前言

好一陣子之前在 Twitter 上看到有人提到這個 CVE，pkexec 存在漏洞可以使攻擊者能夠提權變成 root，而這支 SUID program 在許多 linux distros 上是預設安裝的，在看了 seclists 上的文章後，我自己覺得這個漏洞真的蠻酷的，對我來說最主要的酷點是沒看過類似的洞，並且也是第一次看到這樣的利用方式，所以當下就決定之後要來寫看看這個 CVE 的 exploit 了，給自己的限制就是只能看前面提到的文章，接下來就來講講過程吧！

前言

上一篇 bypass SMAP 的方式主要是把 ROP chain 建在 kernel-space memory 中，但總感覺跟 bypass SMEP 差不多，就寫寫看不同的 exploit 了。

本篇 exploit 爬出了 exploit process 的 task_struct，進一步爬出 cred，最終通過改 cred 來提權，而非執行熟悉的 commit_creds(prepare_kernel_cred(0))。

但因為此 exploit 是通過改寫 slab object 的 next free object pointer 來達到在任意處分配 object，會影響到 free list 的指向，再加上這題在分配 pool 時也必須蓋掉分配到的記憶體，導致本 exploit 不是很穩定。

前言

練習了一下如何 bypass SMAP+SMEP，這題的漏洞很好利用，很適合拿來練習利用手段。