要闻

【技术分享】dirtycow学习与调试记录函数操作文件

陆挺 2025-10-30 09:03:35

每经编辑｜陈雅彤

当地时间2025-10-30,911八卦最新爆料在线

在浩瀚的Linux内核世界中，总有一些“小”漏洞，却能掀起惊涛骇浪。DirtyCOW（CVE-2016-5195）无疑是其中的佼佼者。这个看似不起眼的文件写時复制（Copy-on-Write，COW）机制的缺陷，却在2016年引起了安全界的广泛关注，因为它允许低权限用户获得root权限，可谓是“麻雀虽小，五脏俱全”的典型。

今天，我们就来一次深入的“解剖”，从函数、操作到文件，一步步揭開DirtyCOW的面纱，并分享一些调试的心得。

揭開COW的神秘面纱：它是如何工作的？

在深入DirtyCOW之前，我们必须先理解Linux内核中的写时復制（COW）機制。COW是一种优化内存使用的技术。当一个進程需要复制一个内存區域（例如fork()系统调用时），内核并不会立即将数据复制到新的内存空间。相反，它會为新进程分配与原進程共享的物理内存页面。

只有当其中一个进程试图修改这个共享内存页面時，内核才会创建一个页面的副本，并将修改限制在副本上，原有的页面则不受影响。这种“懒加载”式的复制，极大地提高了内存利用率和进程创建的效率。

DirtyCOW的“脏”在哪里？

DirtyCOW漏洞的核心，就在于对COW机制的误用和竞态条件。简单来说，当一个進程修改一个写时复制的内存页面時，原本应该触發内核创建副本的操作，在特定时序下出现了偏差。如果攻击者能够在一个进程写入共享页面之前，抢先完成对该页面的修改，那么修改就會直接應用到原始页面上，而不是副本，从而绕过了COW的保护，实现了任意文件写入。

关键函数与流程：深入内核的旅程

要理解DirtyCOW的exploit，离不开对几个关键内核函数的深入分析。其中，__do_fault()函数是重中之重。這个函数负责处理缺页异常（pagefault）。当CPU访问一个不存在于物理内存中的虚拟地址時，就会触發缺页异常，内核会调用__do_fault()来解决这个问题。

在DirtyCOW的场景下，攻击者会利用madvise(MADV_DONTNEED)和msync()等系统调用，配合文件映射（mmap）和写操作，试图在内核准备为写入操作创建页面副本的过程中，通过一系列的内存操作和文件描述符的切换，制造一个竞态条件。

具體的流程大致是这样的：

内存映射与写入准备:攻击者首先通过mmap将一个目标文件映射到進程的地址空间。然后，尝试对映射的内存区域进行写入。触發缺页异常:在写入过程中，如果对應的物理页面尚未被分配，或者由于其他原因触發了缺页异常，就会调用__do_fault()。

COW机制的介入:__do_fault()会检查当前内存页面的权限和共享属性。如果是一个写時复制的页面，并且是可写操作，理论上應该触发页面復制。竞态窗口的出现:攻击者利用pagemap文件（/proc/self/pagemap）等工具，精确地控制内存页面的状态。

他们会在内核准备执行页面复制的微妙時刻，通过对/proc/self/pagemap的写入操作，强行修改目标文件的底层物理页面。“脏”数据的诞生:一旦竞态条件成功，攻击者写入的数据就会直接覆盖目标文件的底层页面，绕过了COW机制的隔离。

此时，原本只应修改副本的写操作，却“脏”染了共享的原始页面。

调试的艺術：拨开迷雾的利器

调试DirtyCOW這样的内核漏洞，绝对是一场与时间的赛跑，更是对耐心和细致的终极考验。GDB+QEMU组合是内核调试的黄金搭档。通过QEMU模拟目标Linux环境，并在GDB中连接到QEMU的内核進程，我们可以像调试用户态程序一样，在内核代码中设置断点、单步执行、查看寄存器和内存。

在调试DirtyCOW時，我们往往需要关注以下几个关键点：

__do_fault()的执行路径:在__do_fault()函数中，仔细跟踪页面的flags、vma（virtualmemoryarea）的属性，以及pte（pagetableentry）的变化，是理解漏洞發生机制的关键。

内存页面的引用计数:关注页面引用计数（refcount）的变化，可以帮助我们理解在竞态条件下，页面是被错误地共享还是被不当释放。mmap和msync的行為:观察这两个系统调用在不同场景下的參数和返回值，以及它们对内存映射区域和文件状态的影响。

pagemap文件的交互:理解/proc/self/pagemap如何反映物理内存页面的状态，以及如何利用它来观察或干预页面的復制过程。

调试过程中，我们可能会遇到各种挑战，例如：

巨量的日志:内核日志信息庞杂，需要有针对性地过滤和分析。精确的时序控制:竞态条件往往发生在一瞬间，想要稳定复现需要反復尝试和精细调整。内核版本的差异:不同版本的内核，__do_fault()的实现细节可能有所不同，需要针对具體版本進行分析。

每一次成功的断点命中，每一次对变量的精准追踪，都如同在黑暗中点亮一盏灯，讓我们离真相更近一步。通过不断的尝试和迭代，我们才能逐渐构建起对DirtyCOW漏洞的全面认识。

在第一部分，我们初步了解了DirtyCOW漏洞的背景，它与Linux内核的写時复制（COW）機制息息相关，并且深入探讨了关键的内核函数，特别是__do_fault()在漏洞触發过程中的作用。我们也简要介绍了使用GDB+QEMU进行内核调试的思路。

现在，我们将继续深入，聚焦于具体的函数操作、文件交互以及更精细的调试技巧，力求为读者呈现一个更立體、更具操作性的DirtyCOW学習图景。

精细函数操作：深入page_mkwrite与do_wp_page

除了__do_fault()，在DirtyCOW的exploit中，还有几个函数扮演着至关重要的角色。当__do_fault()确定需要进行写操作，并且需要创建一个页面的副本時，它会调用handle_mm_fault()，而handle_mm_fault()最终會导向page_mkwrite()。

page_mkwrite()的主要职責是确保页面是可写的，并且如果需要，会尝试分配新的页面。

在page_mkwrite()中，会涉及到do_wp_page()函数。do_wp_page()是COW机制中处理写保护页面的核心函数。当一个进程试图写入一个被标记为写保护的页面时，do_wp_page()會被调用。它的任务是：

检查页面是否是共享的:如果页面是共享的，那么就需要進行复制。分配新页面:分配一个新的物理页面。复制页面内容:将原页面内容復制到新页面。更新页表:修改页表，将進程的虚拟地址指向新分配的页面，并设置相应的權限。释放原页面(如果不再被共享):如果原页面不再被其他進程共享，则将其释放。

DirtyCOW漏洞的精妙之处在于，它利用了page_mkwrite()和do_wp_page()在处理写操作时的竞态。攻击者通过快速地重复执行写操作，并结合其他内存操作（例如madvise(MADV_FREE)），试图让内核在准备复制页面時，出现一个短暂的窗口。

在这个窗口内，如果攻击者能够通过某种方式（通常是利用pagemap文件）直接修改底层物理页面的数据，那么这个“脏”数据就可能被错误地應用到原始页面上，而不是新复制的副本。

文件操作的艺術：pagemap的双刃剑

在DirtyCOW的exploit中，/proc/self/pagemap文件扮演着一个非常特殊的角色。它允许用户空间程序直接读取和修改内核内存页面的物理地址信息。通过pagemap，攻击者可以：

判断页面状态:检查一个虚拟地址对应的物理页面是否存在，是否已经被分配，以及它的属性。获取物理地址:找到目标文件的特定内存页面在物理内存中的地址。直接修改页面:在竞态窗口中，通过向pagemap写入特定数据，直接修改物理页面的内容。

这就像给攻击者打開了一扇“后门”，绕过了正常的内存访问和修改流程。攻击者利用pagemap的强大能力，可以在内核尚未完成COW复制和写保护处理之前，将恶意数据“塞”入目标文件的底层页面。

pagemap的使用也并非易事。它要求对内存管理和物理地址有深入的理解。更重要的是，通过pagemap直接修改内存极其危险，稍有不慎就可能导致系统崩溃或数据损坏。这充分體现了DirtyCOW漏洞的“力量”与“危险”并存的特点。

调试的進阶：断点、日志与反汇编的交响曲

随着对漏洞机制理解的深入，我们的调试策略也需要随之升级。

条件断点:针对__do_fault()、page_mkwrite()或do_wp_page()，设置条件断点。例如，只在特定虚拟地址范围或特定标志位满足时才触發断点。这可以极大地减少不必要的断点命中，将我们的注意力集中在关键時刻。日志记录:在关键函数入口和出口处，添加临時的printk语句，记录重要的变量值，如pte、vma、flags等。

虽然這需要重新编译内核，但却是理解函数内部逻辑最直接有效的方法。反汇编视图:当我们不确定某个C代码片段在汇编层面是如何实现的，或者怀疑编译器优化导致了意想不到的行為時，GDB的反汇编视图（disassemble）就成了我们的利器。通过对照汇编指令，我们可以更准确地理解CPU的执行流程。

内存视图:使用GDB的x命令（examine）来查看内存区域的内容。这对于理解文件内容、内存结构以及漏洞触發時的内存状态至关重要。追踪特定文件描述符:在调试过程中，需要追踪与pagemap文件交互的文件描述符，以及与目标文件映射相关的structfile和structvm_area_struct，以便更清晰地把握数据流向。