新建 函数调用链 模板 int io_uring_setup() { struct io_uring_params params; struct io_uring_sqe *sqe; struct io_uring_cqe *cqe; memset(&params, 0, sizeof(params)); int ring_fd = sys…

漏洞分析 内核版本 version 5.19.0-43-generic 模块分析 非常简单明了的漏洞点 device_ioctl提供任意地址读取，并且由于使用copy_to_user，可以直接搜索内存空间 而device_write提供了一个内核栈溢出 漏洞利用 泄漏地址 暴力搜索 遍历0xffffffff81000000到0xffffffffff…

基于uffd的任意地址写 基于list_del的任意地址写 函数调用链 do_msgrcv()->[find_msg()]->list_del()->__list_del_entry()->__list_del() 源码分析 #define POISON_POINTER_DELTA 0 #define LIST_POISON…

漏洞分析 函数调用链 __x64_sys_fsconfig()->vfs_fsconfig_locked()->vfs_parse_fs_param()->legacy_parse_param() __x64_sys_fsconfig SYSCALL_DEFINE5(fsconfig, int, fd, unsigned int,…

struct subprocess_info size: 0x60 (kmalloc-128) kernel_base =subprocess_info.work.func-call_usermodehelper_exec_work =((uint64_t *)subprocess_info)[0x3]-call_usermodehelper_ex…

shm_file_data size: 0x20 (kmalloc-32) ns, vm_ops泄漏kernel_base file泄漏kernel堆地址 struct shm_file_data { int id; struct ipc_namespace *ns; struct file *file; const struct vm_opera…