Linux内核漏洞调试环境搭建.doc

Linux内核漏洞调试环境搭建 一．前言 之前没怎么用过Linux，但是那天看到exploit-db上有不少Linux内核漏洞的POC。当时想如果可以请自动手调试一下这些漏洞，肯定会学到一些Linux下特定漏洞的利用技巧。（比如怎么利用空指针引用漏洞来进行本地提权）。所以就GOOGLE了很多关于Linux内核调试的文章，虽然一步一步老老实实照前人的指点的做，但是还是问题连着问题。反反复复的尝试，才历尽千心万苦搭建起了这个内核漏洞调试环境。在此过程中得到了广大网友的帮助，特别是wzt85和塞(他的ID为塞)这两位前辈的指点。既然取之于“网”,那我觉得应该把这个过程用文字描述出来放到网络上，与同道中人分享。 本文的第二部分将简单介绍目前Linux下内核调试的几种常用调试技术路线，由于我对Linux的了解确实不多，所以这一部分写的肯定会很不专业，但目的在于抛砖引玉——更专业的文章烦请自行GOOGLE。 本文的第三部分会详细介绍该调试环境的搭建过程，关键点会有截图说明。 本文的第四部分是一点补充性的文字。 二.Linux下内核调试技术路线 1.QEMU+GDB QEMU是一款开源的虚拟机软件，它自身带有gdb stub可用于和Host 主机上的GDB通信来对Guest主机的Linux内核进行源码(C代码)级调试。为实现源码级调试，那必须有调试信息以及符号表，所以首先从上下载一份Linux内核源代码进行编译。编译成功后会得到bzImage文件和vmlinux文件。其中vmlinux就是要供Host主机上的GDB进行调试的带有调试信息，符号表的内核文件。 使用这种方法试验环境的搭建比较简单，而且最吸引人的地方在于它能够实现源码级的调试。但是遗憾的是，这种方法调试不了漏洞。因为当Guest主机上的内核发生内存访问异常的时候，Host主机中的GDB根本得不到异常事件，这样一来也就无法获知是那条指令引发的异常，以及被访问的内存地址是什么。 一开始我觉得很不可思议，调试器都Attach到内核了，下段点神码的都毫无压力，为啥一个一个异常事件却捕获不到呢？后来查了些资料，并且特意到chinaunix上发了篇帖子询问高人才知道是为啥。原因就是当Linux内核中发生异常，特别是内存访问异常的时候，内核自己就把问题解决了，解决不了的话那就kill掉当前进程并且在日志文件里记录一些信息(比如触发异常的指令，函数调用栈)，如果问题实在严重就直接宕机。整个异常处理过程根本不会考虑内核调试器的存在与否。 所以这种方法对于调试内核漏洞来说肯定是不合适的，但是如果仅是单纯的希望通过动态调试手段来了解Linux内核的工作原理，个人还是强烈推荐这种方法的。 2.KDB KDB是SGI公司开发的一款内核级调试器，其强大的地方在于可以进行单机调试，但不能进行源码级调试。使用这种方法首先需要从/projects/kdb/上下载一份内核补丁包，然后对内核进行打补丁。打补丁的目的是为了能够当内核发生异常时，内核能够将控制权转交给KDB，而不是自己默默的解决。打好补丁后对内核进行编译即可。这种方法的具体实现步骤将在本文的第三部分将详细说明。 3.KGDB KGDB是一款源码级内核调试器，需要两台机器方可进行内核调试。对于老版本的Linux内核，使用KGDB同样需要先对内核打补丁。但是在较新的内核中，已经内置了KGDB，无须再打补丁了，只要在编译内核的时候在kernel hacking中选择相关选项即可。 对于2.6.32版本的内核，编译时注意选择以下选项即可 这种方法我也进行了尝试，但照着搜来的文章上面说的那样做并没有成功。由于后来wzt85给我的建议也是使用KDB，所以也就没有在深究失败的原因，而是集中精力去搞掂KDB。 三.使用KDB搭建调试环境 需要强调的是，KDB能够胜任单机调试内核的任务，只是我个人考虑如果调试内核漏洞时，把这种脏活交给虚拟机吧。 1.安装QEMU 命令: sudo apt-get install qemu 2.创建磁盘镜像 命令: qemu-img create -f qcow2 vlinux.img 8G 创建一个8G大小的名为vlinux.img的磁盘镜像，其格式为qcow2 3.给虚拟机安装操作系统 命令： qemu -hda vlinux.img -cdrom linux安装镜像文件路径 -boot d 虚拟机将从光盘镜像启动，安装操作系统即可。 4.下载Linux内核源码 从/pub/linux/kerne