ksmbd Attack Surface & SMB2/SMB3 Protocol Fuzzing (syzkaller)

Reading time: 11 minutes

Overview

本页总结了使用 syzkaller 对 Linux 内核内置 SMB 服务器 (ksmbd) 进行驱动与模糊测试的实用技术。重点在于通过配置扩展协议攻击面、构建能串联 SMB2 操作的有状态 harness、生成语法有效的 PDU、将变异偏向弱覆盖的代码路径，以及利用 syzkaller 的特性（如 focus_areas 和 ANYBLOB）。虽然原始研究列举了具体 CVE，本处强调可复用的方法论和可适配到你自己环境的具体片段。

目标范围：SMB2/SMB3 over TCP。Kerberos 和 RDMA 为了保持 harness 简单被刻意排除在外。

Expand ksmbd Attack Surface via Configuration

默认的最小 ksmbd 配置会让服务器的大量部分未被测试。启用下列特性以驱动服务器触发更多解析器/处理器并到达更深的代码路径：

• Global-level
• Durable handles
• Server multi-channel
• SMB2 leases
• Per-share-level
• Oplocks (on by default)
• VFS objects

启用这些会增加对如下模块的执行覆盖：

• smb2pdu.c (command parsing/dispatch)
• ndr.c (NDR encode/decode)
• oplock.c (oplock request/break)
• smbacl.c (ACL parsing/enforcement)
• vfs.c (VFS ops)
• vfs_cache.c (lookup cache)

Notes

• Exact options depend on your distro’s ksmbd userspace (ksmbd-tools). Review /etc/ksmbd/ksmbd.conf and per-share sections to enable durable handles, leases, oplocks and VFS objects.
• Multi-channel and durable handles alter state machines and lifetimes, often surfacing UAF/refcount/OOB bugs under concurrency.

Authentication and Rate-Limiting Adjustments for Fuzzing

SMB3 需要一个有效会话。在 harness 中实现 Kerberos 会增加复杂性，因此模糊测试优先考虑 NTLM/guest：

• Allow guest access and set map to guest = bad user so unknown users fall back to GUEST.
• Accept NTLMv2 (patch policy if disabled). This keeps the handshake simple while exercising SMB3 code paths.
• Patch out strict credit checks when experimenting (post-hardening for CVE-2024-50285 made simultaneous-op crediting stricter). Otherwise, rate-limits can reject fuzzed sequences too early.
• Increase max connections (e.g., to 65536) to avoid early rejections during high-throughput fuzzing.

Caution: These relaxations are to facilitate fuzzing only. Do not deploy with these settings in production.

Stateful Harness: Extract Resources and Chain Requests

SMB 是有状态的：许多请求依赖于先前响应返回的标识符（SessionId、TreeID、FileID 对）。你的 harness 必须解析响应并在同一程序中重用这些 ID，才能到达更深的处理器（例如 smb2_create → smb2_ioctl → smb2_close）。

Example snippet to process a response buffer (skipping the +4B NetBIOS PDU length) and cache IDs:

// process response. does not contain +4B PDU length
void process_buffer(int msg_no, const char *buffer, size_t received) {
uint16_t cmd_rsp = u16((const uint8_t *)(buffer + CMD_OFFSET));
switch (cmd_rsp) {
case SMB2_TREE_CONNECT:
if (received >= TREE_ID_OFFSET + sizeof(uint32_t))
tree_id = u32((const uint8_t *)(buffer + TREE_ID_OFFSET));
break;
case SMB2_SESS_SETUP:
// first session setup response carries session_id
if (msg_no == 0x01 && received >= SESSION_ID_OFFSET + sizeof(uint64_t))
session_id = u64((const uint8_t *)(buffer + SESSION_ID_OFFSET));
break;
case SMB2_CREATE:
if (received >= CREATE_VFID_OFFSET + sizeof(uint64_t)) {
persistent_file_id = u64((const uint8_t *)(buffer + CREATE_PFID_OFFSET));
volatile_file_id   = u64((const uint8_t *)(buffer + CREATE_VFID_OFFSET));
}
break;
default:
break;
}
}

提示

• 保持一个 fuzzer 进程共享认证/状态：在 ksmbd 的 global/session tables 上能获得更好的稳定性和覆盖率。syzkaller 仍然通过将 ops 标记为 async 并在内部重新运行来注入 concurrency。
• Syzkaller’s experimental reset_acc_state 可以重置 global state，但可能会导致严重的性能下降。建议优先保证稳定性并专注于 fuzzing。

基于语法的 SMB2 生成 (有效的 PDUs)

将 Microsoft Open Specifications 中的 SMB2 结构翻译成一个 fuzzer grammar，使你的生成器能产生结构上有效的 PDUs，从而系统性地到达 dispatchers 和 IOCTL handlers。

示例 (SMB2 IOCTL request):

smb2_ioctl_req {
Header_Prefix           SMB2Header_Prefix
Command                 const[0xb, int16]
Header_Suffix           SMB2Header_Suffix
StructureSize           const[57, int16]
Reserved                const[0, int16]
CtlCode                 union_control_codes
PersistentFileId        const[0x4, int64]
VolatileFileId          const[0x0, int64]
InputOffset             offsetof[Input, int32]
InputCount              bytesize[Input, int32]
MaxInputResponse        const[65536, int32]
OutputOffset            offsetof[Output, int32]
OutputCount             len[Output, int32]
MaxOutputResponse       const[65536, int32]
Flags                   int32[0:1]
Reserved2               const[0, int32]
Input                   array[int8]
Output                  array[int8]
} [packed]

这种方式强制正确的结构大小/偏移，并相较于盲目变异显著提升覆盖率。

Directed Fuzzing With focus_areas

使用 syzkaller’s experimental focus_areas 来对当前覆盖率较弱的特定函数/文件增加权重。示例 JSON:

{
"focus_areas": [
{"filter": {"functions": ["smb_check_perm_dacl"]}, "weight": 20.0},
{"filter": {"files": ["^fs/smb/server/"]}, "weight": 2.0},
{"weight": 1.0}
]
}

这有助于构造有效的 ACLs，从而触发 smbacl.c 中的 arithmetic/overflow 路径。例如，一个具有超大 dacloffset 的恶意 Security Descriptor 会重现 integer-overflow。

复现生成器 (minimal Python):

def build_sd():
import struct
sd = bytearray(0x14)
sd[0x00] = 0x00; sd[0x01] = 0x00
struct.pack_into('<H', sd, 0x02, 0x0001)
struct.pack_into('<I', sd, 0x04, 0x78)
struct.pack_into('<I', sd, 0x08, 0x00)
struct.pack_into('<I', sd, 0x0C, 0x10000)
struct.pack_into('<I', sd, 0x10, 0xFFFFFFFF)  # dacloffset
while len(sd) < 0x78:
sd += b'A'
sd += b"\x01\x01\x00\x00\x00\x00\x00\x00"  # minimal DACL
sd += b"\xCC" * 64
return bytes(sd)

用 ANYBLOB 打破覆盖率停滞

syzkaller 的 anyTypes (ANYBLOB/ANYRES) 允许将复杂结构折叠为以通用方式变异的 blob。可从公开的 SMB pcaps 为新的语料库 seed，并将 payloads 转换为调用你的伪系统调用（例如 syz_ksmbd_send_req）的 syzkaller 程序：

# Extract SMB payloads to JSON
# tshark -r smb2_dac_sample.pcap -Y "smb || smb2" -T json -e tcp.payload > packets.json

import json, os
os.makedirs("corpus", exist_ok=True)

with open("packets.json") as f:
data = json.load(f)
# adjust indexing to your tshark JSON structure
packets = [e["_source"]["layers"]["tcp.payload"] for e in data]

for i, pkt in enumerate(packets):
pdu = pkt[0]
pdu_size = len(pdu) // 2  # hex string length → bytes
with open(f"corpus/packet_{i:03d}.txt", "w") as f:
f.write(
f"syz_ksmbd_send_req(&(&(0x7f0000000340))=ANY=[@ANYBLOB=\"{pdu}\"], {hex(pdu_size)}, 0x0, 0x0)"
)

这可以快速启动探索，并可能立即触发 UAFs (例如在 ksmbd_sessions_deregister 中)，同时将覆盖率提升几个百分点。

Sanitizers: 超越 KASAN

• KASAN remains the primary detector for heap bugs (UAF/OOB).
• KCSAN 在此目标上常常产生误报或低严重性的数据竞争。
• UBSAN/KUBSAN 可以捕获由于数组索引语义导致 KASAN 漏报的声明边界错误。示例:

id = le32_to_cpu(psid->sub_auth[psid->num_subauth - 1]);
struct smb_sid {
__u8 revision; __u8 num_subauth; __u8 authority[NUM_AUTHS];
__le32 sub_auth[SID_MAX_SUB_AUTHORITIES]; /* sub_auth[num_subauth] */
} __attribute__((packed));

Setting num_subauth = 0 triggers an in-struct OOB read of sub_auth[-1], caught by UBSAN’s declared-bounds checks.

吞吐量与并行性说明

• 单个 fuzzer 进程（shared auth/state）对于 ksmbd 通常更稳定，并且由于 syzkaller 的 internal async executor，仍然能暴露 race/UAF 等问题。
• 使用多台 VM 时，总体仍可达到每秒数百个 SMB 命令的处理量。函数级覆盖率可以达到对 fs/smb/server 约 ~60% 和对 smb2pdu.c 约 ~70%，不过这类度量通常低估了状态转换的覆盖情况。

实用清单

• 在 ksmbd 中启用 durable handles、leases、multi-channel、oplocks 和 VFS objects。
• 允许 guest 和 map-to-guest；接受 NTLMv2。去掉 credit limits 并提高 max connections 以提高 fuzzer 的稳定性。
• 构建一个有状态的 harness，缓存 SessionId/TreeID/FileIDs，并将 create → ioctl → close 链接起来。
• 使用针对 SMB2 PDUs 的 grammar 以保持结构有效性。
• 使用 focus_areas 来加重那些覆盖较弱的函数（例如 smbacl.c 中像 smb_check_perm_dacl 的路径）。
• 使用来自真实 pcaps 的 ANYBLOB 作为种子以打破平台期；使用 syz-db 打包种子以便复用。
• 在 KASAN + UBSAN 下运行；仔细整理 UBSAN declared-bounds 报告。

参考资料

• Doyensec – ksmbd Fuzzing (Part 2): https://blog.doyensec.com/2025/09/02/ksmbd-2.html
• syzkaller: https://github.com/google/syzkaller
• ANYBLOB/anyTypes (commit 9fe8aa4): https://github.com/google/syzkaller/commit/9fe8aa4
• Async executor change (commit fd8caa5): https://github.com/google/syzkaller/commit/fd8caa5
• syz-db: https://github.com/google/syzkaller/tree/master/tools/syz-db
• KASAN: https://docs.kernel.org/dev-tools/kasan.html
• UBSAN/KUBSAN: https://docs.kernel.org/dev-tools/ubsan.html
• KCSAN: https://docs.kernel.org/dev-tools/kcsan.html
• Microsoft Open Specifications (SMB): https://learn.microsoft.com/openspecs/
• Wireshark Sample Captures: https://wiki.wireshark.org/SampleCaptures
• 背景阅读: pwning.tech “Tickling ksmbd: fuzzing SMB in the Linux kernel”; Dongliang Mu’s syzkaller notes