新爆内核高危漏洞sock_sendpage的利用分析的讨论

hackisle

感觉楼上说的有道理

。。可是如果是动态链接的话，这样在符号解析的过程中会出问题吗？

CUDev

此言差矣。如果是fopen呢？在Kernel里调fopen()，fopen()底层又调用read()系统调用，又回到了Kernel。
就出现了“先有鸡还是先有蛋”的问题

kouu

原帖由 hackisle 于 2009-8-19 23:46 发表
感觉楼上说的有道理

。。可是如果是动态链接的话，这样在符号解析的过程中会出问题吗？

动态链接还是有一点差别的, 我感觉应该可以, 函数调用就是多加了一层跳转表吧~ 但是不是很确定.

原帖由 CUDev 于 2009-8-19 23:52 发表
此言差矣。如果是fopen呢？在Kernel里调fopen()，fopen()底层又调用read()系统调用，又回到了Kernel。
就出现了“先有鸡还是先有蛋”的问题

你做了这样的假设, 那不等于已经认同kernel_code里面可以调C库了吗?
当然, 能不能调是一回事, 正确与否是另外一回事. 不正确并不代表不能.
再说, 内核里面为什么就不能调用系统调用了? 系统调用不就是通过软中断指令来实现的么, 进入系统调用后没有把这个软中断屏蔽掉的吧, 中断嵌套一下怎么不可以呢?
并且我好像记得内核里面使用系统调用还是合法的. 但是不记得如果系统调用嵌套, 内核栈是怎样被处理的了...

另外, 这个也根本不是什么“先有鸡还是先有蛋”的问题, 程序的执行是有源头的.
从系统启动, 到内核初始化, 再到用户进程被创建执行, 再到shell被执行, 再到这个攻击用的程序被执行, 再到这个程序以某种手断进入内核, 再到这个程序的代码在内核态下运行... 每一步都有确切的上一步的~

[ 本帖最后由 kouu 于 2009-8-20 10:28 编辑 ]

bobozhang

内核态跟用户态不在于地址，而在于cpu的状态和堆栈，内核态可以执行一些特殊指令，用的栈也是在内核地址空间中。

我也觉得那个exit_kernel用不着阿，直接返回到return sock->ops->sendpage(sock, page, offset, size, flags);这句不行吗？我觉得返回到这里后它会一直返回直到返回到用户空间也就是sendfile的下一句，在这里再执行shell。不知道为什么不这样

CUDev

我是按照您的思路进行假设的，我从来没有认为在Kernel里面可以调用C库

CUDev

之前发的另外一个exploit中，就没有exit_kernel()这样的代码，而是直接返回

albeta

赞一个，楼主解释很清楚啊。希望以后多多做这样的文章。

kouu

OK，这样讨论下去没意义。有空我做个实验试试……

scutan

佩服，谢谢九贱兄

albeta

弱弱的问一下
personality(PER_SVR4) 有啥用