前言在上一篇文章d3kheap中提到还有另外一种解决办法就是利用这一CVE进行利用，所以这一篇依旧使用d3kheap来进行复现。不过这里首先提一下这个CVE原本的漏洞。 在原本的CVE中漏洞点是net/netfilter/x_tables.c 中 N...

这里作为演示的例题为d3kheap，也是我拖了很久的复现题目，题目链接放在文章末尾。这篇文章使用的方法是作者的预期解的方法，也就是setxattr多次劫持msg_msg泄漏地址，在下一篇文章会记录第二种方法 CVE-2021-22555。 题目分析1...

关于userfaultfd这里就不再提及了，不熟悉的可以看一下上一篇文章 https://cv196082.gitee.io/2022/08/16/userfaultfd/ setxattrsetxattr这个系统调用是非常独特的，在kernel的...

其实这应该是kernelpwn基础中的一个，但是一直没有很关心，在最近做一道题目时又提到了这一利用方式，索性就把这玩意给先写了。 简单理解userfaultfd 并不是一种攻击的名字，它是 Linux 提供的一种让用户自己处理缺页异常的机制，初衷是为...

在内核的堆题目中，如果不存在读取数据的函数可能是毫无头绪，因为堆块即便是free之后储存的也只是堆地址，这也没办法进行partial write等操作。那么在面对没有读取函数的情况下应该采取什么方法呢？ 利用原理linux存在这样一个系统调用叫做mo...

题目分析这道题依旧是一道kernel的堆题，题目很简单这里简单分析一下 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849...

题目分析题目实现的功能很容易看出来 123456789101112131415161718__int64 __fastcall list_ioctl(__int64 a1, unsigned int a2, __int64 a3){ ...

死都想不到house of apple居然有三篇文章，这里就把第二篇和第三篇合并起来一起学完吧。 house of apple2利用条件： 已知heap地址和glibc地址 能控制程序执行IO操作，包括但不限于：从main函数返回、调用exit函数...

这次的例题是solid_core，题目的整体和前面那一道stringipc几乎一样 12345678910111213141516171819202122case 0x77617369: if ( copy_from_user(&v27...

前言分析通过内存任意读写到提升权限的三种方式 在此之前呢，我所写的关于kernel的文章中适用到的提权方式基本都是通过commit_creds(prepare_kernel_cred(0));以及第一篇提到的直接修改cred结构体，所以这里将入门的其...