详情：

https://www.codeaurora.org/projects/security-advisories/stack-based-buffer-overflow-and-memory-disclosure-camera-driver-cve-2013-4738-cve-2013-4739

貌似没有poc，那我就先不放了。。。去年的note 3都有这个问题

又一个典型的栈溢出,ioctl的lenth可控。如果想利用rop转换成任意地址写，可以参考http://retme.net/index.php/2014/03/31/CVE-2013-2597-acdb.html

如果可以将LR指向一个用户态地址，那就不用rop了，这样硬编码少一点

对于这种方法想说的是，我发现这个栈溢出我利用完之后没办法返回去继续执行了。。。原因还不知道【该死的google，没有调试器

那么就让子进程为父进程提权，提权完成后让子进程弄个死循环在里面转悠吧。搜索parent_cred需要一点小技巧

记录完毕，睡觉睡觉