栈溢出是最基本的一个漏洞，学习 pwn 从栈溢出开始学习是比较简单的入门方式。之前也研究过 linux 内核，但因为种种原因不得不放弃。现在跟着安卓版主学习了几天linux内核漏洞，收获了不少知识，开始自己梳理和分享自己的笔记，特此感谢版主老师的教导

Canary: 是防止栈溢出的保护，一般在 ebp-0x8 的位置，学习 linux pwn 的基本知识，不细讲
KASLR：地址随机化，类似 ASLR
SMAP：内核保护机制，内核态不可使用用户态的数据
SMEP：内核保护机制，内核态不可执行用户的代码
commit_creds(prepare_kernel_cred(0)) :获得 root权限功能函数
file_opertion : Linux使用file_operations结构访问驱动程序的函数,这个结构的每一个成员的名字都对应着一个调用ioctl系统调用来控制设备

vmlinux_base: 内核加载基址,有了这个可以绕过 kaslr 实现内核的其他函数

获取方式:head /proc/kallsyms 1,startup对应的地址就是基址

core_base:驱动加载基地址

查看基地址方式
cat /proc/modules
cat /proc/devices
cat /proc/kallsyms
lsmod
dmesg

题目:2018 强网杯CTF pwncore

从checksec我们可以知道开启canary和nx enable

在start.sh可以看到内核没有开启smep和smap，但开启kaslr

首先是ioctl,通过ioctl可以实现core_read和修改off和core_core_func三个功能，我们可以控制ioctl的三个参数，就是arg1(a1),arg2,arg3

通过ioctl我们可以知道core_read的两个参数对应着arg3和arg2,这里有个泄漏栈地址的漏洞copy_to_user,该函数功能是从v6+off开始的位置读取64个字符到arg3中，通过这个函数可以将栈上v6+off到v6+off+0x64的栈空间传递到我们的buff,即可泄漏canary和vmlinux_base以及core_base,方便我们构造ROP chain。

core_write函数这里copy_from_user可以让我们写name,限制字符数是0x800

这里注意到qmemcpy,v2是rbp-50h的地方，可是name是我们控制的变量，并且可以写0x800个字符，那么我们可以这里进行栈溢出劫持控制流

编写EXP的时候我们需要注意，进入内核时需要保存当前进程的环境,同时在
init_module 里面有个core_proc = proc_create("core", 438LL, 0LL, &core_fops);
core_fops是file_operation的结构体，它是linux调用的时候指定的函数，
驱动加载的时候调用了init_module,导致我们写的一些函数都指向了驱动中的函数。
这里注册了core_write、core_ioctl、core_release,通过这个结构体我们调用write就是调用core_write,ioctl就是调用core_ioctl.知道这些才能正确地编写exp，exp对应函数调用如下：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课