概述
mmap&mprotect
最近做了一道题, 竟然不让用system和execve, 让用mmap 和 mprotect来解决。可是身为小白萌新的我,对此一脸懵逼, 查阅相关内容和文档, 写下这篇博客, 用来回顾和分享。
mmap函数
-
头文件: <sys/mman.h>
-
函数原型:
void* mmap(void* start,size_t length,int prot,int flags,int fd,off_t offset); -
作用:
mmap将一个文件或者其它对象映射进内存,同时设置那段内存的属性可读可写或者是可执行。文件被映射到多个页上,如果文件的大小不是所有页的大小之和,最后一个页不被使用的空间将会清零。mmap在用户空间映射调用系统中作用很大。 -
条件:
mmap()必须以PAGE_SIZE为单位进行映射,而内存也只能以页为单位进行映射,若要映射非PAGE_SIZE整数倍的地址范围,要先进行内存对齐,强行以PAGE_SIZE的倍数大小进行映射。 -
参数说明:
- start:映射区的开始地址,设置为0时表示由系统决定映射区的起始地址。
- length:映射区的长度。//长度单位是 以字节为单位,不足一内存页按一内存页处理
- prot:期望的内存保护标志,不能与文件的打开模式冲突。是以下的某个值,可以通过or运算合理地组合在一起
- PROT_EXEC //页内容可以被执行
- PROT_READ //页内容可以被读取
- PROT_WRITE //页可以被写入
- PROT_NONE //页不可访问
- flags:指定映射对象的类型,映射选项和映射页是否可以共享。它的值可以是一个或者多个以下位的组合体
- MAP_FIXED //使用指定的映射起始地址,如果由start和len参数指定的内存区重叠于现存的映射空间,重叠部分将会被丢弃。如果指定的起始地址不可用,操作将会失败。并且起始地址必须落在页的边界上。
- MAP_SHARED //与其它所有映射这个对象的进程共享映射空间。对共享区的写入,相当于输出到文件。直到msync()或者munmap()被调用,文件实际上不会被更新。
- MAP_PRIVATE //建立一个写入时拷贝的私有映射。内存区域的写入不会影响到原文件。这个标志和以上标志是互斥的,只能使用其中一个。
- MAP_DENYWRITE //这个标志被忽略。
- MAP_EXECUTABLE //同上
- MAP_NORESERVE //不要为这个映射保留交换空间。当交换空间被保留,对映射区修改的可能会得到保证。当交换空间不被保留,同时内存不足,对映射区的修改会引起段违例信号。
- MAP_LOCKED //锁定映射区的页面,从而防止页面被交换出内存。
- MAP_GROWSDOWN //用于堆栈,告诉内核VM系统,映射区可以向下扩展。
- MAP_ANONYMOUS //匿名映射,映射区不与任何文件关联。
- MAP_ANON //MAP_ANONYMOUS的别称,不再被使用。
- MAP_FILE //兼容标志,被忽略。
- MAP_32BIT //将映射区放在进程地址空间的低2GB,MAP_FIXED指定时会被忽略。当前这个标志只在x86-64平台上得到支持。
- MAP_POPULATE //为文件映射通过预读的方式准备好页表。随后对映射区的访问不会被页违例阻塞。
- MAP_NONBLOCK //仅和MAP_POPULATE一起使用时才有意义。不执行预读,只为已存在于内存中的页面建立页表入口。
- fd:有效的文件描述词。一般是由open()函数返回,其值也可以设置为-1,此时需要指定flags参数中的MAP_ANON,表明进行的是匿名映射。
- offset:被映射对象内容的起点。
想要更详细的理解,请点击
mprotect函数
- 头文件: <unistd.h>, <sys/mmap.h>
- 函数原型:
int mprotect(const void *start, size_t len, int prot); - 作用:
可以用来修改一段指定内存区域的保护属性。把自start开始的、长度为len的内存区的保护属性修改为prot指定的值 - 参数说明:
- start:指向需要修改的地址
- len: 需要修改的长度
- prot:可以取以下几个值,并且可以用“|”将几个属性合起来使用:
- PROT_READ:表示内存段内的内容可写;
- PROT_WRITE:表示内存段内的内容可读;
- PROT_EXEC:表示内存段中的内容可执行;
- PROT_NONE:表示内存段中的内容根本没法访问。
总结
简单来说mmap函数创建一块内存区域,将一个文件映射到该区域,进程可以像操作内存一样操作文件。mprotect函数可以改变一块内存区域的权限(以页为单位),在做pwn题的时候, 通常把bss的权限改为可读可写可执行,将shellcode写入并执行。一般来说64位下mprotect(0x600000,0x1000,7)(起始地址,长度,权限)32位下mprotect(0x804A000,0x400,7),长度都是对齐的,记住有三个参数在这里。
最后
以上就是阔达月亮为你收集整理的mmap & mprotect详解mmap&mprotect的全部内容,希望文章能够帮你解决mmap & mprotect详解mmap&mprotect所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复