Retme的未来道具研究所

世界線の収束には、逆らえない

详情:

https://www.codeaurora.org/projects/security-advisories/stack-based-buffer-overflow-and-memory-disclosure-camera-driver-cve-2013-4738-cve-2013-4739

貌似没有poc,那我就先不放了。。。去年的note 3都有这个问题

又一个典型的栈溢出,ioctl的lenth可控。如果想利用rop转换成任意地址写,可以参考http://retme.net/index.php/2014/03/31/CVE-2013-2597-acdb.html

如果可以将LR指向一个用户态地址,那就不用rop了,这样硬编码少一点

对于这种方法想说的是,我发现这个栈溢出我利用完之后没办法返回去继续执行了。。。原因还不知道【该死的google,没有调试器

那么就让子进程为父进程提权,提权完成后让子进程弄个死循环在里面转悠吧。搜索parent_cred需要一点小技巧

记录完毕,睡觉睡觉


评论已关闭