io_uring

|0| 前言

  • 在我打算认真了解前已经在校队面试,VN面试被问过io_uring,本来我想着考过就不会考的原则忽视这个内容,但昨晚被winmt大哥拷打完后又觉得不能自我欺骗,刚刚好复现actf_2023遇到了io_uring,打算认真了解一下.*

|1| 原理

  • io_uring是Linux 内核的高性能异步 I/O 框架
  • io_uring 特点:完全异步,支持任意类型的 I/O,灵活可拓展
  • io_uring 提供两个接口,一个将 I/O 请求提交到内核,一个从内核接收完成事件,io_uring 在当前进程和内核之间共享内存 (通过 mmap 在当前进程映射) ,通过操控共享内存与内核交互,避免了频繁调用syscall.

|2| payload解析:

这篇payload是采用c语言编写,然后编译为机器码…总之先看看c语言源码吧,我尽量逐行解析:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
// gcc -o shellcode shellcode.c -luring -lseccomp -static
#include <stdio.h>
#include <fcntl.h>
#include <unistd.h>
#include <liburing.h>
#include <seccomp.h>
#include <syscall.h>

#define BUFFER_SIZE 4096

int main() {
    struct io_uring ring;
    struct io_uring_cqe *cqe;
    struct io_uring_sqe *sqe;
    char buffer[BUFFER_SIZE] = {0};
    int fd;
  
    io_uring_queue_init(16, &ring, 0);
    sqe = io_uring_get_sqe(&ring);
    io_uring_prep_openat(sqe, AT_FDCWD, "flag", O_RDONLY, 0);
    io_uring_submit(&ring);
    io_uring_wait_cqe(&ring, &cqe);
    fd = cqe->res;

    sqe = io_uring_get_sqe(&ring);
    io_uring_prep_read(sqe, fd, buffer, BUFFER_SIZE, 0);
    io_uring_submit(&ring);
    io_uring_wait_cqe(&ring, &cqe);
  
    sqe = io_uring_get_sqe(&ring);
    io_uring_prep_write(sqe, STDOUT_FILENO, buffer, BUFFER_SIZE, 0);
    io_uring_submit(&ring);

    io_uring_queue_exit(&ring);

    return 0;
}

  1. 初始化变量:

    1
    2
    3
    4
    5
    struct io_uring ring;
    struct io_uring_cqe *cqe;
    struct io_uring_sqe *sqe;
    char buffer[BUFFER_SIZE] = {0};
    int fd;
    • struct io_uring ring是io_uring 实例的核心控制结构,管理异步I/O的提交队列(SQ)和完成队列(CQ).
    • struct io_uring_cqe *cqe指向完成队列条目(CQE),用于接收异步操作的结果。
    • struct io_uring_sqe *sqe指向提交队列条目(SQE),用于配置一个异步I/O请求。
    • char buffer[BUFFER_SIZE] = {0}用于接受读入的flag
    • int fd接收flag文件的文件描述符

  2. 初始化队列:

    1
    2
    io_uring_queue_init(16, &ring, 0);
    sqe = io_uring_get_sqe(&ring);
    • 初始化 io_uring 实例,创建提交队列(SQ)和完成队列(CQ)。
    • 从提交队列(SQ)中获取一个空闲的 提交队列条目(SQE),用于描述一个 I/O 操作。(第一个操作为打开文件)

  3. 打开文件:

    1
    2
    3
    4
    io_uring_prep_openat(sqe, AT_FDCWD, "flag", O_RDONLY, 0);
    io_uring_submit(&ring);
    io_uring_wait_cqe(&ring, &cqe);
    fd = cqe->res;
    • io_uring_prep_openat:准备一个 异步打开文件 操作的 SQE。
    • 函数原型 : void io_uring_prep_openat(struct io_uring_sqe *sqe,int dfd,const char *path,int flagsmode_t mode);
      1. struct io_uring_sqe *sqe:刚刚初始化的队列获取的空闲的提交队列条目
      2. int dfd : 基础目录的文件描述符,示例中为 AT_FDCWD 表示相对当前工作目录。(相当于’./‘)
      3. const char *path : 文件名的地址,这里使用”flag”字符串
      4. flags : 文件打开方式,这里选择只读(O_RDONLY)
      5. mode : 文件权限(0表示仅在创建文件时有效)。
    • io_uring_submit:将提交队列(SQ)中所有准备好的 SQE 提交给内核执行
    • io_uring_wait_cqe:阻塞等待至少一个 完成队列条目(CQE) 可用,即文件成功打开
    • 使用fd接收flag文件的文件描述符

  4. 将flag从磁盘读入内存:

    1
    2
    3
    4
    sqe = io_uring_get_sqe(&ring);
    io_uring_prep_read(sqe, fd, buffer, BUFFER_SIZE, 0);
    io_uring_submit(&ring);
    io_uring_wait_cqe(&ring, &cqe);
    • 从提交队列(SQ)中获取一个空闲的 提交队列条目(SQE),用于描述一个 I/O 操作。
    • io_uring_prep_read:准备一个读取磁盘文件操作的 SQE,函数原型: void io_uring_prep_read(struct io_uring_sqe *sqe,int fd,void *buf,unsigned nbytes,off_t offset);
      1. struct io_uring_sqe *sqe:刚刚初始化的队列获取的空闲的提交队列条目
      2. int fd : 刚刚获取的文件描述符
      3. void *buf : 数据缓冲区地址
      4. 要读取的最大字节数(BUFFER_SIZE=4096)
      5. offset : 文件偏移量
    • io_uring_submit:将提交队列(SQ)中所有准备好的 SQE 提交给内核执行
    • io_uring_wait_cqe:阻塞等待至少一个 完成队列条目(CQE) 可用,即文件成功打开

  5. 将buf中的内容打印到标准输出流:

    1
    2
    3
    sqe = io_uring_get_sqe(&ring);
    io_uring_prep_write(sqe, STDOUT_FILENO, buffer, BUFFER_SIZE, 0);
    io_uring_submit(&ring);
    • 从提交队列(SQ)中获取一个空闲的 提交队列条目(SQE),用于描述一个 I/O 操作。io_uring_prep_openat:准备一个 **异步操作的 SQE。
    • 参数形式与io_uring_read基本相同
    • io_uring_submit:将提交队列(SQ)中所有准备好的 SQE 提交给内核执行

    此时我们在标准输出中获得了flag : )