llovewuzhengzi的博客

offset是在下一个0x8000块中的偏移，即对应到哪个packet_socket的哪个部分，为2048 + TIMER_OFFSET - 8代表第二个packet_sock->rx_ring->prb_bdqc->retire_blk_timer->func中的retire_blk_timer字段，由于会。后来发现没有native_write_cr4，感觉是没有编译进去，找到调用的地方的文件名， 然后在当前的目录的kconfig找到有个文件名的config选项，最后在.config开启，再重新编译。

文章目录参考Use After Free绑核cred_jar 可合并expcred_jar 不可合并利用 tty_struct 劫持程序控制流提权expHeap Overflow排布溢出修改 credexp堆溢出 + 堆喷射覆写 seq_operations 控制内核执行流expArbitrary Address Allocation（freelist 劫持）modprobe_path提权利用expOff By Null调试漏洞利用poll初始化喷poll_list和user_key_payload喷seq

文章目录参考qwb2018 core检查逆向调试打包上传测试脚本retuserkernel ropinit_credcommit_creds( prepare_kernel_cred(0) )开启KPTI利用swapgs_restore_regs_and_return_to_usermode开启KPTI利用SIGSEGVrop设置CR3寄存器再按照没有KPTI返回kernel rop + ret2userpt_regs 构造 kernel ROPret2dir参考https://arttnba3.cn/

在SLUB分配器中，通常CPU局部的partial链表上的SLAB是冻结的，而Node级别的partial链表上的SLAB是解冻的，这是因为Node级别的SLAB是所有CPU共享的资源，需要保持较高的可用性。当一个 kmem_cache 在创建时，若已经存在能分配相等/近似大小的 object 的 kmem_cache ，则不会创建新的 kmem_cache，而是为原有的 kmem_cache 起一个 alias，作为“新的” kmem_cache 返回。：这是要创建的设备自己的设备号。