新爆內(nèi)核高危漏洞sock_sendpage的利用分析的討論

Godbach

（這個 - 6是什么意思，大家指點一下）
在地址0x0處埋下代碼kernel_code 函數(shù)，因為0x90 = nop, 0xe9 = jmp
上面代碼可表示為在映射的地址0處，執(zhí)行

查了一下手冊。這里E9對應的jmp是相對跳轉(zhuǎn)。也就是jmp 后面跟的操作數(shù)，應該是應跳轉(zhuǎn)到的地址和當前下一條指令地址之間的差值。
當前jmp下一條指令的地址應該是6， 所以jmp后面的操作數(shù)應該是&kernel_code -6.
也就是*(unsigned long *)2 = &kernel_code -6

見intel的手冊

E9 cw JMP rel16 A N.S. Valid
     Jump near, relative,displacement relative to next instruction. Not supported in 64-bit mode.
E9 cd JMP rel32 A Valid Valid
     Jump near, relative, RIP =RIP + 32-bit displacement sign extended to 64-bits

W.Z.T

原帖由 Godbach 于 2010-1-20 10:31 發(fā)表


查了一下手冊。這里E9對應的jmp是相對跳轉(zhuǎn)。也就是jmp 后面跟的操作數(shù)，應該是應跳轉(zhuǎn)到的地址和當前下一條指令地址之間的差值。
當前jmp下一條指令的地址應該是6， 所以jmp后面的操作數(shù)應該是&kernel_code ...

nop, jmp各占一個字節(jié)， offset戰(zhàn)4個字節(jié)，jmp后面的地址為便宜地址就是kernel_code的地址減去jmp之后下一條指令的地址， 下一條指令的地址就是1+1+4， 因為是從內(nèi)存0開始算的。

Godbach

        mem[0] = '\xff';
        mem[1] = '\x25';
        *(unsigned int *)&mem[2] = (sizeof(unsigned long) != sizeof(unsigned int)) ? 0 : 6;
        *(unsigned long *)&mem[6] = (unsigned long)&own_the_kernel;

另外一個例程使用的是絕對跳轉(zhuǎn)，F(xiàn)F 25 是代表的JMP，但是這里mem[2]里面存儲的int型數(shù)值是做什么呢？

gary721400

學習了，佩服佩服！

kwest

強帖留名，很久沒上CU了。最近google sendfile調(diào)用才看到此帖，呵呵，有空好好研究研究。

Godbach

確實很久沒見到kwest兄了

z85525006

原來就是這樣發(fā)現(xiàn) 系統(tǒng) 漏洞的阿｀！ 要是寫補丁的話，是不是重新寫個模塊就可以了，然后內(nèi)核編譯呢，

  似乎我有點點感覺了，