seccomp systemcall陷阱函数中的指针返回值

Question

我试图为不同的系统调用实现陷阱功能。 目标是，代理将执行它们然后返回结果。 因此客户端不会自己执行命令。

Seccomp提供了实现这一目标的能力：

我做了什么？

1. 初始化信号处理程序vor SIGSYS信号。
2. 使用Action SCMP_ACT_TRAP初始化了一个seccomp过滤器。
3. 等待SA_SIGINFO信号。
4. 修改生成的系统调用的返回值。

一般来说，这种方法有效。 它也可以在铬项目和mozilla中使用。

问题

更改系统调用的返回值，返回像open作品一样完美无缺的整数。更改返回指针的函数的返回值不起作用（例如getcwd）。

不知何故，只返回第一个参数，即使并非在所有情况下也是如此。 有时会返回NULL。

我还尝试了什么

我还使用ptrace创建了一个工作示例。 ptrace解决方案通过将指令指针更改为另一个用户空间函数并修改返回调用来拦截系统调用。 该解决方案有效，但由于在后台使用了ptrace，因此有点hacky而不是首选。

示例代码

这是代码的简约分解。

#define _GNU_SOURCE
#include <stdio.h>
#include <sys/stat.h>
#include <signal.h>
#include <errno.h>
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
#include <stddef.h>
#include <unistd.h>
#include <seccomp.h>
#include <fcntl.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>
#include <sys/socket.h>
#include <dirent.h>
#include <linux/filter.h>
#include <ucontext.h>

extern int errno;


#define SECCOMP_REG(_ctx, _reg) ((_ctx)->uc_mcontext.gregs[(_reg)])
#define SECCOMP_RESULT(_ctx)    SECCOMP_REG(_ctx, REG_RAX)
#define SECCOMP_SYSCALL(_ctx)   SECCOMP_REG(_ctx, REG_RAX)
#define SECCOMP_IP(_ctx)        SECCOMP_REG(_ctx, REG_RIP)
#define SECCOMP_PARM1(_ctx)     SECCOMP_REG(_ctx, REG_RDI)
#define SECCOMP_PARM2(_ctx)     SECCOMP_REG(_ctx, REG_RSI)
#define SECCOMP_PARM3(_ctx)     SECCOMP_REG(_ctx, REG_RDX)
#define SECCOMP_PARM4(_ctx)     SECCOMP_REG(_ctx, REG_R10)
#define SECCOMP_PARM5(_ctx)     SECCOMP_REG(_ctx, REG_R8)
#define SECCOMP_PARM6(_ctx)     SECCOMP_REG(_ctx, REG_R9)


static char fake[100] = "fake";

/*
* Catch violations so we see, which system call caused the problems
*/
static void catchViolation(int sig, siginfo_t* si, void* void_context)
{
    int old_errno = errno;

    printf("Attempted banned syscall number [%d] see doc/Seccomp.md for more information [%d]\n",
           si->si_syscall, sig);

    ucontext_t* ctx = (ucontext_t*)void_context;

    // Just printing some registers for debugging
    printf("RAX IS: %p\n", (void*)SECCOMP_RESULT(ctx));
    printf("RIP IS: %p\n", (void*)SECCOMP_IP(ctx));
    printf("RDI IS: %p\n", (void*)SECCOMP_PARM1(ctx));
    printf("RSI IS: %p\n", (void*)SECCOMP_PARM2(ctx));
    printf("RDX IS: %p\n", (void*)SECCOMP_PARM3(ctx));
    printf("R10 IS: %p\n", (void*)SECCOMP_PARM4(ctx));
    printf("R8 IS: %p\n", (void*)SECCOMP_PARM5(ctx));
    printf("R9 IS: %p\n", (void*)SECCOMP_PARM6(ctx));

    // Set register 4 to 0 according to ABI and set return value
    // to fake address
    SECCOMP_PARM4(ctx) = 0;
    SECCOMP_RESULT(ctx) = (greg_t)fake;

    printf("RAX After Change: %p\n", (void*)SECCOMP_RESULT(ctx));

    errno = old_errno;
}

/*
* Setup error handling
*/
static void init_error_handling(){
    struct sigaction sa = { .sa_sigaction = catchViolation, .sa_flags = SA_SIGINFO | SA_NODEFER };
    if (sigaction(SIGSYS, &sa, NULL)){
        printf("Failed to configure SIGSYS handler [%s]\n", strerror(errno));
    }
}


void init_seccomp_filters(){
    if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)) {
        perror("Could not start seccomp:");
        exit(1);
    }

    scmp_filter_ctx ctx;
    ctx = seccomp_init(SCMP_ACT_TRAP);

    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(read), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(recvmsg), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(rt_sigreturn), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(fstat), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(lstat), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(writev), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(readlink), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(sendmsg), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(getppid), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit_group), 0);

    if (seccomp_load(ctx)== -1) {
        perror("Could not start seccomp:");
        exit(1);
    }
}


int main(){
    init_error_handling();
    init_seccomp_filters();

    char dir[100] = "hello";

    printf("CALL GETCWD\n");
    char *t = getcwd(dir, 100);

    printf("---------------------\n");
    printf("PTR IS: %p\n", t);
    printf("EXPECTED: %p\n", fake);
    printf("Text is - %s\n", t);

    exit(0);
}

控制台输出

// SITUATION 1 RETURNING WRONG POINTER
CALL GETCWD
Attempted banned syscall number [79] see doc/Seccomp.md for more information [31]
RAX IS: 0x4f
RIP IS: 0x7f3c1dadff8a
RDI IS: 0x7fff983f8940
RSI IS: 0x64
RDX IS: 0x7f3c1dd9f760
R10 IS: 0x61c
R8 IS: 0x3
R9 IS: 0x410
RAX After Change: 0x563659aa70a0
---------------------
PTR IS: 0x7fff983f8940
EXPECTED: 0x563659aa70a0
Text is - hello

// SITUATION 2 RETURNING NULL
CALL GETCWD
Attempted banned syscall number [79] see doc/Seccomp.md for more information [31]
RAX IS: 0x4f
RIP IS: 0x7eff3372bf8a
RDI IS: 0x7ffce201d880
RSI IS: 0x64
RDX IS: 0x7eff339eb760
R10 IS: 0x61c
R8 IS: 0x3
R9 IS: 0x410
RAX After Change: 0x55fcab2c70a0
---------------------
PTR IS: (nil)
EXPECTED: 0x55fcab2c70a0
Text is - (null)

Answer 1

AFAIK，你需要这个 What are the return values of system calls in Assembly?

这只是 Linux 系统调用转换，从 -1 到 -4096 的任何返回值都被视为 errno。

此外，请参阅此处https://code.woboq.org/userspace/glibc/sysdeps/unix/sysv/linux/hppa/syscall.c.html

  if ((unsigned long int) __sys_res >= (unsigned long int) -4095)
    {
      __set_errno (-__sys_res);
      __sys_res = -1;
    }
  return __sys_res;

另外，我很好奇你的 fake 指针为什么这么大？

PS：不要声明errno，它是在系统头文件中定义的，通常是作为宏定义的。

对于 getcwd，这个 Linux 系统调用不返回一个指针，它被定义为这个 int __getcwd(char* buf, size_t size)