the problems
*/
static void catchViolation(int sig, siginfo_t* si, void* void_context)
{
int old_errno = errno;
printf("Attempted banned syscall number [%d] see doc/Seccomp.md for more information [%d]\n",
si->si_syscall, sig);
ucontext_t* ctx = (ucontext_t*)void_context;
// Just printing some registers for debugging
printf("RAX IS: %p\n", (void*)SECCOMP_RESULT(ctx));
printf("RIP IS: %p\n", (void*)SECCOMP_IP(ctx));
printf("RDI IS: %p\n", (void*)SECCOMP_PARM1(ctx));
printf("RSI IS: %p\n", (void*)SECCOMP_PARM2(ctx));
printf("RDX IS: %p\n", (void*)SECCOMP_PARM3(ctx));
printf("R10 IS: %p\n", (void*)SECCOMP_PARM4(ctx));
printf("R8 IS: %p\n", (void*)SECCOMP_PARM5(ctx));
printf("R9 IS: %p\n", (void*)SECCOMP_PARM6(ctx));
// Set register 4 to 0 according to ABI and set return value
// to fake address
SECCOMP_PARM4(ctx) = 0;
SECCOMP_RESULT(ctx) = (greg_t)fake;
printf("RAX After Change: %p\n", (void*)SECCOMP_RESULT(ctx));
errno = old_errno;
}
/*
* Setup error handling
*/
static void init_error_handling(){
struct sigaction sa = { .sa_sigaction = catchViolation, .sa_flags = SA_SIGINFO | SA_NODEFER };
if (sigaction(SIGSYS, &sa, NULL)){
printf("Failed to configure SIGSYS handler [%s]\n", strerror(errno));
}
}
void init_seccomp_filters(){
if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)) {
perror("Could not start seccomp:");
exit(1);
}
scmp_filter_ctx ctx;
ctx = seccomp_init(SCMP_ACT_TRAP);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(read), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(recvmsg), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(rt_sigreturn), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(fstat), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(lstat), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(writev), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(readlink), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(sendmsg), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(getppid), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit), 0);
seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit_group), 0);
if (seccomp_load(ctx)== -1) {
perror("Could not start seccomp:");
exit(1);
}
}
int main(){
init_error_handling();
init_seccomp_filters();
char dir[100] = "hello";
printf("CALL GETCWD\n");
char *t = getcwd(dir, 100);
printf("---------------------\n");
printf("PTR IS: %p\n", t);
printf("EXPECTED: %p\n", fake);
printf("Text is - %s\n", t);
exit(0);
}
Вывод в консоль
// SITUATION 1 RETURNING WRONG POINTER
CALL GETCWD
Attempted banned syscall number [79] see doc/Seccomp.md for more information [31]
RAX IS: 0x4f
RIP IS: 0x7f3c1dadff8a
RDI IS: 0x7fff983f8940
RSI IS: 0x64
RDX IS: 0x7f3c1dd9f760
R10 IS: 0x61c
R8 IS: 0x3
R9 IS: 0x410
RAX After Change: 0x563659aa70a0
---------------------
PTR IS: 0x7fff983f8940
EXPECTED: 0x563659aa70a0
Text is - hello
// SITUATION 2 RETURNING NULL
CALL GETCWD
Attempted banned syscall number [79] see doc/Seccomp.md for more information [31]
RAX IS: 0x4f
RIP IS: 0x7eff3372bf8a
RDI IS: 0x7ffce201d880
RSI IS: 0x64
RDX IS: 0x7eff339eb760
R10 IS: 0x61c
R8 IS: 0x3
R9 IS: 0x410
RAX After Change: 0x55fcab2c70a0
---------------------
PTR IS: (nil)
EXPECTED: 0x55fcab2c70a0
Text is - (null)