Lý lịch

Chúng tôi đã có một thử thách về việc ném SIGSEGV , vậy tại sao không thử thách ném SIGILL?

SIGILL là gì?

SIGILL là tín hiệu cho một lệnh bất hợp pháp tại bộ xử lý, điều này rất hiếm khi xảy ra. Hành động mặc định sau khi nhận SIGILL là chấm dứt chương trình và viết kết xuất lõi. ID tín hiệu của SIGILL là 4. Bạn rất hiếm khi gặp SIGILL và tôi hoàn toàn không biết làm thế nào để tạo nó trong mã của bạn ngoại trừ thông qua sudo kill -s 4 <pid>.

Quy tắc

Bạn sẽ có quyền root trong các chương trình của mình, nhưng nếu bạn không muốn vì bất kỳ lý do gì, bạn cũng có thể sử dụng một người dùng bình thường. Tôi đang sử dụng máy tính Linux có ngôn ngữ tiếng Đức và tôi không biết văn bản tiếng Anh được hiển thị sau khi bắt SIGILL, nhưng tôi nghĩ đó là một thứ như 'Hướng dẫn bất hợp pháp'. Chương trình ngắn nhất ném SIGILL thắng.

Trình biên dịch PDP-11 (Phiên bản thứ sáu UNIX), 1 byte

9

Hướng dẫn 9 không phải là hướng dẫn hợp lệ trên PDP-11 (theo bát phân, nó sẽ 000011không xuất hiện trong danh sách hướng dẫn (PDF)). Trình biên dịch PDP-11 đi kèm với UNIX Sixth Edition rõ ràng lặp lại mọi thứ mà nó không hiểu trực tiếp vào tệp; trong trường hợp này, 9 là một số, vì vậy nó tạo ra một lệnh bằng chữ 9. Nó cũng có một thuộc tính kỳ lạ (không bình thường trong ngôn ngữ lắp ráp) mà các tệp bắt đầu chạy từ đầu, vì vậy chúng tôi không cần bất kỳ khai báo nào để tạo chương trình công việc.

Bạn có thể kiểm tra chương trình bằng trình giả lập này , mặc dù bạn sẽ phải chiến đấu với nó để nhập chương trình.

Đây là cách mọi thứ kết thúc khi bạn tìm ra cách sử dụng hệ thống tập tin, trình soạn thảo, thiết bị đầu cuối và những thứ tương tự mà bạn nghĩ rằng bạn đã biết cách sử dụng:

% a.out
Illegal instruction -- Core dumped

Tôi đã xác nhận với tài liệu rằng đây là SIGILLtín hiệu chính hãng (và thậm chí nó có cùng số tín hiệu, 4, cho đến lúc đó!)

C (x86_64, tcc ), 7 byte

main=6;

Lấy cảm hứng từ câu trả lời này .

Hãy thử trực tuyến!

Làm thế nào nó hoạt động

Việc lắp ráp được tạo ra trông như thế này.

    .globl  main
main:
    .long 6

Lưu ý rằng TCC không đặt "hàm" đã xác định trong phân đoạn dữ liệu .

Sau khi biên dịch, _start sẽ trỏ đến main như bình thường. Khi chương trình kết quả được thực thi, nó hy vọng mã trong chính và tìm thấy ít về cuối nhỏ (!) 32-bit nguyên 6 , được mã hóa như 0x06 0x00 0x00 0x00 . Byte đầu tiên - 0x06 - là một opcode không hợp lệ, vì vậy chương trình kết thúc bằng SIGILL .

C (x86_64, gcc ), 13 byte

const main=6;

Hãy thử trực tuyến!

Làm thế nào nó hoạt động

Không có công cụ sửa đổi const , lắp ráp được tạo ra trông như thế này.

    .globl  main
    .data
main:
    .long   6
    .section    .note.GNU-stack,"",@progbits

Trình liên kết của GCC coi dòng cuối cùng là một gợi ý rằng đối tượng được tạo không yêu cầu ngăn xếp thực thi. Vì chính được đặt rõ ràng trong một phần dữ liệu , opcode mà nó chứa không thể thực thi được, do đó chương trình chấm dứt sẽ SIGSEGV (lỗi phân đoạn).

Loại bỏ dòng thứ hai hoặc dòng cuối cùng sẽ làm cho công việc thực thi được tạo như dự định. Dòng cuối cùng có thể được bỏ qua với cờ trình biên dịch -zexecstack( Dùng thử trực tuyến! ), Nhưng chi phí này là 12 byte .

Một thay thế ngắn hơn là khai báo chính với bộ sửa đổi const , dẫn đến lắp ráp sau.

        .globl  main
        .section    .rodata
main:
        .long   6
        .section    .note.GNU-stack,"",@progbits

Điều này hoạt động mà không có bất kỳ cờ biên dịch. Lưu ý rằng main=6;sẽ ghi "hàm" được xác định trong dữ liệu , nhưng công cụ sửa đổi const làm cho GCC viết nó bằng Rodata , điều này (ít nhất là trên nền tảng của tôi) được phép chứa mã.

Swift, 5 byte

[][0]

Chỉ số truy cập 0 của một mảng trống. Cuộc gọi này fatalError(), in thông báo lỗi và gặp sự cố với SIGILL. Bạn có thể thử nó ở đây .

GNU C, 25 byte

main(){__builtin_trap();}

GNU C (một phương ngữ cụ thể của C có phần mở rộng) chứa một lệnh cố tình làm hỏng chương trình. Việc triển khai chính xác thay đổi từ phiên bản này sang phiên bản khác, nhưng thường thì các nhà phát triển thực hiện một nỗ lực để thực hiện sự cố với giá rẻ nhất có thể, thường liên quan đến việc sử dụng một lệnh bất hợp pháp.

Phiên bản cụ thể tôi đã sử dụng để kiểm tra là gcc (Ubuntu 5.4.0-6ubuntu1~16.04.4) 5.4.0; tuy nhiên, chương trình này gây ra SIGILL trên một phạm vi khá rộng, và do đó khá dễ mang theo. Ngoài ra, nó thực hiện nó thông qua việc thực hiện một lệnh bất hợp pháp. Đây là mã lắp ráp mà phần trên biên dịch thành các cài đặt tối ưu hóa mặc định:

main:
    pushq %rbp
    movq %rsp, %rbp
    ud2

ud2 là một hướng dẫn mà Intel đảm bảo sẽ luôn không xác định.

C (x86_64), 11, 30, 34 hoặc 34 + 15 = 49 byte

main[]="/";
c=6;main(){((void(*)())&c)();}
main(){int c=6;((void(*)())&c)();}

Tôi đã gửi một vài giải pháp sử dụng các chức năng của thư viện để đưa ra SIGILLcác phương tiện khác nhau, nhưng có thể cho rằng đó là gian lận, trong đó chức năng thư viện giải quyết vấn đề. Đây là một loạt các giải pháp không sử dụng các chức năng thư viện và đưa ra các giả định khác nhau về nơi hệ điều hành sẵn sàng cho phép bạn thực thi mã không thể thực thi. (Các hằng số ở đây được chọn cho x86_64, nhưng bạn có thể thay đổi chúng để có giải pháp hoạt động cho hầu hết các bộ xử lý khác có hướng dẫn bất hợp pháp.)

06là byte được đánh số thấp nhất của mã máy không tương ứng với một lệnh được xác định trên bộ xử lý x86_64. Vì vậy, tất cả chúng ta phải làm là thực hiện nó. (Ngoài ra, 2Fcũng không được xác định và tương ứng với một ký tự ASCII có thể in được.) Cả hai điều này đều được đảm bảo luôn luôn không được xác định, nhưng chúng không được định nghĩa cho đến ngày hôm nay.

Chương trình đầu tiên ở đây thực thi 2Ftừ phân đoạn dữ liệu chỉ đọc. Hầu hết linkers không có khả năng tạo ra một bước nhảy làm việc kể từ .textđến .rodata(hoặc hệ điều hành của họ tương đương) vì nó không phải là cái gì đó bao giờ sẽ có ích trong một chương trình một cách chính xác phân đoạn; Tôi chưa tìm thấy một hệ điều hành nào mà nó hoạt động được. Bạn cũng phải cho phép thực tế là nhiều trình biên dịch muốn chuỗi được đề cập là một chuỗi rộng, điều này sẽ yêu cầu bổ sungL; Tôi giả định rằng bất kỳ hệ điều hành nào mà hệ điều hành này hoạt động đều có một cái nhìn khá lỗi thời về mọi thứ, và do đó đang xây dựng cho một tiêu chuẩn trước C94 theo mặc định. Có thể không có chương trình này hoạt động ở đâu, nhưng cũng có thể có một nơi nào đó chương trình này hoạt động, và do đó tôi liệt kê nó trong bộ sưu tập các câu trả lời tiềm năng đáng ngờ hơn đến ít đáng ngờ hơn. (Sau khi tôi đăng câu trả lời này, Dennis cũng đề cập đến khả năng main[]={6}trong trò chuyện, có cùng độ dài và không gặp vấn đề với độ rộng ký tự, và thậm chí còn ám chỉ tiềm năng main=6; Tôi không thể yêu cầu các câu trả lời này một cách hợp lý của tôi, như tôi đã không nghĩ về họ.)

Chương trình thứ hai ở đây thực thi 06từ phân đoạn dữ liệu đọc-ghi. Trên hầu hết các hệ điều hành, điều này sẽ gây ra lỗi phân đoạn, bởi vì các phân đoạn dữ liệu có thể ghi được coi là một lỗ hổng thiết kế xấu khiến cho việc khai thác có thể xảy ra. Tuy nhiên, điều này không phải luôn luôn như vậy, vì vậy nó có thể hoạt động trên một phiên bản Linux đủ cũ, nhưng tôi không thể dễ dàng kiểm tra nó.

Chương trình thứ ba thực hiện 06từ ngăn xếp. Một lần nữa, điều này gây ra lỗi phân đoạn hiện nay, vì ngăn xếp thường được phân loại là không thể ghi được vì lý do bảo mật. Tài liệu liên kết mà tôi thấy rất nhiều ngụ ý rằng nó từng là hợp pháp để thực thi từ ngăn xếp (không giống như hai trường hợp trước, đôi khi làm như vậy rất hữu ích), vì vậy mặc dù tôi không thể kiểm tra nó, tôi khá chắc chắn có một số phiên bản Linux (và có lẽ các hệ điều hành khác) mà nó hoạt động.

Cuối cùng, nếu bạn đưa ra -Wl,-z,execstack(hình phạt 15 byte) cho gcc(nếu sử dụng GNU ldnhư một phần của phụ trợ), nó sẽ tắt rõ ràng bảo vệ ngăn xếp thực thi, cho phép chương trình thứ ba hoạt động và đưa ra tín hiệu hoạt động bất hợp pháp như mong đợi. Tôi đã thử nghiệm và xác minh phiên bản 49 byte này để hoạt động. (Dennis đề cập trong trò chuyện rằng tùy chọn này rõ ràng hoạt động với main=6, nó sẽ cho điểm 6 + 15. Tôi khá ngạc nhiên khi điều này hoạt động, với điều kiện là 6 không rõ ràng trên stack; tùy chọn liên kết rõ ràng không hơn tên của nó cho thấy.)

GNU dưới dạng (x86_64), 3 byte

ud2

$ xxd sigill.S

00000000: 7564 32                                  ud2

$ như --64 sigill.S -o sigill.o; ld -S sigill.o -o sigill

sigill.S: Assembler messages:
sigill.S: Warning: end of file not at end of a line; newline inserted
ld: warning: cannot find entry symbol _start; defaulting to 0000000000400078

$ ./sigill

Illegal instruction

$ objdump -d sigill

sigill:     file format elf64-x86-64

Disassembly of section .text:

0000000000400078 <__bss_start-0x200002>:>
  400078:       0f 0b                   ud2

Bash trên Raspbian trên QEMU, 4 (1?) Byte

Không phải công việc của tôi. Tôi chỉ báo cáo công việc của người khác. Tôi thậm chí không ở vị trí để kiểm tra yêu cầu bồi thường. Vì một phần quan trọng của thử thách này dường như là tìm ra một môi trường nơi tín hiệu này sẽ được phát ra và bắt được, tôi không bao gồm kích thước của QEMU, Raspbian hoặc bash.

Vào ngày 27 tháng 2 năm 2013 8:49 tối, người dùng emlhalac đã báo cáo " Nhận" hướng dẫn bất hợp pháp "khi cố gắng chroot " trên Raspberry Pi fora.

ping

sản xuất

qemu: uncaught target signal 4 (Illegal instruction) - core dumped
Illegal instruction (core dumped)

Tôi tưởng tượng các lệnh ngắn hơn nhiều sẽ tạo ra đầu ra này, ví dụ , tr.

EDIT: Dựa trên nhận xét của @ fluffy , đã giảm giới hạn dưới được phỏng đoán về độ dài đầu vào xuống "1?".

Tệp COM x86 MS-DOS, 2 byte

EDIT: Như đã chỉ ra trong các bình luận, bản thân DOS sẽ không bẫy ngoại lệ CPU và sẽ đơn giản treo (không chỉ ứng dụng, toàn bộ HĐH). Chạy trên HĐH dựa trên NT 32 bit như Windows XP, thực sự, sẽ kích hoạt tín hiệu hướng dẫn bất hợp pháp.

0F 0B

Từ tài liệu :

Tạo một opcode không hợp lệ. Hướng dẫn này được cung cấp để kiểm tra phần mềm để tạo một opcode không hợp lệ.

Đó là khá tự giải thích. Lưu dưới dạng tệp .com và chạy trong mọi trình giả lập DOS Trình giả lập DOS sẽ bị sập. Chạy trên Windows XP, Vista hoặc 7 32 bit.

C (Windows 32 bit), 34 byte

f(i){(&i)[-1]-=9;}main(){f(2831);}

Điều này chỉ hoạt động nếu biên dịch mà không tối ưu hóa (khác, mã bất hợp pháp trong fhàm là "tối ưu hóa").

Việc tháo gỡ các mainchức năng trông như thế này:

68 0f 0b 00 00    push 0b0f
e8 a1 d3 ff ff    call _f
...

Chúng ta có thể thấy rằng nó sử dụng một pushlệnh có giá trị bằng chữ 0b0f(little endian, do đó byte của nó được hoán đổi). Lệnh callđẩy một địa chỉ trả về (của ...lệnh), được đặt trên ngăn xếp gần tham số của hàm. Bằng cách sử dụng một [-1]sự dịch chuyển, hàm sẽ ghi đè địa chỉ trả về để nó trỏ 9 byte trước đó, trong đó các byte 0f 0blà.

Các byte này gây ra ngoại lệ "lệnh không xác định", như được thiết kế.

Java, 50 43 24 byte

a->a.exec("kill -4 $$");

Đây là java.util.function.Consumer<Runtime>¹ có lệnh bị đánh cắp từ câu trả lời của fluffy . Nó hoạt động bởi vì bạn phải gọi nó là whateverNameYouGiveIt.accept(Runtime.getRuntime())!

Lưu ý rằng điều này sẽ tạo ra một quy trình mới và làm cho nó ném SIGILL thay vì ném SIGILL.

^{1 - Về mặt kỹ thuật, nó cũng có thể là java.util.function.Function<Runtime, Process>vì Runtime#exec(String)trả về một java.lang.Processcái có thể được sử dụng để kiểm soát quá trình bạn vừa tạo bằng cách thực hiện lệnh shell.}

Để thực hiện điều gì đó ấn tượng hơn bằng ngôn ngữ dài dòng như vậy, đây là phần thưởng 72 60 48 byte:

a->for(int b=0;;b++)a.exec("sudo kill -s 4 "+b);

Đây là một Consumer<Runtime>quá trình khác trải qua TẤT CẢ các quy trình (bao gồm cả chính nó), làm cho mỗi trong số chúng ném SIGILL. Cú đúp tốt hơn cho một vụ tai nạn bạo lực.

Và một phần thưởng khác (a Consumer<ANYTHING_GOES>), ít nhất là giả vờ ném SIGILL trong 20 byte:

a->System.exit(132);

Perl, 9 byte

kill+4,$$

Chỉ cần gọi hàm thư viện thích hợp để báo hiệu một quá trình và để chương trình tự báo hiệu SIGILL. Không có hướng dẫn bất hợp pháp thực tế có liên quan ở đây, nhưng nó tạo ra kết quả thích hợp. (Tôi nghĩ rằng điều này làm cho thử thách khá rẻ, nhưng nếu bất cứ điều gì được cho phép, thì đây là kẽ hở mà bạn sử dụng.

Ngôn ngữ trình biên dịch hợp nhất ARM (UAL), 3 byte

nop

Ví dụ:

$ as ill.s -o ill.o
$ ld ill.o -o ill
ld: warning: cannot find entry symbol _start; defaulting to 00010054
$ ./ill 
Illegal instruction

Sau khi thực hiện nop, bộ xử lý diễn giải .ARM.attributesphần này dưới dạng mã và gặp một lệnh bất hợp pháp ở đâu đó:

$ objdump -D ill

ill:     file format elf32-littlearm


Disassembly of section .text:

00010054 <__bss_end__-0x10004>:
   10054:       e1a00000        nop                     ; (mov r0, r0)

Disassembly of section .ARM.attributes:

00000000 <.ARM.attributes>:
   0:   00001341        andeq   r1, r0, r1, asr #6
   4:   61656100        cmnvs   r5, r0, lsl #2
   8:   01006962        tsteq   r0, r2, ror #18
   c:   00000009        andeq   r0, r0, r9
  10:   01080106        tsteq   r8, r6, lsl #2

Đã thử nghiệm trên Raspberry Pi 3.

Microsoft C (Visual Studio 2005 trở đi), 16 byte

main(){__ud2();}

Tôi không thể dễ dàng kiểm tra điều này, nhưng theo tài liệu, nó sẽ tạo ra một lệnh bất hợp pháp bằng cách cố ý thực hiện một lệnh chỉ kernel từ chương trình chế độ người dùng. (Lưu ý rằng vì hướng dẫn bất hợp pháp làm hỏng chương trình, chúng tôi không phải cố gắng quay lại main, nghĩa là mainchức năng kiểu K & R này là hợp lệ. Visual Studio không bao giờ được chuyển từ C89 thường là một điều xấu, nhưng nó đã xuất hiện hữu ích ở đây.)

Ruby, 13 byte

`kill -4 #$$`

Tôi đoán thật an toàn khi cho rằng chúng tôi đang chạy cái này từ vỏ * nix. Các chữ viết tắt backtick chạy lệnh shell đã cho. $$là quá trình Ruby đang chạy và #là để nội suy chuỗi.

Không cần gọi vỏ trực tiếp:

Ruby, 17 byte

Process.kill 4,$$

Bất kỳ shell (sh, bash, csh, v.v.), bất kỳ POSIX (10 byte)

Câu trả lời tầm thường nhưng tôi chưa thấy ai đăng nó.

kill -4 $$

Chỉ cần gửi SIGILL đến quy trình hiện tại. Ví dụ đầu ra trên OSX:

bash-3.2$ kill -4 $$
Illegal instruction: 4

Mã máy ELF + x86, 45 byte

Đây phải là chương trình thực thi nhỏ nhất trên máy Unix ném SIGILL (do Linux không nhận ra tệp thực thi nếu được thực hiện nhỏ hơn).

Biên dịch với nasm -f bin -o a.out tiny_sigill.asm, thử nghiệm trên máy ảo x64.

Thực tế nhị phân 45 byte:

0000000 457f 464c 0001 0000 0000 0000 0000 0001

0000020 0002 0003 0020 0001 0020 0001 0004 0000

0000040 0b0f c031 cd40 0080 0034 0020 0001

Danh sách hội (xem nguồn dưới đây):

;tiny_sigill.asm      
BITS 32


            org     0x00010000

            db      0x7F, "ELF"             ; e_ident
            dd      1                                       ; p_type
            dd      0                                       ; p_offset
            dd      $$                                      ; p_vaddr 
            dw      2                       ; e_type        ; p_paddr
            dw      3                       ; e_machine
            dd      _start                  ; e_version     ; p_filesz
            dd      _start                  ; e_entry       ; p_memsz
            dd      4                       ; e_phoff       ; p_flags


_start:
                ud2                             ; e_shoff       ; p_align
                xor     eax, eax
                inc     eax                     ; e_flags
                int     0x80
                db      0
                dw      0x34                    ; e_ehsize
                dw      0x20                    ; e_phentsize
                db      1                       ; e_phnum
                                                ; e_shentsize
                                                ; e_shnum
                                                ; e_shstrndx

  filesize      equ     $ - $$

Tuyên bố miễn trừ trách nhiệm: mã từ hướng dẫn sau đây về cách viết chương trình lắp ráp nhỏ nhất để trả về một số, nhưng sử dụng opcode ud2 thay vì Mov: http://www.muppetlabs.com/~breadbox/software/tiny/teensy.html

Tự động , 93 byte

Sử dụng lắp ráp nội tuyến Flatassembler:

#include<AssembleIt.au3>
Func W()
_("use32")
_("ud2")
_("ret")
EndFunc
_AssembleIt("int","W")

Khi chạy ở chế độ tương tác SciTE, nó sẽ bị sập ngay lập tức. Trình gỡ lỗi Windows sẽ bật lên trong một phần của giây. Đầu ra giao diện điều khiển sẽ giống như thế này:

--> Press Ctrl+Alt+Break to Restart or Ctrl+Break to Stop
0x0F0BC3
!>14:27:09 AutoIt3.exe ended.rc:-1073741795

Trong trường hợp -1073741795là mã lỗi không xác định ném ra bởi WinAPI. Đây có thể là bất kỳ số âm.

Tương tự bằng cách sử dụng trình biên dịch LASM của riêng tôi :

#include<LASM.au3>
$_=LASM_ASMToMemory("ud2"&@CRLF&"ret 16")
LASM_CallMemory($_,0,0,0,0)

NASM, 25 byte

Tôi không biết cách thức hoạt động của nó, chỉ là nó hoạt động trên máy tính của tôi (Linux x86_64).

global start
start:
jmp 0

Biên dịch và chạy như sau:

$ nasm -f elf64 ill.asm && ld ill.o && ./a.out
ld: warning: cannot find entry symbol _start; defaulting to 0000000000400080
Illegal instruction

TI-83 Hex hội, 2 byte

PROGRAM:I
:AsmPrgmED77

Chạy như Asm(prgmI). Thực thi opcode 0xed77 bất hợp pháp. Tôi đếm từng cặp chữ số hex là một byte.

Python, 32 byte

from os import*;kill(getpid(),4)

x86 .COM, 1 byte

c

ARPLnguyên nhân #UDở chế độ 16 bit

Vỏ Linux, 9 byte

kill -4 0

Gửi SIGILLđến quy trình với PID 0. Tôi không biết quy trình nào có PID 0, nhưng nó luôn tồn tại.

Hãy thử trực tuyến!

GNU C, 24 19 18 byte

^{-4 nhờ Dennis
-1 nhờ trần}

main(){goto*&"'";}

Hãy thử trực tuyến! Điều này giả định ASCII và x86_64. Nó cố chạy mã máy 27, mà ... là bất hợp pháp.

shortC , 10 5 4 byte

AV"'

Tương đương với mã GNU C ở trên. Hãy thử trực tuyến!

Mã máy trên x86_64, 2 1 byte

7

Hãy thử trực tuyến!

Chỉ cần gọi lệnh x86_64 0x07(trần nhà được đề xuất 0x07 thay vì 0x27)