格式化后的利用代码如下：

接下来看看这段代码如何作用，

首先对于linux而言，程序的执行会将ELF载入page cache中，避免每次从磁盘加载，从而提升程序运行性能

AF_ALG特殊的socket通信，linux中用于用户空间与内核空间的加密通信，有如下消息结构

问题就出在src和dst，微妙的是在某次优化中，为了节省额外的零拷贝消耗，直接将src直接指向dst，这样这两者为同一份数据，这样一来就坏菜了！

首先是发送函数：此处，该方法很简单，传入的参数无任何安全检查，[rax-10h]是未有任何安全检查的。

老夫直接F5了本机的algif_aead.ko内核模块，如上图

exp代码的u.recv ，对应内核中的recvmsg，其中调用解密函数（问题就出现在此）

实际传入：crypto_authenc_esn_decrypt

在该函数中，最终调用：crypto_authenc_esn_decrypt_tail

在crypto_authenc_esn_decrypt_tail中，如下，来到利用代码处4 byte写入。

exp代码中循环，每4 byte将shell code写入page cache。

实际的shell code生成保存后，IDA分析如下

很简单，就是设置UID为root，然后通过系统调用execve执行在page cache中被修改后的su命令，提权成功！，╮(╯▽╰)╭

[培训]《冰与火的战歌：Windows内核攻防实战》！从零到实战，融合AI与Windows内核攻防全技术栈，打造具备自动化能力的内核开发高手。