FTP批量上传，ftput.sh：

#!/bin/bash
for filename in $@
do
ftp -nv 192.168.130.2 <<!
user username password
prompt off
bin
mput $filename
close
!
done

FTP批量下载，ftpget.sh

#!/bin/bash
for filename in $@
do
ftp -nv 192.168.130.2 <<!
user username password
prompt off
bin
mget $filename
close
!
done

适用方法：将代码修改下（FTP地址和用户名密码修改一下）保存成ftput.sh，把要上传的文件作为脚本参数执行之即可。如

sh ./ftput.sh *.jpg 123.txt config.xml

就是把所有jpg文件和23.txt config.xml两个文件上传到ftp。

• 通过例子学shell文件访问权限管理 (0)
• 同时使用中文和英文man(shell帮助) (0)
• Shell中的export & sh & source (0)
• 7个例子快速入门shell通配符 (0)

神奇吧~~？

有图有真相

影音风暴

PPlive、搜狗输入法

骗你的， 其实是….

• 设置SCIM输入法默认输入状态为英文 (0)
• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 两部与linux有关的纪录片:《Revolution.OS》 《The Code Linux》 (3)
• Shell中的export & sh & source (0)
• linux界面优化，实现3D桌面，苹果主题。 (0)

2008期末课程小论文 之一

《linux使普通用户获得root权限的vmsplice系统调用漏洞分析》

vmsplice系统调用是linux内核2.6.17第一次引入的，随后被发现存在能让普通用户提升到root权限的漏洞。该漏洞影响的版本网络上笼统的说法是：2.6.17-2.6.24.1，实际上更确切的说是：2.6.17- 2.6.22.17，2.6.23-2.6.23.15 和 2.6.24-2.6.24.1.

关于这个漏洞，国内很少有人写过什么原创性的文章进行介绍，因为上研究生操作系统课的课程报告就是做这个，所以把它放上来。漏洞虽然已经补上，但学习其机理，还是比较有好处，有意思的。

一、预备知识

1. 本文的一些约定

这个颜色的代码来自攻击程序
这个颜色的代码来自内核
这个颜色表示重要的地方，或者安装程序逻辑，下一步要进入的函数
所提到的攻击代码是本文附带的exp.c

2. vmsplice()介绍

原型：long vmsplice(int fd, const struct iovec *iov, unsigned long nr_segs, unsigned int flags);
其中：

struct iovec
{
void __user *iov_base;
__kernel_size_t iov_len;
};

这个系统调用将用户空间的内存映射到内核空间，从而避免了实际的内存写操作，提高了系统效率。这个功能的是主要是通过fs/splice.c的do_vmsplice()来实现。

3. 有关Page的常量

#define PAGE_SHIFT 12
#define PAGE_SIZE (1UL << PAGE_SHIFT)
/*1UL：32位的unsigned int 1，左移12位，PAGE_SIZE=0×1000*/
#define PAGE_MASK (~(PAGE_SIZE-1))
/*PAGE_MASK=0×000*/

二、Splice系统调用漏洞考古

2006 Jun 18
在发布的Linux kernel 2.6.17中引入vmsplice()，用于提高性能。
没有人知道，对应的fs/splice.c中的get_iovec_page_array()函数存在漏洞。

2007 Oct 09
在发布的Linux kernel 2.6.23 中
加入了vmsplice_to_user()函数和copy_from_user_mmap_sem()函数,也存在同样的漏洞。

2007 Dec 03
ID为CVE-2008-0009和CVE-2008-0010的漏洞报告被提交到CVE。
分别指出vmsplice_to_user()和copy_from_user_mmap_sem()存在这个漏洞。
但这两份报告有个错误：这两个漏洞存在于2.6.23-2.6.24而不是报告里说的2.6.22-2.6.24,因为这两个函数是在2.6.23里正式被加进来的。

2008 Feb 05
ID为CVE-2008-0600的漏洞报告被提交到CVE
指出:

The vmsplice_to_pipe function in Linux kernel 2.6.17 through 2.6.24.1 does not validate a certain userspace pointer before dereference, which allows local users to gain root privileges via crafted arguments in a vmsplice system call, a different vulnerability than CVE-2008-0009 and CVE-2008-0010.

事实上，问题出在get_iovec_page_array()函数。但因为get_iovec_page_array()函数只被vmsplice_to_pipe()调用，数据参数都来自vmsplice_to_pipe()，所以，get_iovec_page_array()没有验证用户数据的合法性也可以被认为vmsplice_to_pipe()没有验证用户数据的合法性。

2008 Feb 08
在发布的Linux kernel 2.6.24.1和2.6.23.15补丁中补上了CVE-2008-0009和CVE-2008-0010提到这个这两个漏洞。

2008 Feb 09
ID为qaaz的Geek在milw0rm上公布了两个对应的POC代码，第一个是针对vmsplice_to_user()函数和copy_from_user_mmap_sem()函数的，另外一个是针对get_iovec_page_array()函数，

2008 Feb 11
在发布的Linux kernel 2.6.24.2 、2.6.23.16和 2.6.22.18补丁中补上了get_iovec_page_array()函数的漏洞。

三、漏洞攻击效果

攻击成功

打了补丁的2.6.24.2就攻击不成功了

四、漏洞攻击真实案例

This bug is being actively exploited in the wild — our server was just broken in to by an attacker using it. (They got a user’s password by previously compromising a machine somewhere else where that user had an account, and installed a modified ssh binary on it to record user names and passwords. Then they logged in to our site as that user, exploited CVE-2008-0010, and became root).

五、the vmsplice() exploit story

1. 整个过程可以概括为下图：

Online view: http://share.xmind.net/shidelai/vmsplice-loopholes-in-the-success-of-the-attack-1/

2. 攻击程序做了如下六件事情

1)定义 kernel_code()
这个函数会修改当前用户的udi和gid，所有者一切的目的就是让内核执行这个函数。

2)定义了pages[5]，其中：

proc_pages[0]->flags = 1 << PG_compound;
proc_pages[0]->private = (unsigned long) proc_pages[0];
proc_pages[0]->count = 1;

这是为了把这个proc_page伪装成compound page，保证内核执行到/mm/Swap.c的

void put_page(struct page *page)
{
if (unlikely(PageCompound(page)))
put_compound_page(page);
else if (put_page_testzero(page))
__page_cache_release(page);
}

时候，内核进入put_compound_page(page);

proc_pages[1]->lru.next = (long) kernel_code;

内核执行到/mm/Swap.c的

static void put_compound_page(struct page *page)
{
….
dtor = get_compound_page_dtor(page);
(*dtor)(page);
}

的时候，get_compound_page_dtor会返回proc_pages[1]->lru.next。这样，kernel_code()就被内核执行了。

3)将proc_pages[0] mmap到0×0 address
到时候内核被骗执行0地址第二个page的lru.next指向的函数时候，实际上执行的就是这里定义的proc_pages[1]->lru.next所指向的kernel_code()。

4)close(pi[0]); close pipe_read，当内核执行到/fs/Splice.c的splice_to_pipe()

for (;;) {
if (!pipe->readers) {
send_sig(SIGPIPE, current, 0);
if (!ret)
ret = -EPIPE;
break;
}
…
}
…
while (page_nr < spd_pages)
page_cache_release(spd->pages[page_nr++]);

时候，if判断会返回真，于是跳出for循环，于是导致page_cache_release(spd->pages[page_nr++]);被执行。

5)iov.iov_len = ULONG_MAX;
iov.iov_len等于32个1。这个是关键，它保证了内核中数值溢出，结果将内核骗到攻击程序设定的page上来。

6)_vmsplice(pi[1], &iov, 1, 0);
执行vmsplice系统调用。

3. 内核代码执行细节

1)执行_vmsplice(pi[1], &iov, 1, 0);后，/fs/Splice.c中的

long sys_vmsplice(int fd, const struct iovec __user *iov, unsigned long nr_segs, unsigned int flags)
{
…
if (file->f_mode & FMODE_WRITE)//往管道写
error = vmsplice_to_pipe(file, iov, nr_segs, flags);
…
}

被调用。
2)接着内核进入/fs/Splice.c中的

static long vmsplice_to_pipe(struct file *file, const struct iovec __user *iov,
unsigned long nr_segs, unsigned int flags)
{
struct pipe_inode_info *pipe;
struct page *pages[PIPE_BUFFERS]; //请注意这里
struct partial_page partial[PIPE_BUFFERS]; //#define PIPE_BUFFERS (16) //请注意这里
struct splice_pipe_desc spd = {//请注意这里
.pages = pages,
.partial = partial,
.flags = flags,
.ops = &user_page_pipe_buf_ops,
};
…
spd.nr_pages = get_iovec_page_array(iov, nr_segs, pages, partial,
flags & SPLICE_F_GIFT);
…
return splice_to_pipe(pipe, &spd);
}

3)接着内核进入/fs/Splice.c中的

static int get_iovec_page_array(const struct iovec __user *iov,
unsigned int nr_vecs, struct page **pages,
struct partial_page *partial, int aligned)
{
……

if (copy_from_user_mmap_sem(&entry, iov, sizeof(entry))) //entry = iov
break;
base = entry.iov_base;//内核缓冲区基地址
len = entry.iov_len;//长度
……
npages = (off + len + PAGE_SIZE – 1) >> PAGE_SHIFT;
// npages = （0+ 32个1 + 1后面12个0 – 1 ）>> PAGE_SHIFT = （32个1 + 1 -1 + 1后面12个0 – 1）>> PAGE_SHIFT =0
if (npages > PIPE_BUFFERS – buffers)
npages = PIPE_BUFFERS – buffers;
error = get_user_pages(current, current->mm,
(unsigned long) base, npages, 0, 0,
&pages[buffers], NULL);
……
}

4) 于是内核进入/mm/Memory.c中的

int get_user_pages(struct task_struct *tsk, struct mm_struct *mm,
unsigned long start, int len, int write, int force,
struct page **pages, struct vm_area_struct **vmas)
{
……
do {
……
i++;
start += PAGE_SIZE;
len–;
continue;
}
do {
……
i++;
start += PAGE_SIZE;
len–;
} while (len && start < vma->vm_end);
} while (len);
return i;
}

len这里已经是int型了，而不是ulong int，len从0被减到-32768(0xf0000000)再减1变成+32767(0x7fffffff)，最终返回i=46。

5) 然后i返回给/fs/Splice.c中的

static int get_iovec_page_array(const struct iovec __user *iov,
unsigned int nr_vecs, struct page **pages,
struct partial_page *partial, int aligned)
{
……
error = get_user_pages(current, current->mm,
(unsigned long) base, npages, 0, 0,
&pages[buffers], NULL);
//error = 46
……
for (i = 0; i < error; i++) {
const int plen = min_t(size_t, len, PAGE_SIZE – off);
partial[buffers].offset = off;
partial[buffers].len = plen;
off = 0;
len -= plen;
buffers++;
}
……
}

在这个for循环中，partial[]数组大小是16，而循环确循环了46次，所以，溢出了。比partial先定义的pages[]指针数组被0覆盖。

6) 接着，函数返回到/fs/Splice.c的

static long vmsplice_to_pipe(struct file *file, const struct iovec __user *iov,
unsigned long nr_segs, unsigned int flags)
{
……
spd.nr_pages = get_iovec_page_array(iov, nr_segs, pages, partial,
flags & SPLICE_F_GIFT);
……
return splice_to_pipe(pipe, &spd);
}

7) 进入/fs/Splice.c的

ssize_t splice_to_pipe(struct pipe_inode_info *pipe,
struct splice_pipe_desc *spd)
{
……
for (;;) {
if (!pipe->readers) {
send_sig(SIGPIPE, current, 0);
if (!ret)
ret = -EPIPE;
break;
}
…….
}
……
while (page_nr < spd_pages)
page_cache_release(spd->pages[page_nr++]);
return ret;
}

因为之前提到的pipe的读已经被关掉了，所以从for循环跳出。内核执行进入page_cache_release(spd->pages[page_nr++]);
请注意：这里的spd->pages就是之前被溢出被0覆盖的pages[]指针数组。

8)由于

#define page_cache_release(page) put_page(page)

9) 于是进入了/mm/Swap.c中的

void put_page(struct page *page)
{
if (unlikely(PageCompound(page)))
put_compound_page(page);
else if (put_page_testzero(page))
__page_cache_release(page);
}

由于之前提到的，攻击程序已经将其已经被mmap到0地址空间的proc_pages[]伪装成compound page，所以，这里if判断后

10)内核进入同在/mm/Swap.c 的

static void put_compound_page(struct page *page)
{
page = compound_head(page);
if (put_page_testzero(page)) {
compound_page_dtor *dtor;
dtor = get_compound_page_dtor(page);
(*dtor)(page);
}
}

11)再进入/include/linux/Mm.h中的

static inline compound_page_dtor *get_compound_page_dtor(struct page *page)
{
return (compound_page_dtor *)page[1].lru.next;
}

OK，到此，proc_pages[1].lru.next所指向的函数指针也即kernel_code()函数指针返回给dtor，随后(*dtor)(page);执行了这个函数，于是，攻击成功。

• 设置SCIM输入法默认输入状态为英文 (0)
• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 两部与linux有关的纪录片:《Revolution.OS》 《The Code Linux》 (3)
• Shell中的export & sh & source (0)
• linux界面优化，实现3D桌面，苹果主题。 (0)

1. 当进程创建一个字进程时候，父进程并不会将普通变量的值传递给它的子进程。

而export就是解决这个问题用的。在父进程中export A 后，在子进程中就可以使用变量A了。

2. sh+脚本：重新建立一个子shell执行脚本里面的语句，该子shell继承父shell的变量，但子shell新建的、改变的变量不会被带回父shell，除非使用export。

可以这么理解：打开一个终端程序 = sh = 执行bash命令

3. source+脚本：这个命令其实只是简单地读取脚本里面的语句依次在当前shell里面执行，没有建立新的子shell。那么脚本里面所有新建、改变变量的语句都会保存在当前shell里面。

所以，假设one.sh里面的内容是：export test=123 ；two.sh里面的内容是：test=123 。

那么，sh ./one.sh 在效果上等同于 source two.sh

• 7个例子快速入门shell通配符 (0)
• 通过例子学shell文件访问权限管理 (0)
• 设置SCIM输入法默认输入状态为英文 (0)
• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 同时使用中文和英文man(shell帮助) (0)

首先要说明的是我这两台都是装了Linux+windows xp的双系统的，目前，无论这两台机子各自开的是哪个系统，从出现登陆界面开始都能实现共享鼠键（比如，在鼠标当前在右边这台显示器上，将鼠标向左边移动，碰到屏幕左边边界再过去一点就到左边屏幕了，鼠标在哪个屏幕，键盘的输入也就针对那个屏幕），并且在一台电脑copy的文字能直接黏贴到另外一台电脑，但不能用这种Ctrl+C Ctrl+V的方式复制文件。

原理

synergy是个开源的软件，有Linux, Mac, windows三个版本，要想实现共享鼠标键盘，必须在所有机器上都安装这个软件，并进行相应的配置，有一台唯一的主机作为服务器端，其他主机作为客户端，要共享的那套鼠标键盘链接到服务器端。所有主机都必须连入同一个局域网，synergy会通过局域网交换鼠标键盘的输入信息，以实现其他主机共享使用这套鼠标键盘。

安装

1. 如果服务器端是Windows系统，下载安装：synergy windows版本。http://www.onlinedown.net/soft/5666.htm（华军的下载页面）

2. 如果服务器端是linux版本，请在这里下载：http://sourceforge.net/project/showfiles.php?group_id=59275&release_id=406637 。Ubuntu可以直接通过源里面安装，或：sudo apt-get install synergy。

无论是服务器端还是客户端，要装的软件都是一样的，只是配置不同而已。

配置流程

一、服务器端

我们假设，右边这台主机作为服务器端

1.服务器端是windows系统

打开synergy，选上”share this computer’s keyboard and mouse(server)”，然后点击configure设置一些东西，来告诉synergy，你有几台电脑，各台电脑叫什么名字，各是什么ip地址，各台电脑之间是什么位置关系，电脑A是在电脑B左边呢还是上面呢？这些都是要实现上面提到的功能所必须的信息。具体设置如下：

第一步：在Screens里面点击 “+”按钮，在弹出的对话框中的Screen Name后面填写左边这台电脑的名字（名字不知道？google下如何查看电脑的名字），然后点“OK”。类似再添加右边这台电脑。

第二步：点击下面的“new link”，在下面选择 the “left” of 你右边电脑的名字 goes to 你左边电脑的名字，然后点击下面的“+”以添加一个位置信息。以这个方法再添加一条： the ”right“ of 你左边电脑的名字 goes to 你右边电脑的名字。这样，人家synergy就知道了，电脑1在电脑2左边，电脑2在电脑1右边，他们是连在一起的，中间没有其他电脑了，如果少了一条位置信息，会出现鼠标能从右边电脑进入左边电脑但不能从左边电脑进入右边电脑的情况。

第三步：点击“OK”离开配置界面。再点击AutoStart, 在弹出来的对话框中点击When Computer Start里面的按钮，按Close退出。

第四部：按Start开启服务器端的synergy服务，等待客户端来连接。

2. 服务器端是Linux系统

Linux服务器端的配置有点复杂，要自己写一个配置文件synergy.conf，用于告诉synergy有哪些主机，各个主机的位置关系等信息。并且如果要实现自动运行synergy，要修改三个文件，这三个文件在不同的发行版位置不同，名字大致差不多，比如：Ubuntu中，这三个文件是：

/etc/gdm/Init/Default   :登陆界面出现以前，系统加载的程序，我们要在这个文件里添加运行synergy的命令。

/etc/gdm/PostLogin/Default.sample    : 定义了登录过程中要做的事情，这里我们要暂时关闭synergy服务。

/etc/gdm/PreSession/Default  :定义了登录后加载的程序，这里我们要重新开启synergy服务。

Fedora一般是在/etc/X11/gdm

第一步，在当前用户目录下新建一个文件命名为：synergy.conf。打开，参考下面的例子，根据实际情况修改一下写入synergy.conf。

section: screens
wisper-desktop:
wisper2-desktop:
end
section: links
wisper-desktop:
left = wisper2-desktop
wisper2-desktop:
right = wisper-desktop
end

其中：wisper-desktop是右边电脑也即服务器端电脑的名字，wisper2-desktop是左边电脑的名字，如果你使用双系统，最好将两个系统的电脑名字都修改成一样。

第二步，修改/etc/gdm/Init/Default 和 /etc/gdm/PreSession/Default  在它们的最前面添加下面这三行：

/usr/bin/killall synergys
sleep 1
/usr/bin/synergys –config synergy.conf

第三步，在/etc/gdm/PostLogin/Default.sample   中添加下面2行

/usr/bin/killall synergys
sleep 1

第四步，重启。

二、客户端

1. 客户端是windows系统

很简单，打开synergy，选上“Use another Computer‘keyboard and mouse （Client）”，接下来的操作同服务器端的第三步第四部。

1. 客户端是Linux系统

Linux下配置稍微复杂点，如果你已经配置好服务器端，你可以使用/usr/bin/synergyc –daemon 服务器端的IP 来使用，如果要实现出现登陆界面开始就自动启动这个功能，请参考服务器端的配置, 只需将

1. Init/default，以及PreSession/default里面的/usr/bin/synergys –config synergy.conf 修改为/usr/bin/synergyc –daemon 服务器端的IP ，/usr/bin/killall synergys修改为/usr/bin/killall synergyc

2./usr/bin/killall synergys 修改为/usr/bin/killall synergyc

即可。

• 没有相关文章.

show出贴图哈哈：

本期内容摘要

• Linux Mint 和 Ubuntu 比较
• 如何在 Ubuntu 中使用 TrueCrypt 来保护重要的信息
• 关于 LaTex 的入门介绍
• 怎样架设自己的服务器 (之三)
• iPod Classic + Amarok ，该文详细描述了在 Amarok 中使用 iPod Classic 的过程
• 此外，本期杂志还对 Lenovo 3000 C200 笔记本电脑进行了评测。

下载地址：

• 简体中文
  官方下载 | UbuntuChina下载（推荐）
  
• 繁体中文
  官方下载 | UbuntuChina下载（推荐）

• 没有相关文章.

• 通过例子学shell文件访问权限管理 (0)
• 设置SCIM输入法默认输入状态为英文 (0)
• Shell中的export & sh & source (0)
• Ftp批量上传下载的Shell脚本, Linux Mac适用 (0)
• 7个例子快速入门shell通配符 (0)

[]
可以理解为一个字符，与？的区别是[]里面的内容限定了这个字符的范围
例子2：
[Cc]hange[Ll]og
将与 Changelog、ChangeLog、changeLog 以及 changelog 匹配。在需要大小写匹配的时候，使用括弧通配符很有用。
例子3：
ls /etc/[0-9]* 将列出 /etc 中以数字开头的所有文件。
ls /tmp/[A-Za-z]* 将列出 /tmp 中以大写字母或小写字母开头的所有文件。

[!]
例子4：
rm myfile[!9] 将删除除myfile9 之外的名为 myfile 加一个字符的所有文件。

‘’单引号
例子5：
echo ‘[fo]*’ > newfile.txt  创建了包含字符串[fo]*的文件。
如果echo [fo]* > newfile.txt 则 newfile.txt 里面不会有任何东西
例子6：
如果用户目录下有12* 12333这么两个文件，那么
rm 12* 会删除12＊ 和 12333
rm ‘12＊’ 则只会删除12＊
总结：用引号引起来则说明引号里面的是纯字符串无须进行通配符的相关处理

\
功能与单引号类似，
例子7：
rm 12\＊ 则只会删除12＊，这里\代表起后面的字符是纯字符没有其他意思，这与C 语言里面的转义字符类似的。很自然的，如果要表示字符\，你必须使用\\。

• 通过例子学shell文件访问权限管理 (0)
• Shell中的export & sh & source (0)
• 设置SCIM输入法默认输入状态为英文 (0)
• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 复试结束 (2)

• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• linux界面优化，实现3D桌面，苹果主题。 (0)

• 最基础的Ubuntu文件移动|复制|打包|解包|挂载iso总结 (1)
• 同时使用中文和英文man(shell帮助) (0)
• 两部与linux有关的纪录片:《Revolution.OS》 《The Code Linux》 (3)
• Shell中的export & sh & source (0)
• linux界面优化，实现3D桌面，苹果主题。 (0)