1. Си / Говнокод #26736

    +3

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    20. 20
    21. 21
    22. 22
    23. 23
    24. 24
    25. 25
    26. 26
    27. 27
    28. 28
    29. 29
    30. 30
    31. 31
    #include "gc.h"

static bool PointerNotOwnedByParentStackFrame(struct StackFrame *frame,
                                              struct StackFrame *parent,
                                              void *ptr) {
  return !(((intptr_t)ptr > (intptr_t)frame) &&
           ((intptr_t)ptr < (intptr_t)parent));
}

/**
 * Adds destructor to garbage shadow stack.
 *
 * @param frame is passed automatically by wrapper macro
 * @param fn takes one argument
 * @param arg is passed to fn(arg)
 * @return arg
 */
void __defer(struct StackFrame *frame, void *fn, void *arg) {
  struct StackFrame *frame2;
  if (!arg) return;
  frame2 = __builtin_frame_address(0);
  assert(frame2->next == frame);
  assert(PointerNotOwnedByParentStackFrame(frame2, frame, arg));
  if (append(&__garbage, /* note: append() not included */
             (&(const struct Garbage){frame->next, (intptr_t)fn, (intptr_t)arg,
                                      frame->addr})) != -1) {
    frame->addr = (intptr_t)&__gc;
  } else {
    abort();
  }
}

    deferы в Сищечке

    https://gist.github.com/jart/aed0fd7a7fa68385d19e76a63db687ff

    Запостил: 3.14159265, 04 Июня 2020

    Комментарии (85) RSS

    • ava 3.14159265 04.06.2020 21:14 # +1

      Стековый «сбощик мусора›
      #ifndef GC_H_
#define GC_H_

#define gc(THING) defer(free, (THING))

/**
 * Calls FN(ARG) when function returns.
 */
#define defer(FN, ARG)                            \
  ({                                              \
    __typeof(ARG) Arg = (ARG);                    \
    /* force -fno-omit-frame-pointer and */       \
    /* prevent weird opts like tail call */       \
    asm("" : "+g"(Arg));                          \
    __defer(__builtin_frame_address(0), FN, Arg); \
    asm("" : "+g"(Arg));                          \
    Arg;                                          \
  })

struct StackFrame {
  struct StackFrame *next;
  intptr_t addr;
};

struct Garbages {
  size_t i, n;
  struct Garbage {
    struct StackFrame *frame;
    intptr_t fn;
    intptr_t arg;
    intptr_t ret;
  } * p;
};

extern struct Garbages __garbage;

int64_t __gc(void);
void __defer(struct StackFrame *, void *, void *);

#endif /* GC_H_ */
      Ответить

    • ava bormand 04.06.2020 21:23 # 0

      &(const struct Garbage) { ... }

      Это с какой версии такой изврат можно делать? Пиздец, почему просто локалку не заполнить над вызовом?
      Ответить

      • ava 3.14159265 04.06.2020 21:30 # 0

        И всё ради того чтобы анскильные питушки могли написать fclose не в конце файлика, а defer в срединке.
        Ответить

        • ava bormand 04.06.2020 21:34 # 0

          А как они кстати конец функции ловят чтобы мусор чистить?
          Ответить

          • ava 3.14159265 04.06.2020 21:40 # 0

            Переписывают адрес разврата.
            __defer(__builtin_frame_address(0), FN, Arg);
...
frame->addr = (intptr_t)&__gc;

            https://gcc.gnu.org/onlinedocs/gcc/Return-Address.html
            Ответить

            • ava bormand 04.06.2020 21:44 # 0

              Ох, сурово.
              Ответить

              • ava 3.14159265 04.06.2020 21:46 # 0

                Ну вот примерно такое ебанатство придётся тащить в каждую реализацию Сишки, если примут предложение.

                А ещё питушение с longjmp.
                Ответить

            • ava TEH3OPHblu_nemyx 04.06.2020 21:45 # 0

              Я, кстати, приводил реальный пример трюка с подменой адреса разврата:
              https://govnokod.ru/24763#comment429753

              В «gcc» его можно поймать с помощью __builtin_frame_address(0).
              Ответить

            • ava bormand 04.06.2020 21:48 # 0

              > переписывают адрес разврата

              Т.е. со всякими защитами от нарушения control flow этот код несовместим? Заебись фича. Хуже были только гццшные "лямбды", которые вообще исполняемый стек требовали.
              Ответить

              • ava 3.14159265 04.06.2020 21:49 # +1

                Да простейший флаг omit-frame-pointer вынесет его нахуй.

                > Хуже были только гццшные "лямбды", которые вообще исполняемый стек требовали.
                Лолчто???
                Ответить

                • ava bormand 04.06.2020 21:51 # +1

                  Они на стеке генерят переходник и возвращают его адрес.
                  Ответить

                  • ava 3.14159265 04.06.2020 21:53 # +1

                    Это же attack-friendly-programming.

                    Можно же просто насрать в стек своим юзер-инпут говном, а потом порушить всё нахуй.
                    Ответить

                    • ava TEH3OPHblu_nemyx 04.06.2020 21:59 # +1

                      Трамплины упоминались как минимум тут:
                      https://govnokod.ru/13183
                      https://govnokod.ru/13162
                      https://govnokod.ru/23505

                      Ещё где-то было.
                      Ответить

                    • ava TEH3OPHblu_nemyx 04.06.2020 22:13 # +1

                      Вспомнил реальный пример attack-friendly-programming:
                      https://govnokod.ru/19017

                      В 64-битном «MSVC» нет встроенного асма. Что предложил автор примера? Он предложил положить мышиного кота в строковую инициализированную переменную и снять атрибут «no execute» у страниц, в которые попало это значение.
                      Ответить

                      • ava bormand 04.06.2020 22:15 # +1

                        Ну тогда уж в отдельную RX секцию можно отправить эту строку. Один фиг под конкретный конпелятор.
                        Ответить

                        • ava TEH3OPHblu_nemyx 04.06.2020 22:17 # 0

                          Можно. На платформах, на которых можно создать эту секцию. У «Portable executable» («Windows», например) и у «ELF» нет проблем. А на какой-нибудь «Макоси» можно обломаться.
                          Ответить

                        • ava TEH3OPHblu_nemyx 04.06.2020 22:18 # 0

                          Кстати, если мы пишем модуль для «EFI»/«UEFI», то можно пользоваться всеми фишками формата «PE» или есть ограничения?
                          Ответить

                          • ava bormand 04.06.2020 22:25 # +1

                            Ну там как минимум импортов и экспортов нет. И атрибуты на секциях только недавно стали учитывать, раньше все как RWX грузили.
                            Ответить

                            • ava TEH3OPHblu_nemyx 04.06.2020 22:26 # 0

                              Какой багор )))
                              Ответить

                              • ava bormand 04.06.2020 22:37 # 0

                                Да ладно, в виндовом ядре буквально лет 5 назад тоже был полный RWX.
                                Ответить

                                • ava TEH3OPHblu_nemyx 04.06.2020 22:40 # 0

                                  Какой багор )))
                                  Ответить

                                  • ava gost 04.06.2020 23:38 # 0

                                    Да ладно, в «DOS» буквально лет 30 назад тоже был полный RWX.
                                    Ответить

                                    • ava TEH3OPHblu_nemyx 04.06.2020 23:52 # 0

                                      Как будто в «DOS» сейчас не полный RWX... Хотя в программах для DPMI (в том же «Doom» и в «Duke Nukem») можно установить защиту (когда их писали, не было процессоров с аппаратной поддержкой флага NX, но от записи страницу кода защитить было можно).
                                      Ответить

                                • ava guest8 05.06.2020 03:18 # −999

                                  показать все, что скрытоvanished
                                  Ответить

                                  • ava TEH3OPHblu_nemyx 05.06.2020 03:29 # 0

                                    Аппаратное «DEP» на «Интелах» впервые появилось на x64.

                                    В «Windows» поддержка «DEP» появилась в «Висте», но по дефолту была отключена для пользовательских программ, потому что с «DEP» старое говно может не работать.

                                    Удобной настройка исключений «DEP» в «Windows» стала, когда появилось средство «EMET»:
                                    https://en.wikipedia.org/wiki/Enhanced_Mitigation_Experience_Toolkit

                                    P.S. А, он про ядро, а не про юзерспейс.
                                    Ответить

                                  • ava TEH3OPHblu_nemyx 05.06.2020 03:33 # 0

                                    То есть юзерспейс они защитили, а в ядре защиты долгое время не было в надежде, что драйвера гадить системе не будут?
                                    Ответить

                                  • ava bormand 05.06.2020 05:37 # +1

                                    Начали где-то с восьмёрки, но всем было похуй.

                                    А реально прижали всех к стенке на десятке когда HVCI запилили, насколько я помню.
                                    Ответить

                                    • ava TEH3OPHblu_nemyx 05.06.2020 06:24 # 0

                                      Что такое HVCI?

                                      P.S. Нагуглил:
                                      https://docs.microsoft.com/en-us/windows/security/threat-protection/device-guard/enable-virtualization-based-protection-of-code-integrity

                                      Его ещё в старых билдах не было... Как всё сложно...
                                      Ответить

                                      • ava bormand 05.06.2020 06:27 # 0

                                        Анальный гипервизор, который не разрешает ядру исполнять неподписанный код.
                                        Ответить

                                        • ava TEH3OPHblu_nemyx 05.06.2020 06:29 # 0

                                          Он в минус первом кольце сидит что ли?
                                          Ответить

                                          • ava bormand 05.06.2020 06:31 # 0

                                            Эм, ну да, как и другие гипервизоры.
                                            Ответить

                                          • ava gost 05.06.2020 13:33 # +1

                                            Помимо минус первого кольца, кстати, в дивном новом мире существует и минус второе третье, называется «Intel ME» («AMD PSP» для любителей красного).
                                            UPD: оказывается, минус второе — это «System Management Mode».
                                            Ответить

                                            • ava bormand 05.06.2020 13:49 # +1

                                              Ну ME это всё-таки не кольцо, а отдельный большой брат, который без основного проца работать может.
                                              Ответить

                                              • ava gost 05.06.2020 14:04 # 0

                                                В общем-то и другие отрицательные кольца — не совсем «кольца» в «классическом» смысле. Тут скорее речь про привилегии и возможности воздействия.
                                                Ответить

                                                • ava MAKAKA 05.06.2020 14:48 # 0

                                                  а другие кольца про что?
                                                  Ответить

                                                  • ava gost 05.06.2020 15:08 # 0

                                                    Смотря в каком месте. Если, к примеру, ты попадёшь на ночную тусовку любителей x86, то про «CPL».
                                                    Ответить

                                                    • ava guest8 05.06.2020 15:48 # −999

                                                      показать все, что скрытоvanished
                                                      Ответить

                                                      • ava gost 05.06.2020 16:16 # +1

                                                        Что тебе не нравится? В «x86» есть только четыре «стандартных» — определяемых CPL — кольца, а все отрицательные кольца — понятия не строго технические, а эмпирические.
                                                        Гипервизор, например, считается минус первым кольцом, «SMM» — минус вторым, «Intel ME» — минус третьим. Однако, повторюсь, это больше эмпирическое разделение по принципу «кольцо N имеет произвольный доступ к кольцам N+i, кольцо N не может влиять на кольца N-i больше дозволенного этими кольцами». Что именно считать отрицательным «кольцом» — вопрос философский. Физический мир, например, можно записать в минус четвёртое: компьютер может влиять на окружающую среду только через строго определённые механизмы, в то время как окружающая среда может воздействовать на компьютер как угодно.
                                                        Ответить

                                                        • ava guest8 05.06.2020 16:28 # −999

                                                          показать все, что скрытоvanished
                                                          Ответить

                                                          • ava gost 05.06.2020 16:40 # +1

                                                            Я противопоставил кольца «технические» (0-3) кольцам «философским» — отрицательным.
                                                            «Технические» кольца (по крайней мере, в «x86») определены строго: через CPL. «Философские кольца», в свою очередь, чисто эмпирические: все просто договорились считать гипервизор минус первым кольцом, например. С тем же успехом его можно записать в минус десятое (SMM — -11, etc.), от этого смысл не изменится.
                                                            Ответить

                                            • ava TEH3OPHblu_nemyx 05.06.2020 15:14 # 0

                                              ME — это вообще отдельный процессор. ME первого поколения был на рахиттинктуре «ARC», а ME второго поколения — уже на x86 (80386 или типа того).

                                              SMM (минус второе кольцо) точно был на всех 80486, а также на каких-то 80386, только он, кажется, раньше не был документирован, кто-то случайно раскрыл опкод для переключения в SMM.
                                              Ответить

                                        • ava guest8 05.06.2020 13:30 # −999

                                          показать все, что скрытоvanished
                                          Ответить

                • ava TEH3OPHblu_nemyx 04.06.2020 21:54 # +1

                  У Борманда неточность: не лямбды, а замыкания.

                  В «gcc» вложенные функции работают как замыкания, захватывая все локальные переменные и аргументы родительской функции.

                  Зачем-то добавили фичу: на вложенную функцию можно взять указатель. Чтобы по этому указателю вложенную функцию можно было вызвать, придумали «трамплины»: это такой короткий код, который передаёт вызываемому замыканию указатель на контекст. Так вот авторы не придумали ничего лучше, чем создавать этот трамплин в стеке. Поэтому со всех страницы стека приходится снимать атрибут «no execute», иначе трамплин не вызовется.
                  Ответить

                  • ava guest8 05.06.2020 03:10 # −999

                    показать все, что скрытоvanished
                    Ответить

                    • ava TEH3OPHblu_nemyx 05.06.2020 03:25 # 0

                      https://man.openbsd.org/gcc-local.1
                      https://man.openbsd.org/mprotect.2

                      Кажется, в юзверьском коде такого ограничения нет.
                      Ответить

                      • ava guest8 05.06.2020 03:42 # −999

                        показать все, что скрытоvanished
                        Ответить

                        • ava TEH3OPHblu_nemyx 05.06.2020 04:22 # 0

                          Как всё сложно. Хорошо, что в «PHP» такого нет.
                          Ответить

                          • ava MAKAKA 05.06.2020 18:46 # 0

                            В PHP такого действитлеьно нет.

                            PHP ставится в другой раздел (/usr/local/), не является частью базовой системы, и потому может хоть все страницы пометить как RWX, всем насрать.

                            Тео и Ко гарантируют безопасность и безбажность только базовой системы. Охуилон портов всякого говна они, разумеется, не могут проверить.
                            Ответить

              • ava guest8 05.06.2020 03:49 # −999

                показать все, что скрытоvanished
                Ответить

                • ava TEH3OPHblu_nemyx 05.06.2020 04:23 # 0

                  Можно грабить корованы.
                  Ответить

                  • ava Noodles 05.06.2020 18:44 # +3

                    Здраствуйте. Я Noodles. Хочу чтобы вы сделали шеллкод, return-oriented-экшон. Суть токова... Можно напихать в стек адресов, содержащих нужные инструкции и данные, инструкции ret набигают и составленный в стеке шитый код исполняется. Можно заражать программы...

                    PS. я джва года жду такой шеллкод.
                    Ответить

                    • ava bormand 06.06.2020 12:16 # +1

                      Да с исполняемым стеком можно и обычного кода напихать, без этого вашего ROP. Пачку nop'ов в начало и поехали.
                      Ответить

            • ava guest8 05.06.2020 03:19 # −999

              показать все, что скрытоvanished
              Ответить

      • ava Noodles 05.06.2020 17:33 # 0

        А чо не так, у структуры созданной из составного литерала нельзя адресс брать или шо.

        Вроде обычный C99.
        Ответить

    • ava AMEPuKAHCKuu_xyu 04.06.2020 22:33 # 0

      > Си
      > gc.h

      Дальше не читал, но поорал.

      Это как с conio
      Ответить

    • ava guest8 04.06.2020 22:57 # −999

      показать все, что скрытоvanished
      Ответить

    • ava guest8 04.06.2020 23:33 # −999

      показать все, что скрытоvanished
      Ответить

    • ava j123123 06.06.2020 05:43 # 0

      https://github.com/jart - Justine Tunney
      https://en.wikipedia.org/wiki/Justine_Tunney
      Categories: ... Transgender and transsexual computer programmers
      Ответить

      • ava j123123 06.06.2020 05:45 # 0

        Если же говорить по поводу самого кода, то это ненужные костыли, к тому же завязанные на гнутые расширения.
        Ответить

      • ava guest8 06.06.2020 05:48 # −999

        показать все, что скрытоvanished
        Ответить

        • ava bormand 06.06.2020 10:13 # +1

          Я был когда-то странным
          Разрабом безымянным
          Которому реквестов
          Никто не заведёт
          Теперь я трансоняшка
          Мне каждая дворняжка
          При встрече сразу
          Лапу подает!
          Ответить

      • ava TEH3OPHblu_nemyx 06.06.2020 07:37 # 0

        Если программистов стали делить по сексуальной ориентации, значит, сексуальная ориентация влияет на качество кода?
        Ответить

        • ava Noodles 06.06.2020 10:06 # 0

          Программисты транссексуальных компьютеров.
          Ответить

          • ava bormand 06.06.2020 10:08 # 0

            Это про те самые ARM'ы у которых endian сменили?
            Ответить

            • ava TEH3OPHblu_nemyx 06.06.2020 10:19 # 0

              На ARM можно менять не только endianess. У них ещё сетку инструкций менять можно: «thumb» и тому подобное.
              Ответить

              • ava bormand 06.06.2020 10:35 # 0

                Не у всех. На контроллерах, к примеру, только thumb2 обычно чтобы флешку не тратить.
                Ответить

                • ava TEH3OPHblu_nemyx 06.06.2020 10:48 # 0

                  Какой багор )))

                  А есть ещё процессоры с переключателем набора инструкций типа «ARM» или «NEC V20»?
                  Ответить

                  • ava bormand 06.06.2020 10:52 # 0

                    x86_64
                    Ответить

                    • ava gost 06.06.2020 11:16 # 0

                      Можно даже без зелёного, кстати.
                      Ответить

                      • ava TEH3OPHblu_nemyx 06.06.2020 11:44 # 0

                        Действительно. Когда ещё был x86_32, там в разных режимах различались только размеры непосредственных констант (два байта или четыре), а в 64-битном режиме x86_64 куча инструкций поехала: удалили однобайтовые инкременты/декременты, чтобы освободить место под REX-префиксы.
                        Ответить

            • ava TEH3OPHblu_nemyx 06.06.2020 10:23 # 0

              У «NEC» были девайсы «V20» и «V30», которые в обычном режиме исполняли инструкции 8086/8088, но был ещё режим исполнения инструкций 8080, причём во время прерывания режим корректно переключался.
              Ответить

    Добавить комментарий