内核提权技术详解：seq_operations与pt_regs结构体利用<\/h1>

一、序列文件接口(Sequence File Interface)基础<\/h2>

1.1 seq_file背景与作用<\/h3>
序列文件接口是针对procfs默认操作函数每次只能读取一页数据的限制而设计的，为处理较大的proc文件提供了更友好的内核编程接口。<\/p>

1.2 seq_file结构体<\/h3>

定义于\/include\/linux\/seq_file.h<\/code>中，关键特性：<\/p>


为file结构体提供private data成员<\/li>
其中的函数表成员op<\/code>在打开文件时通过kmalloc<\/code>动态分配<\/li>
<\/ul>
1.3 single_open简化接口<\/h3>
定义于fs\/seq_file.c<\/code>中的简化初始化函数：<\/p>

使用kmalloc<\/code>分配seq_operations<\/code>所需空间<\/li>
分配空间来自kmalloc-32<\/code>或GFP_KERNEL_ACCOUNT<\/code><\/li>
难以直接操纵seq_file<\/code>结构体本身，因为其空间从单独的seq_file_cache<\/code>中分配<\/li>
<\/ul>
二、seq_operations结构体分析<\/h2>
2.1 结构定义<\/h3>
定义于\/include\/linux\/seq_file.h<\/code>，包含四个函数指针：<\/p>
struct<\/span> seq_operations {
<\/span><\/span>    void<\/span> *<\/span> (*<\/span>start) (struct<\/span> seq_file *<\/span>m, loff_t *<\/span>pos);
<\/span><\/span>    void<\/span> (*<\/span>stop) (struct<\/span> seq_file *<\/span>m, void<\/span> *<\/span>v);
<\/span><\/span>    void<\/span> *<\/span> (*<\/span>next) (struct<\/span> seq_file *<\/span>m, void<\/span> *<\/span>v, loff_t *<\/span>pos);
<\/span><\/span>    int<\/span> (*<\/span>show) (struct<\/span> seq_file *<\/span>m, void<\/span> *<\/span>v);
<\/span><\/span>};
<\/span><\/span><\/code><\/pre>2.2 分配与释放机制<\/h3>
分配链：<\/p>
stat_open() -> single_open() -> kmalloc(seq_operations)
<\/code><\/pre>

stat_open()<\/code>对应\/proc\/id\/stat<\/code>文件<\/li>
打开\/proc\/self\/stat<\/code>即可分配新的seq_operations<\/code>结构体<\/li>
<\/ul>
释放：<\/p>

single_release()<\/code>会释放对应的seq_operations<\/code>结构体<\/li>
关闭文件即可触发释放<\/li>
<\/ul>
2.3 利用方式<\/h3>
2.3.1 内核.text地址泄漏<\/h4>

seq_operations<\/code>结构体包含四个内核指针<\/li>
读取这些指针可泄露内核.text段基址<\/li>
<\/ul>
2.3.2 劫持内核执行流<\/h4>
当read一个stat文件时：<\/p>

内核调用proc_ops<\/code>的proc_read_iter<\/code>指针<\/li>
默认值为seq_read_iter()<\/code>函数<\/li>
通过劫持seq_operations->start<\/code>等函数指针可控制执行流<\/li>
<\/ol>
三、pt_regs结构体分析<\/h2>
3.1 结构体形成<\/h3>
用户态进入内核态时：<\/p>

通过门结构进入entry_SYSCALL_64<\/code>函数<\/li>
PUSH_AND_CLEAR_REGS<\/code>指令将所有寄存器压入内核栈<\/li>
形成pt_regs<\/code>结构体，位于内核栈底<\/li>
<\/ol>
3.2 结构定义<\/h3>
struct<\/span> pt_regs {
<\/span><\/span>    unsigned<\/span> long<\/span> r15;
<\/span><\/span>    unsigned<\/span> long<\/span> r14;
<\/span><\/span>    unsigned<\/span> long<\/span> r13;
<\/span><\/span>    unsigned<\/span> long<\/span> r12;
<\/span><\/span>    unsigned<\/span> long<\/span> bp;
<\/span><\/span>    unsigned<\/span> long<\/span> bx;
<\/span><\/span>    unsigned<\/span> long<\/span> r11;
<\/span><\/span>    unsigned<\/span> long<\/span> r10;
<\/span><\/span>    unsigned<\/span> long<\/span> r9;
<\/span><\/span>    unsigned<\/span> long<\/span> r8;
<\/span><\/span>    unsigned<\/span> long<\/span> ax;
<\/span><\/span>    unsigned<\/span> long<\/span> cx;
<\/span><\/span>    unsigned<\/span> long<\/span> dx;
<\/span><\/span>    unsigned<\/span> long<\/span> si;
<\/span><\/span>    unsigned<\/span> long<\/span> di;
<\/span><\/span>    unsigned<\/span> long<\/span> orig_ax;
<\/span><\/span>    unsigned<\/span> long<\/span> ip;
<\/span><\/span>    unsigned<\/span> long<\/span> cs;
<\/span><\/span>    unsigned<\/span> long<\/span> flags;
<\/span><\/span>    unsigned<\/span> long<\/span> sp;
<\/span><\/span>    unsigned<\/span> long<\/span> ss;
<\/span><\/span>};
<\/span><\/span><\/code><\/pre>3.3 通用ROP利用<\/h3>

内核栈仅有一个页面大小<\/li>
pt_regs<\/code>固定位于内核栈底<\/li>
劫持函数指针时，rsp与栈底的相对偏移通常不变<\/li>
系统调用中未使用的寄存器(r8-r15)可用于布置ROP链<\/li>
关键：寻找"add rsp, val; ret" gadget抬高栈<\/li>
<\/ul>
3.4 新版本内核防护<\/h3>
从内核v5.13开始：<\/p>

添加系统调用栈偏移值(CONFIG_RANDOMIZE_KSTACK_OFFSET=y<\/code>)<\/li>
导致pt_regs<\/code>与触发劫持时的栈偏移不再固定<\/li>
仍可通过slide gadget利用，但稳定性大幅下降<\/li>
<\/ul>
四、swapgs_restore_regs_and_return_to_usermode分析<\/h2>
4.1 关键指令<\/h3>

包含寄存器rsi~r15的出栈操作<\/li>
使用rdi作为old_rsp，rsp指向新栈位置存放iretq返回结构体<\/li>
若开启KPTI保护，自动切换cr3后再调用iretq返回<\/li>
<\/ul>
4.2 内核代码修补机制<\/h3>

内核启动时通过text_poke_early<\/code>修补代码<\/li>
apply_alternatives<\/code>函数在运行时优化或替换指令<\/li>
修补位置不限于一处<\/li>
关闭PTI保护(nopit<\/code>启动参数)可避免代码修补<\/li>
<\/ul>
五、实战案例：西湖论剑2021-easykernel<\/h2>
5.1 环境分析<\/h3>

启动脚本检查：开启SMEP、KASLR、KPTI<\/li>
test.ko模块分析：kerpwn_ioctl<\/code>函数<\/li>
<\/ul>
5.2 漏洞利用<\/h3>

UAF漏洞<\/strong>：cmd=0x30释放内核堆后未清空指针<\/li>
堆操作<\/strong>：

cmd=0x40：读取内核堆到用户态<\/li>
cmd=0x20：申请内核堆(大小≤0x20)<\/li>
cmd=0x50：向内核堆写入<\/li>
<\/ul>
<\/li>
<\/ol>
5.3 利用步骤<\/h3>


构造UAF<\/strong>：<\/p>

利用UAF构造与seq_operations<\/code>相同大小的结构体<\/li>
通过open("\/proc\/self\/stat", O_RDONLY)<\/code>申请回来<\/li>
泄漏seq_operations<\/code>中的.text地址<\/li>
<\/ul>
<\/li>

函数指针覆盖<\/strong>：<\/p>

覆盖为add rsp,val...<\/code> gadget地址<\/li>
利用pt_regs<\/code>结构体提权<\/li>
<\/ul>
<\/li>

pt_regs伪造<\/strong>：<\/p>

提前获取init_cred<\/code>地址<\/li>
构造ROP链：pop_rdi; init_cred_addr; commit_creds; swapgs_restore_regs + offset<\/code><\/li>
触发read操作调用覆盖的gadget<\/li>
<\/ul>
<\/li>
<\/ol>
5.4 返回用户态<\/h3>

使用swapgs_restore_regs_and_return_to_usermode + offset<\/code><\/li>
offset需根据构造的pt_regs<\/code>选择(示例中offset=9)<\/li>
也可使用commit_creds(prepare_kernel_cred(0))<\/code>方式<\/li>
<\/ul>
六、虚拟机逃逸非预期解<\/h2>

启动脚本未关闭monitor(-monitor \/dev\/null<\/code>)<\/li>
直接ctrl+A C<\/code>可逃逸<\/li>
解压rootfs.img<\/code>读取flag<\/li>
<\/ul>
七、防御措施总结<\/h2>

代码完整性保护<\/li>
随机化内核栈偏移<\/li>
及时清理释放的指针<\/li>
限制\/proc文件访问<\/li>
启用SMEP\/KASLR\/KPTI等保护机制<\/li>
<\/ol>
通过深入理解这些内核结构体和利用技术，安全研究人员可以更好地评估系统安全性并开发更有效的防御措施。<\/p>

内核提权技术详解：seq_operations与pt_regs结构体利用<\/h1>

一、序列文件接口(Sequence File Interface)基础<\/h2>

1.1 seq_file背景与作用<\/h3> 序列文件接口是针对procfs默认操作函数每次只能读取一页数据的限制而设计的，为处理较大的proc文件提供了更友好的内核编程接口。<\/p>

二、seq_operations结构体分析<\/h2>

2.3 利用方式<\/h3>

三、pt_regs结构体分析<\/h2>

四、swapgs_restore_regs_and_return_to_usermode分析<\/h2>

五、实战案例：西湖论剑2021-easykernel<\/h2>

1.1 seq_file背景与作用<\/h3>
序列文件接口是针对procfs默认操作函数每次只能读取一页数据的限制而设计的，为处理较大的proc文件提供了更友好的内核编程接口。<\/p>