```c

vsock_stream_etssockopt()  {

struct sock *sk;

    struct vsock_sock *vsk;

    const struct vsock_transport *transport;

    /* ... */

    sk = sock->sk;

    vsk = vsock_sk(sk);

    transport = vsk->transport;

    lock_sock(sk);      //  内核sock锁

}

```

vsk 存在本地变量，当sock被条件竞争释放后，这个本地保存的变量将会实现一个四字节的地址写漏洞。

类似这样，setsockopt触发vsock_stream_etssockopt. 但被第二个进程connect竞争等待，这里vsock_stream_connect有一定的几率先于vsock_stream_setsockopt操作释放vsock_sock, 但vsock_stream_setsockopt保存了备份，所以出现了uaf。

为了在释放后执行virtio_transport_notify_buffer_size, 需要对setsockopt 参数size进行随机变化，绕过参数检查

```c

 if (val != vsk->buffer_size &&

      transport && transport->notify_buffer_size)

        transport->notify_buffer_size(vsk, &val);

```

利用msg_msg机制堆喷占位，实现kmalloc-64内存占用。这时vsock_sock->buf_alloc的位置，也就是msg_msg->security的位置前四字节将会被修改。

为了泄露地址，这里利用内核报警   virto_transport_send_pkt_info()。作者gdb分析了崩溃地址的的寄存器地址，分析得出了RCX,  RBX 分别包含了virto_vsock_sock  和  vsock_sock。这个方式还是有点怪，不过应该也可以算可行。

目前我们可以提前释放这两个指针。  

再往后的操作有点杀脑细胞了。

```c

/* one msg_msg structure for each message */

struct msg_msg {

    struct list_head m_list;

    long m_type;

    size_t m_ts;        /* message text size */

    struct msg_msgseg *next;

    void *security;    //无SELinux，这里为NULL

    /* the actual message follows immediately */

};

```

m2的地址是知道的，利用msg_msg占用，二次强制释放。那么这个时候m2可以有两个指针操作，vsock_sock,  msg_msg两个数据结构，再往后 setxattr() & userfaultfd() 精确堆喷占位m2, 伪造m2出的msg->next指针为     vsock_sock地址， 就可以读到m2没有被破坏的数据。

void (*sk_write_space)(struct sock *)函数指针在vsock_sock.sk偏移量688处，被设置为sock_def_write_space()内核函数的地址。它可以用来计算KASLR偏移量。通过这个可以绕过kaslr.

作者制造了sk_buff的uaf.

这里首先  

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)