kernel tty_struct

于 2022-02-14 15:33:38 发布
阅读量638 收藏
点赞数 1
分类专栏: pwn 题目的整理 文章标签: linux 驱动开发 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlz_lc_4/article/details/122925603
版权
本文详细探讨了Linux内核中的tty_struct结构体,从ptmx的定义到write执行流程,分析了如何利用tty_struct进行内核级别的漏洞利用。文章通过fake_ops构造、kernel ROP技术,展示了在安全上下文中如何绕过SMEP保护进行提权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

kernel tty_struct exp

文章目录

tty_struct

Linux下一个特殊的驱动文件,是默认集成在linux中的, 代码在driver/tty文件夹。主要文件在 pty.c

ptmx

可以看到其对应的 file_operations结构,定义为ptmx_fops

然后可以看到对应的__init函数,驱动载入的初始化代码在 unix98_pty_init函数,

image-20220213185023138

在此函数最后, 设置了文件 "/dev/ptmx"

image-20220213184120686

在这里也可以看到我们的ptmx_fops.open被设置为了 ptmx_open函数,

定义

我们的主角: struct tty_struct结构体定义在 include/linux/tty.h

其实唯一需要注意的是第四位的ops: const struct tty_operations *ops;

struct tty_struct {
   
        int     magic;
        struct kref kref;
        struct device *dev;
        struct tty_driver *driver;
        const struct tty_operations *ops;
        int index;

        /* Protects ldisc changes: Lock tty not pty */
        struct ld_semaphore ldisc_sem;
        struct tty_ldisc *ldisc;

        struct mutex atomic_write_lock;
        struct mutex legacy_mutex;
        struct mutex throttle_mutex;
        struct rw_semaphore termios_rwsem;
        struct mutex winsize_mutex;
        spinlock_t ctrl_lock;
        spinlock_t flow_lock;
        /* Termios values are protected by the termios rwsem */
        struct ktermios termios, termios_locked;
        struct termiox *termiox;        /* May be NULL for unsupported */
        char name[64];
        struct pid *pgrp;               /* Protected by ctrl lock */
        struct pid *session;
        unsigned long flags;
        int count;
        struct winsize winsize;         /* winsize_mutex */
        unsigned long stopped:1,        /* flow_lock */
                      flow_stopped:1,
                      unused:BITS_PER_LONG - 2;
        int hw_stopped;
        unsigned long ctrl_status:8,    /* ctrl_lock */
                      packet:1,
                      unused_ctrl:BITS_PER_LONG - 9;
        unsigned int receive_room;      /* Bytes free for queue */
        int flow_change;

        struct tty_struct *link;
        struct fasync_struct *fasync;
        int alt_speed;          /* For magic substitution of 38400 bps */
        wait_queue_head_t write_wait;
        wait_queue_head_t read_wait;
        struct work_struct hangup_work;
        void *disc_data;
        void *driver_data;
        struct list_head tty_files;

#define N_TTY_BUF_SIZE 4096

        int closing;
        unsigned char *write_buf;
        int write_cnt;
        /* If the tty has a pending do_SAK, queue it here - akpm */
        struct work_struct SAK_work;
        struct tty_port *port;
};

这个tty_operations定义在include/linux/tty_driver.h, 可以看到 大量的hook位。

struct tty_operations {
   
        struct tty_struct * (*lookup)(struct tty_driver *driver,
                        struct inode *inode, int idx);
        int  (*install)(struct tty_driver *driver, struct tty_struct *tty);
        void (*remove)(struct tty_driver *driver, struct tty_struct *tty);
        int  (*open)(struct tty_struct * tty, struct file * filp);
        void (*close)(struct tty_struct * tty, struct file * filp);
        void (*shutdown)(struct tty_struct *tty);
        void (*cleanup)(struct tty_struct *tty);
        int  (*write)(struct tty_struct * tty,
                      const unsigned char *buf, int count);
        int  (*put_char)(struct tty_struct *tty, unsigned char ch);
        void (*flush_chars)(struct tty_struct *tty);
        int  (*write_room)(struct tty_struct *tty);
        int  (*chars_in_buffer)(struct tty_struct *tty);
        int  (*ioctl)(struct tty_struct *tty,
最低0.47元/天 解锁文章
linux kernal pwn STARCTF 2019 hackme(二)劫持tty_struct ioctl && 劫持tty_struct write
yongbaoii的博客
04-20 459
承接上文
tty节点的操作tty_open
weixin_37303427的博客
01-18 1098
       接上一篇,我们已经注册了一个tty设备驱动并且在/dev生成相应的设备节点,我们对这个节点的操作open,read,write等对应的就是 static const struct file_operations tty_fops = { .llseek = no_llseek, .read = tty_read, .write = tty_write, .poll ...
tty_struct数据结构
月出皎兮。 佼人僚兮。 舒窈纠兮。 劳心悄兮。
04-18 6719
tty_driver是在驱动中通过alloc_tty_driver函数分配的,这个进一步调用kzalloc来申请内存,所以分配到的内存都是已经初始化为0的了。 所以tty_driver中的flags等未被赋值的都是0。这里需要注意! 因为到时候open的时候,会初始化tty_struct,而tty_struct中的部分值是根据tty_driver中的flags来初始化的! str
对于LINUX内核tty设备的一点理解
四哥的专栏
03-26 1893
虽然一直做嵌入式Linux,宿主机和开发板通信天天都在用tty设备通信,但是其实自己对TTY设备及终端的概念认识几乎是0。对于Linux内核的终端、tty、控制台等概念的认识很模糊。由于在学习的时候碰到了重定向console的问题,所以借机学习下tty的知识。以下是我对tty的认识总结,信息来源于网络和内核文档。参考资料见文章末尾。 tty一词源于Teletypes,或Teletypewrite
linux tty结构体,18.8. tty_struct 结构的细节
weixin_30650059的博客
05-14 579
## 18.8.tty_struct 结构的细节tty_struct 变量被 tty 核心用来保持当前的特定 tty 端口的状态. 几乎它的所有的朋友都只被 tty 核心使用, 有几个例外. 一个 tty 驱动可以使用的成员在此描述:unsigned long flags;tty 设备的当前状态. 这是一个位段变量, 并且通过下面的宏定义存取:TTY_THROTTLED当驱动以及有抑制函数被调用...
linux kernel pwn学习之伪造tty_struct执行任意函数
seaaseesa的博客
02-29 2195
Linux Kernel伪造tty_struct执行任意函数 当用户打开ptmx驱动时,会分配一个tty_struct结构,它的结构如下 structtty_struct{ intmagic; structkrefkref; structdevice*dev; structtty_driver*driver; ...
drivers/platform/uart_test_lbc/zx-uart-test_tx_ker.c:18:19: error: too many arguments to function ‘tty_driver_kref_get’ 18 | tty = tty_driver_kref_get(driver, idx); | ^~~~~~~~~~~~~~~~~~~ In file included from ./include/linux/tty.h:10, from drivers/platform/uart_test_lbc/zx-uart-test_tx_ker.c:1: ./include/linux/tty_driver.h:486:34: note: declared here 486 | static inline struct tty_driver *tty_driver_kref_get(struct tty_driver *d) | ^~~~~~~~~~~~~~~~~~~ drivers/platform/uart_test_lbc/zx-uart-test_tx_ker.c:18:17: error: assignment to ‘struct tty_struct *’ from incompatible pointer type ‘struct tty_driver *’ [-Werror=incompatible-pointer-types] 18 | tty = tty_driver_kref_get(driver, idx); | ^ cc1: some warnings being treated as errors
最新发布
03-08
接下来第二个错误是因为tty_driver_kref_get返回的是struct tty_driver*,而用户代码试图将其赋值给struct tty_struct*类型的变量tty。这显然类型不匹配,导致指针类型不兼容的错误。 那为什么会发生这种情况呢?...
tiny_tty_kernel_3.12.74
09-30
驱动程序还需要定义一个`struct tty_driver`结构体,其中包含了驱动的相关信息,如版本号、操作函数指针等。 内核的TTY子系统使用了缓冲区来暂存待处理的输入和输出数据。在tiny_tty模块中,你需要关注如何管理和...
LINUX TTY驱动构架
pan0755的博客
08-27 526
再看Linuxtty驱动过程中发现linux驱动构架中,面向对象的思想已经根深蒂固。就比如这串口驱动,代码中经常有一些貌似和串口无关的代码,比如,tty_register_driver等。但我们却删它不得。因为正是这些代码实现了tty_core和具体的tty_driver(比如串口驱动)的联系和纽带。tty驱动tty_core为最上层,tty_driver为最下层,线路规程层为中间层。tty_struct结构体为这三层交互的主要结构体。该结构体中包含了tty_core和线路规程层的操作方法。上层的操作.
linux tty结构体,linux tty驱动架构分析
weixin_30601893的博客
05-14 748
再看Linuxtty驱动过程中发现linux驱动构架中,面向对象的思想已经根深蒂固。就比如这串口驱动,代码中经常有一些貌似和串口无关的代码,比如,tty_register_driver等。但我们却删它不得。因为正是这些代码实现了tty_core和具体的tty_driver(比如串口驱动)的联系和纽带。tty驱动tty_core为最上层,tty_driver为最下层,线路规程层为中间层。tty...
linux虚拟tty驱动(kernel4.9版本以上)
03-21
linux虚拟tty驱动(kernel4.9版本以上),可产生多个tty串口设备于/dev/下,本人在Hi3516上交叉编译并应用,实现多个虚拟串口同时控制一个实际串口的操作
对于Linux内核tty设备的一点理解
06-06
对于Linux内核tty设备的一点理解,可以初学者更加的理解linux下的TTY
Linux终端tty设备驱动编程.
02-27
Linux 系统中,终端设备非常重要,没有终端设备,系统将无法向用户反馈信息,Linux中包含控制台、串口和伪终端3 类终端设备
设备驱动中的tty(kernel-4.7)
viewsky11的专栏
12-16 1864
TTY概念解析在Linux系统中,终端是一类字符型设备,它包括多种类型,通常使用tty来简称各种类型的终端设备。• 串口终端(/dev/ttyS*) 串口终端是使用计算机串口连接的终端设备。Linux把每个串行端口都看作是一个字符设备。这些串行端口所对应的设备名称是 /dev/ttySAC0;/dev/ttySAC1……• 控制台终端(/dev/console) 在Linux系统中,计算机的
tty_operations
weixin_30536513的博客
02-12 124
struct tty_operations { struct tty_struct * (*lookup)(struct tty_driver *driver, struct inode *inode, int idx); //返回对应的tty设备, 若为NULL则返回ERR_PTR, 在tty_mutex函数中调用...
TTYstruct tty_buffer
星空探索
03-10 953
struct tty_buffer {  union {   struct tty_buffer *next;   struct llist_node free;  };  int used;  int size;  int commit;  int read;  int flags;  /* Data points here */  unsigned long data[0
TTYstruct tty_ldisc
星空探索
03-10 1277
struct tty_ldisc {  struct tty_ldisc_ops *ops;  struct tty_struct *tty; };struct tty_ldisc_ops {  int magic;  char *name;  int num;  int flags; /*   * The following routines are called from ab
linux tty函数调用,Linux Kernel TTY子系统tty_fasync函数本地拒绝服务漏洞
weixin_29447473的博客
05-10 142
Linux Kernel TTY子系统tty_fasync函数本地拒绝服务漏洞发布日期:2010-01-27更新日期:2010-09-13受影响系统:Linux kernel 2.6.x不受影响系统:Linux kernel 2.6.32.6描述:----------------------------------------------------------------------------...
TTY 字符设备几个重要的结构体
chenliang0224的专栏
02-24 956
1. struct tty_operations struct tty_operations { struct tty_struct * (*lookup)(struct tty_driver *driver, struct inode *inode, int idx); int (*install)(struct tty_driver *driver, struct tty_str...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值