堆喷 on 办公AI智能小助手

利用prctl anon_vma_name实现Linux内核堆喷的有趣方法

Thu, 18 Sep 2025 00:29:52 +0800

prctl anon_vma_name: 一种有趣的Linux内核堆喷方法

TLDR

prctl PR_SET_VMA (PR_SET_VMA_ANON_NAME) 可以用作（可能是新的！）堆喷方法，针对 kmalloc-8 到 kmalloc-96 缓存。被喷的对象 anon_vma_name 是动态大小的，范围可以从大于4字节到最大84字节。该对象可以通过 prctl 系统调用轻松分配和释放，并且可以通过读取 /proc/pid/maps 文件获取泄露信息。这种方法的优点是它不需要从 cg/其他缓存进行跨缓存攻击（与 msg_msg 等其他对象不同），因为 anon_vma_name 是使用 GFP_KERNEL 标志分配的。

天府杯2019：Adobe Reader漏洞利用与代码执行技术解析

Wed, 10 Sep 2025 08:16:04 +0800

天府杯2019：Adobe Reader漏洞利用 | STAR Labs

漏洞分析

该漏洞位于EScript.api组件中，这是JS API调用的绑定层。首先创建Sound对象数组：

SOUND_SZ     = 512
SOUNDS       = Array(SOUND_SZ)
for(var i=0; i<512; i++) {
    SOUNDS[i] = this.getSound(i)
    SOUNDS[i].toString()
}

Sound对象内存布局显示，第二个双字是指向JSObject的指针，包含元素、插槽、形状和字段等。关键发现是JSObject不在堆上，而是位于Adobe Reader启动时VirtualAlloc分配的内存区域，且释放后内容不会被清除。