竟態(tài)漏洞實現(xiàn)一個double free毫蚓,在釋放后,進行噴射昔善,填充好結構體元潘,刪除鏈表時會進行一個任意地址寫的漏洞,其中運用兩個信息泄露漏洞君仆,第一個可以占位噴射的結構體翩概,使其不崩潰,第二個繞過kaslr返咱。
-
實現(xiàn)了任意地址寫钥庇,會覆蓋一個check_flags函數(shù),實現(xiàn)用戶態(tài)可控咖摹、
然后修改addr_limit: 三星會檢查函數(shù)開始地址评姨,如果不是,則panic萤晴,傳統(tǒng)的kernel_setsockopt不行了- 可以打開不存在的文件吐句,則失敗胁后,set_fs(kernel_ds)生效。
- 用score_binary_upload覆蓋check_flags,內(nèi)部有memcpy嗦枢。
- 然后cred择同,頁表項,root相關的結構體會設成只讀净宵,需要發(fā)送指令給trust_zone,會進行嚴格的檢查裹纳。
- selinux完整性校驗會校驗uid等其他择葡。
- 禁止內(nèi)核態(tài)調用空間線程。
- 繞過的話可以重新設置一片cred剃氧, 修改selinux_hook_heads全局指針繞過檢查和selinux 敏储,load_scripts可以bypass內(nèi)核態(tài)進程禁止用戶空間的程序的執(zhí)行。
