初识 KernelPWN

Kernel UAF-babydriver

现在处于一种并不了解 KernelPWN 的现状,这篇文章主要是根据已知文件和 exp 了解解题步骤,为后续打基础

利用 exp 解一道题目的过程:

在/home/kali/Desktop/give_to_player 有一道内核pwn ,这个可以自行去寻找文件

在该文件夹中有下面这些文件 bzImage rootfs.cpio boot.sh babydriver.ko exp.c

1778251611136-7779ee05-f302-4f8f-babe-d4fcdb665961.png

  • bzImage – Linux 镜像文件,是编译出来的 Linux 内核二进制文件, 负责管理 CPU、内存 、硬盘以及所有的硬件交互。
  • boot.sh – Qemu 启动脚本,启动配置文件,通常是一个 Shell 脚本,用来调用 Qemu 虚拟机并传入复杂的参数。
  • rootfs.cpio – gzip 压缩的文件系统, 初始文件系统 是一个精简的虚拟磁盘文件。通常包含 /bin/etc/lib 等基础目录,以及一个最重要的启动脚本 init

静态编译 exp.c:

1
gcc -static -masm=intel exp.c -o exp

1778251803485-78c6b201-29fb-435f-b9f5-240399e6048a.png

解包文件系统 (rootfs):

我们需要把刚才编译好的 exp 放进题目的文件系统里。因为它是 .cpio 格式,我们需要先把它解开。

在题目目录下执行以下命令:

1
2
3
4
5
6
7
8
9
10
11
# 1. 创建一个空目录用来存放解包后的文件
mkdir fs_extract
cd fs_extract

# 2. 解包 rootfs.cpio (假设原文件在上一层目录)
zcat ../rootfs.cpio | cpio -idmv

# 3. 这里是把上一层目录的 exp 复制到当前目录 (.)            
cp ../exp .
chmod +x exp

现在,fs_extract 目录下应该有 bin, etc, init 等 Linux 标准目录,以及你的 exp

重新打包文件系统:

把加入了 exp 的目录重新打包成 .cpio 文件替换掉原来的。

在 fs_extract 目录下执行:

1
2
# 将当前目录下的所有文件打包成新的 rootfs.cpio,放在上一层目录
find . -print0 | cpio --null -ov --format=newc > ../rootfs.cpio

1778251938914-332bb17c-4496-4ead-9c12-4f98d056c9de.png

修改 boot.sh:

1
nano boot.sh     # 去除 -enable-kvm

1778252762983-98e04ff4-de05-46b5-aa4a-c4c7f2d420c1.png

运行 boot.sh:

1
./boot.sh

运行 exp 进行提权:

1778253718787-ba3fc806-c452-4047-8362-aa253347310b.png

GDB 调试 kernelPWN

提取 vmlinux

1
2
#┌──(pwn_env)─(root㉿kali)-[/home/kali/Desktop/boot]
/home/kali/Desktop/extract-vmlinux ./bzImage > vmlinux

1778254535122-43eb080a-2bdb-4dc5-96e4-031ee7423c16.png

终端 A(QEMU 窗口): 执行那个带调试参数的命令(确保有 -s -S),让它卡住:

1
2
3
4
5
6
7
qemu-system-x86_64 \
    -m 256M \
    -kernel bzImage \
    -initrd rootfs.cpio \
    -append "console=ttyS0 root=/dev/ram rdinit=/bin/init loglevel=3 nokaslr" \
    -s -S \
    -nographic

1778254614563-682df2a8-b284-4a2a-9496-da323ea1d550.png

终端 B (GDB 调试器):

1
2
3
4
5
# 启动 GDB
gdb -q ./vmlinux

# 执行连接指令 (GDB 内部)
gef➤  target remote :1234

QEMU 内部 (查地址):

1
2
/ $ cat /proc/kallsyms | grep prepare_kernel_cred  # 获取内核函数地址
/ $ cat /proc/modules                             # 获取 babydriver 基址

GDB 内部 (设断点):

1
2
3
4
5
6
7
8
9
10
11
# 1. 强制加载文件(解决 No symbol table 报错)
gef➤  file ./vmlinux

# 2. 设置内核函数断点 (使用查到的地址)
gef➤  b *0xffffffff810a1810  # prepare_kernel_cred 地址

# 3. 设置驱动函数断点 (基址 + 偏移)
gef➤  b *0xffffffffc0000040  # 假设基址为 c0000000,偏移为 40

# 4. 让虚拟机跑起来
gef➤  c

此时回到 QEMU 窗口 运行 ./exp。当断点命中,回到 GDB 窗口 操作:

1
2
3
4
5
6
7
8
9
10
11
12
13
# 查看当前所有寄存器
gef➤  registers

# 查看当前堆栈内容 (追踪 ROP 链)
gef➤  stack 20
# 或使用 telescope 自动追踪指针
gef➤  telescope $rsp 20

# 单步执行汇编指令 (不进入函数)
gef➤  ni

# 查看内存 (例如检查 UAF 发生后的数据覆盖)
gef➤  x/20gx 0xffffffff88888888  # 检查你的目标内存块

1778255164711-a12a4c58-1739-4402-b41a-9a5f960090f6.png

1778255181839-bc0b4d04-8405-4bc6-8ffa-0cc41607d9ce.png

更新: 2026-05-09 19:01:43
原文: https://www.yuque.com/idcm/wnemg9/yw8gxitphmwsup3w