Linux>=2.6.39 Mempodipper本地提权分析和EXP利用(CVE-2012-0056)
 /proc/pid/mem是一个用于读取和写入，直接通过各地寻求与相同的地址作为该进程的虚拟内存空间进程内存的接口。
  
 影响Linux 内核> = 2.6.39
 当打开/proc/pid/mem时，会调用此内核代码：

 任何人都可以打开/proc/pid/mem fd 的任何进程写入 和读取，不过，有权限检查限制。让我们看看写功能：
 

 看代码有两个检查，以防止未经授权的写操作：
 

 有两种方法能对内存写入。
 

 我们创建一个子进程，用self_exec_id来exec 到一个新的进程里面。当我们exec一个新的进程，self_exec_id会产生一个增量。这里程序忙与execing到我们的shellcode写su，所以其self_exec_id得到 相同的值递增。所以我们要做的是把exec一个新的进程，fd /proc/parent-pid/mem 到父进程的PID。这个时候的FD是因为没有权限仅仅打开检查。当它被打开，其self_exec_id来时起作用，把我们exec来su，用self_exec_id将递增。通过我们打开的FD从子进程返回父进程，dup2，和exec 溢出代码到su.
 接下来调试溢出的地址和ASLR随机进程的空间地址。
 在这里得到错误字符串：
  403677:       ba 05 00 00 00          mov    $0x5,%edx
   40367c:       be ff 64 40 00          mov    $0x4064ff,%esi
   403681:       31 ff                   xor    %edi,%edi
   403683:       e8 e0 ed ff ff          callq  402468 (dcgettext@plt)
 然后把它写入到stderr：
  403688:       48 8b 3d 59 51 20 00    mov    0x205159(%rip),%rdi        # 6087e8 (stderr)
   40368f:       48 89 c2                mov    %rax,%rdx
   403692:       b9 20 88 60 00          mov    $0x608820,%ecx
   403697:       be 01 00 00 00          mov    $0x1,%esi
   40369c:       31 c0                   xor    %eax,%eax
   40369e:       e8 75 ea ff ff          callq  402118 (__fprintf_chk@plt)
 关闭日志；
 4036a3:       e8 f0 eb ff ff          callq  402298 (closelog@plt)
 退出程序；
  4036a8:       bf 01 00 00 00          mov    $0x1,%edi
   4036ad:       e8 c6 ea ff ff          callq  402178 (exit@plt)
 这里可以看到0×402178,这是它调用exit函数。我们来调试“Unknown id:" 的shellcode地址。
 $objdump -d /bin/su|grep 'exit@plt>'|head -n 1|cut -d ' ' -f 1|sed 's/^[0]*\([^0]*\)/0x\1/'  0x402178
 它会设置uid 和gid 为0 去执行一个SHELL。还可以重新打开dup2ing 内存之前，stderr fd 到stderr，
 我们选择另一个fd dup stderr，在shellcode，到我们dup2 ，其他fd回来到stderr。
 EXP 老外写好了。插入一段
 

摘自 混世魔王博客