神奇吧~~？

有图有真相

影音风暴

PPlive、搜狗输入法

骗你的， 其实是….

• 设置SCIM输入法默认输入状态为英文 (0)
• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 两部与linux有关的纪录片:《Revolution.OS》 《The Code Linux》 (3)
• Shell中的export & sh & source (0)
• linux界面优化，实现3D桌面，苹果主题。 (0)

2008期末课程小论文 之一

《linux使普通用户获得root权限的vmsplice系统调用漏洞分析》

vmsplice系统调用是linux内核2.6.17第一次引入的，随后被发现存在能让普通用户提升到root权限的漏洞。该漏洞影响的版本网络上笼统的说法是：2.6.17-2.6.24.1，实际上更确切的说是：2.6.17- 2.6.22.17，2.6.23-2.6.23.15 和 2.6.24-2.6.24.1.

关于这个漏洞，国内很少有人写过什么原创性的文章进行介绍，因为上研究生操作系统课的课程报告就是做这个，所以把它放上来。漏洞虽然已经补上，但学习其机理，还是比较有好处，有意思的。

一、预备知识

1. 本文的一些约定

这个颜色的代码来自攻击程序
这个颜色的代码来自内核
这个颜色表示重要的地方，或者安装程序逻辑，下一步要进入的函数
所提到的攻击代码是本文附带的exp.c

2. vmsplice()介绍

原型：long vmsplice(int fd, const struct iovec *iov, unsigned long nr_segs, unsigned int flags);
其中：

struct iovec
{
void __user *iov_base;
__kernel_size_t iov_len;
};

这个系统调用将用户空间的内存映射到内核空间，从而避免了实际的内存写操作，提高了系统效率。这个功能的是主要是通过fs/splice.c的do_vmsplice()来实现。

3. 有关Page的常量

#define PAGE_SHIFT 12
#define PAGE_SIZE (1UL << PAGE_SHIFT)
/*1UL：32位的unsigned int 1，左移12位，PAGE_SIZE=0×1000*/
#define PAGE_MASK (~(PAGE_SIZE-1))
/*PAGE_MASK=0×000*/

二、Splice系统调用漏洞考古

2006 Jun 18
在发布的Linux kernel 2.6.17中引入vmsplice()，用于提高性能。
没有人知道，对应的fs/splice.c中的get_iovec_page_array()函数存在漏洞。

2007 Oct 09
在发布的Linux kernel 2.6.23 中
加入了vmsplice_to_user()函数和copy_from_user_mmap_sem()函数,也存在同样的漏洞。

2007 Dec 03
ID为CVE-2008-0009和CVE-2008-0010的漏洞报告被提交到CVE。
分别指出vmsplice_to_user()和copy_from_user_mmap_sem()存在这个漏洞。
但这两份报告有个错误：这两个漏洞存在于2.6.23-2.6.24而不是报告里说的2.6.22-2.6.24,因为这两个函数是在2.6.23里正式被加进来的。

2008 Feb 05
ID为CVE-2008-0600的漏洞报告被提交到CVE
指出:

The vmsplice_to_pipe function in Linux kernel 2.6.17 through 2.6.24.1 does not validate a certain userspace pointer before dereference, which allows local users to gain root privileges via crafted arguments in a vmsplice system call, a different vulnerability than CVE-2008-0009 and CVE-2008-0010.

事实上，问题出在get_iovec_page_array()函数。但因为get_iovec_page_array()函数只被vmsplice_to_pipe()调用，数据参数都来自vmsplice_to_pipe()，所以，get_iovec_page_array()没有验证用户数据的合法性也可以被认为vmsplice_to_pipe()没有验证用户数据的合法性。

2008 Feb 08
在发布的Linux kernel 2.6.24.1和2.6.23.15补丁中补上了CVE-2008-0009和CVE-2008-0010提到这个这两个漏洞。

2008 Feb 09
ID为qaaz的Geek在milw0rm上公布了两个对应的POC代码，第一个是针对vmsplice_to_user()函数和copy_from_user_mmap_sem()函数的，另外一个是针对get_iovec_page_array()函数，

2008 Feb 11
在发布的Linux kernel 2.6.24.2 、2.6.23.16和 2.6.22.18补丁中补上了get_iovec_page_array()函数的漏洞。

三、漏洞攻击效果

攻击成功

打了补丁的2.6.24.2就攻击不成功了

四、漏洞攻击真实案例

This bug is being actively exploited in the wild — our server was just broken in to by an attacker using it. (They got a user’s password by previously compromising a machine somewhere else where that user had an account, and installed a modified ssh binary on it to record user names and passwords. Then they logged in to our site as that user, exploited CVE-2008-0010, and became root).

五、the vmsplice() exploit story

1. 整个过程可以概括为下图：

Online view: http://share.xmind.net/shidelai/vmsplice-loopholes-in-the-success-of-the-attack-1/

2. 攻击程序做了如下六件事情

1)定义 kernel_code()
这个函数会修改当前用户的udi和gid，所有者一切的目的就是让内核执行这个函数。

2)定义了pages[5]，其中：

proc_pages[0]->flags = 1 << PG_compound;
proc_pages[0]->private = (unsigned long) proc_pages[0];
proc_pages[0]->count = 1;

这是为了把这个proc_page伪装成compound page，保证内核执行到/mm/Swap.c的

void put_page(struct page *page)
{
if (unlikely(PageCompound(page)))
put_compound_page(page);
else if (put_page_testzero(page))
__page_cache_release(page);
}

时候，内核进入put_compound_page(page);

proc_pages[1]->lru.next = (long) kernel_code;

内核执行到/mm/Swap.c的

static void put_compound_page(struct page *page)
{
….
dtor = get_compound_page_dtor(page);
(*dtor)(page);
}

的时候，get_compound_page_dtor会返回proc_pages[1]->lru.next。这样，kernel_code()就被内核执行了。

3)将proc_pages[0] mmap到0×0 address
到时候内核被骗执行0地址第二个page的lru.next指向的函数时候，实际上执行的就是这里定义的proc_pages[1]->lru.next所指向的kernel_code()。

4)close(pi[0]); close pipe_read，当内核执行到/fs/Splice.c的splice_to_pipe()

for (;;) {
if (!pipe->readers) {
send_sig(SIGPIPE, current, 0);
if (!ret)
ret = -EPIPE;
break;
}
…
}
…
while (page_nr < spd_pages)
page_cache_release(spd->pages[page_nr++]);

时候，if判断会返回真，于是跳出for循环，于是导致page_cache_release(spd->pages[page_nr++]);被执行。

5)iov.iov_len = ULONG_MAX;
iov.iov_len等于32个1。这个是关键，它保证了内核中数值溢出，结果将内核骗到攻击程序设定的page上来。

6)_vmsplice(pi[1], &iov, 1, 0);
执行vmsplice系统调用。

3. 内核代码执行细节

1)执行_vmsplice(pi[1], &iov, 1, 0);后，/fs/Splice.c中的

long sys_vmsplice(int fd, const struct iovec __user *iov, unsigned long nr_segs, unsigned int flags)
{
…
if (file->f_mode & FMODE_WRITE)//往管道写
error = vmsplice_to_pipe(file, iov, nr_segs, flags);
…
}

被调用。
2)接着内核进入/fs/Splice.c中的

static long vmsplice_to_pipe(struct file *file, const struct iovec __user *iov,
unsigned long nr_segs, unsigned int flags)
{
struct pipe_inode_info *pipe;
struct page *pages[PIPE_BUFFERS]; //请注意这里
struct partial_page partial[PIPE_BUFFERS]; //#define PIPE_BUFFERS (16) //请注意这里
struct splice_pipe_desc spd = {//请注意这里
.pages = pages,
.partial = partial,
.flags = flags,
.ops = &user_page_pipe_buf_ops,
};
…
spd.nr_pages = get_iovec_page_array(iov, nr_segs, pages, partial,
flags & SPLICE_F_GIFT);
…
return splice_to_pipe(pipe, &spd);
}

3)接着内核进入/fs/Splice.c中的

static int get_iovec_page_array(const struct iovec __user *iov,
unsigned int nr_vecs, struct page **pages,
struct partial_page *partial, int aligned)
{
……

if (copy_from_user_mmap_sem(&entry, iov, sizeof(entry))) //entry = iov
break;
base = entry.iov_base;//内核缓冲区基地址
len = entry.iov_len;//长度
……
npages = (off + len + PAGE_SIZE – 1) >> PAGE_SHIFT;
// npages = （0+ 32个1 + 1后面12个0 – 1 ）>> PAGE_SHIFT = （32个1 + 1 -1 + 1后面12个0 – 1）>> PAGE_SHIFT =0
if (npages > PIPE_BUFFERS – buffers)
npages = PIPE_BUFFERS – buffers;
error = get_user_pages(current, current->mm,
(unsigned long) base, npages, 0, 0,
&pages[buffers], NULL);
……
}

4) 于是内核进入/mm/Memory.c中的

int get_user_pages(struct task_struct *tsk, struct mm_struct *mm,
unsigned long start, int len, int write, int force,
struct page **pages, struct vm_area_struct **vmas)
{
……
do {
……
i++;
start += PAGE_SIZE;
len–;
continue;
}
do {
……
i++;
start += PAGE_SIZE;
len–;
} while (len && start < vma->vm_end);
} while (len);
return i;
}

len这里已经是int型了，而不是ulong int，len从0被减到-32768(0xf0000000)再减1变成+32767(0x7fffffff)，最终返回i=46。

5) 然后i返回给/fs/Splice.c中的

static int get_iovec_page_array(const struct iovec __user *iov,
unsigned int nr_vecs, struct page **pages,
struct partial_page *partial, int aligned)
{
……
error = get_user_pages(current, current->mm,
(unsigned long) base, npages, 0, 0,
&pages[buffers], NULL);
//error = 46
……
for (i = 0; i < error; i++) {
const int plen = min_t(size_t, len, PAGE_SIZE – off);
partial[buffers].offset = off;
partial[buffers].len = plen;
off = 0;
len -= plen;
buffers++;
}
……
}

在这个for循环中，partial[]数组大小是16，而循环确循环了46次，所以，溢出了。比partial先定义的pages[]指针数组被0覆盖。

6) 接着，函数返回到/fs/Splice.c的

static long vmsplice_to_pipe(struct file *file, const struct iovec __user *iov,
unsigned long nr_segs, unsigned int flags)
{
……
spd.nr_pages = get_iovec_page_array(iov, nr_segs, pages, partial,
flags & SPLICE_F_GIFT);
……
return splice_to_pipe(pipe, &spd);
}

7) 进入/fs/Splice.c的

ssize_t splice_to_pipe(struct pipe_inode_info *pipe,
struct splice_pipe_desc *spd)
{
……
for (;;) {
if (!pipe->readers) {
send_sig(SIGPIPE, current, 0);
if (!ret)
ret = -EPIPE;
break;
}
…….
}
……
while (page_nr < spd_pages)
page_cache_release(spd->pages[page_nr++]);
return ret;
}

因为之前提到的pipe的读已经被关掉了，所以从for循环跳出。内核执行进入page_cache_release(spd->pages[page_nr++]);
请注意：这里的spd->pages就是之前被溢出被0覆盖的pages[]指针数组。

8)由于

#define page_cache_release(page) put_page(page)

9) 于是进入了/mm/Swap.c中的

void put_page(struct page *page)
{
if (unlikely(PageCompound(page)))
put_compound_page(page);
else if (put_page_testzero(page))
__page_cache_release(page);
}

由于之前提到的，攻击程序已经将其已经被mmap到0地址空间的proc_pages[]伪装成compound page，所以，这里if判断后

10)内核进入同在/mm/Swap.c 的

static void put_compound_page(struct page *page)
{
page = compound_head(page);
if (put_page_testzero(page)) {
compound_page_dtor *dtor;
dtor = get_compound_page_dtor(page);
(*dtor)(page);
}
}

11)再进入/include/linux/Mm.h中的

static inline compound_page_dtor *get_compound_page_dtor(struct page *page)
{
return (compound_page_dtor *)page[1].lru.next;
}

OK，到此，proc_pages[1].lru.next所指向的函数指针也即kernel_code()函数指针返回给dtor，随后(*dtor)(page);执行了这个函数，于是，攻击成功。

• 设置SCIM输入法默认输入状态为英文 (0)
• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 两部与linux有关的纪录片:《Revolution.OS》 《The Code Linux》 (3)
• Shell中的export & sh & source (0)
• linux界面优化，实现3D桌面，苹果主题。 (0)

1. 当进程创建一个字进程时候，父进程并不会将普通变量的值传递给它的子进程。

而export就是解决这个问题用的。在父进程中export A 后，在子进程中就可以使用变量A了。

2. sh+脚本：重新建立一个子shell执行脚本里面的语句，该子shell继承父shell的变量，但子shell新建的、改变的变量不会被带回父shell，除非使用export。

可以这么理解：打开一个终端程序 = sh = 执行bash命令

3. source+脚本：这个命令其实只是简单地读取脚本里面的语句依次在当前shell里面执行，没有建立新的子shell。那么脚本里面所有新建、改变变量的语句都会保存在当前shell里面。

所以，假设one.sh里面的内容是：export test=123 ；two.sh里面的内容是：test=123 。

那么，sh ./one.sh 在效果上等同于 source two.sh

• 7个例子快速入门shell通配符 (0)
• 通过例子学shell文件访问权限管理 (0)
• 设置SCIM输入法默认输入状态为英文 (0)
• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 同时使用中文和英文man(shell帮助) (0)

[]
可以理解为一个字符，与？的区别是[]里面的内容限定了这个字符的范围
例子2：
[Cc]hange[Ll]og
将与 Changelog、ChangeLog、changeLog 以及 changelog 匹配。在需要大小写匹配的时候，使用括弧通配符很有用。
例子3：
ls /etc/[0-9]* 将列出 /etc 中以数字开头的所有文件。
ls /tmp/[A-Za-z]* 将列出 /tmp 中以大写字母或小写字母开头的所有文件。

[!]
例子4：
rm myfile[!9] 将删除除myfile9 之外的名为 myfile 加一个字符的所有文件。

‘’单引号
例子5：
echo ‘[fo]*’ > newfile.txt  创建了包含字符串[fo]*的文件。
如果echo [fo]* > newfile.txt 则 newfile.txt 里面不会有任何东西
例子6：
如果用户目录下有12* 12333这么两个文件，那么
rm 12* 会删除12＊ 和 12333
rm ‘12＊’ 则只会删除12＊
总结：用引号引起来则说明引号里面的是纯字符串无须进行通配符的相关处理

\
功能与单引号类似，
例子7：
rm 12\＊ 则只会删除12＊，这里\代表起后面的字符是纯字符没有其他意思，这与C 语言里面的转义字符类似的。很自然的，如果要表示字符\，你必须使用\\。

• 通过例子学shell文件访问权限管理 (0)
• Shell中的export & sh & source (0)
• 设置SCIM输入法默认输入状态为英文 (0)
• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 复试结束 (2)

• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 同时使用中文和英文man(shell帮助) (0)
• 两部与linux有关的纪录片:《Revolution.OS》 《The Code Linux》 (3)
• Shell中的export & sh & source (0)
• linux界面优化，实现3D桌面，苹果主题。 (0)

台湾某人已经写得非常好了。

另，推荐使用这个主题：http://compiz-themes.org/CONTENT/content-files/26050-Blendedx4.tar.bz2
下载后，右击桌面选最后一项[chang…..］在Appearance Preferences里面点install安装，选择刚才下载的这个东西就OK 了，无须解压。

最终效果：

• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 设置SCIM输入法默认输入状态为英文 (0)
• 我眼中的年底五部大片 (0)
• 从ubuntu发行版代号到野生动物保护 (0)
• 两部与linux有关的纪录片:《Revolution.OS》 《The Code Linux》 (3)

用户配置文件
————
“/etc/”目录下的所有文件，只有root用户才有修改权限。应用软件的全局配置文件，普通用户也不能够修改，如果您想配置软件，以适应您的需求，您可以修改它的用户配置文件。

用户配置文件通常为全局配置文件的同名隐藏文件，放在您的$HOME目录下，例如：
/etc/inputrc /home/user/.inputrc
/etc/vim/vimrc /home/user/.vim/vimrc
也有少数例外，通常是系统程序
/etc/bash.bashrc /home/user/.bashrc

——————————————————————————————————————

acpi-support 高级电源管理支持
acpid acpi守护程序.这两个用于电源管理，非常重要
alsa 声音子系统
alsa-utils
anacron cron的子系统，将系统关闭期间的计划任务，在下一次系统运行时执行。
apmd acpi的扩展
atd 类似于cron的任务调度系统。建议关闭
binfmt-support 核心支持其他二进制的文件格式。建议开启
bluez-utiles 蓝牙设备支持
bootlogd 启动日志。开启它
cron 任务调度系统，建议开启
cupsys 打印机子系统。
dbus 消息总线系统(message bus system)。非常重要
dns-clean 使用拨号连接时，清除dns信息。
evms 企业卷管理系统（Enterprise Volumn Management system）
fetchmail 邮件用户代理，用于收取邮件
gdm gnome登录和桌面管理器。
gdomap
gpm 终端中的鼠标支持。
halt 别动它。
hdparm 调整硬盘的脚本，配置文件为“/etc/hdparm.conf”。
hibernate 系统休眠
hotkey-setup 笔记本功能键支持。支持类型包括： HP, Acer, ASUS, Sony, Dell,和IBM。
hotplug andhotplug-net 即插即用支持，比较复杂，建议不要动它。
hplip HP打印机和图形子系统
ifrename 网络接口重命名脚本。如果您有十块网卡，您应该开启它
inetd 在文件“/etc/inetd.conf”中，注释掉所有你不需要的服务。如果该文件不包含任何服务，那关闭它是很安全的。
klogd 重要。
linux-restricted-modules-common 受限模块支持。“/lib/linux-restricted-modules/”文件夹中的模块为受限模块。
例如某些驱动程序，如果您没有使用受限模块，就不需要开启它。
lvm 逻辑卷管理系统支持。
makedev 创建设备文件，非常重要。
mdamd 磁盘阵列
module-init-tools 从/etc/modules加载扩展模块，建议开启。
networking 网络支持。按“/etc/network/interfaces”文件预设激活网络，非常重要。
ntpdate 时间同步服务，建议关闭。
pcmcia pcmcia设备支持。
powernowd 移动CPU节能支持
ppp andppp-dns 拨号连接
readahead 预加载库文件。
reboot 别动它。
resolvconf 自动配置DNS
rmnologin 清除nologin
rsync rsync守护程序
sendsigs 在重启和关机期间发送信号
single 激活单用户模式
ssh ssh守护程序。建议开启
stop-bootlogd 在2，3，4，5运行级别中停止bootlogd服务
sudo 检查sudo状态。重要
sysklogd 系统日志
udev & udev-mab用户空间dev文件系统（userspace dev filesystem）。重要
umountfs 卸载文件系统
urandom 随机数生成器
usplash 开机画面支持
vbesave 显卡BIOS配置工具。保存显卡的状态
xorg-common 设置X服务ICEsocket。
adjtimex 调整核心时钟的工具
dirmngr 证书列表管理工具,和gnupg一起工作。
hwtools irqs优化工具
libpam-devperm 系统崩溃之后，用于修理设备文件许可的守护程序。
lm-sensors 板载传感器支持
mdadm-raid 磁盘陈列管理器
screen-cleanup 清除开机屏幕的脚本
xinetd 管理其他守护进程的一个inetd超级守护程序

• 设置SCIM输入法默认输入状态为英文 (0)
• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 两部与linux有关的纪录片:《Revolution.OS》 《The Code Linux》 (3)
• Shell中的export & sh & source (0)
• linux界面优化，实现3D桌面，苹果主题。 (0)

速度很快!
这里也可以下载。
http://lib.verycd.com/2005/08/16/0000061272.html

• 设置SCIM输入法默认输入状态为英文 (0)
• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• Shell中的export & sh & source (0)
• linux界面优化，实现3D桌面，苹果主题。 (0)
• linux常见配置文件&常见服务对照表 (0)

由于linux对文件的管理有非常严格的机制,使得不能对当前用户没有权限的文件夹文件进行操作.所以想通过windows那样左键拖到目的文件夹上放开进行复制是不可以的(除非是HomeFolder这个相当于windows里面我的文档这个文件夹下面).

我目前所知:复制移动操作3个方法.

1.sudo nautilus 以root身份打开文件管理器

2.sudo cp源文件位置目标文件位置 (移动cp改成mv)

3. 试试鼠标中键拉一个文件去另外一个地方。

有个技巧:敲好sudocp后把要复制的文件或文件夹用左键拉到控制台窗口既可,会自动填写.

文件的打包和解包

解tar包

例：tar -xvzf gaim-0.77.tar.gz

tar-jxvf XXX.tar.bz2

生成tar包

例：tar cvf – /etc | gzip-9c > backup.tar.gz

生成rar包3

rara test.rar file1.txt

rara test.rar dir1

解rar包

rarx test.rar

解zip 包

unzip lumaqq_p3.zip

挂装一个iso 文件

mout -t iso9660 -o loop,iocharset=cp936 /data/myarc.iso/mnt/iso

除iso文件外，其他各类型压缩包均可以在图形界面下使用“压缩工具”进行管理。卸装iso文件

umout /mnt/iso

生成一个iso 文件

cp/dev/cdrom /home/gsh/TomJerry1.iso

• linux界面优化，实现3D桌面，苹果主题。 (0)
• 设置SCIM输入法默认输入状态为英文 (0)
• 从ubuntu发行版代号到野生动物保护 (0)
• 两部与linux有关的纪录片:《Revolution.OS》 《The Code Linux》 (3)
• Shell中的export & sh & source (0)