前言 本文所用的内核为题目所给的内核，版本为 4.4.72，没有引入 kpti 保护。但是这丝毫不影响以下方法在其他部分版本内核的利用，如果有 kpti 保护，最后返回用户态时用 swapgs_restore_regs_and_return_to_usermode 函数即可。还是就是这里并不讲解直接 fork 修改 cred 结构体的利用方式。 参考： 在 2021 年再看 ciscn_20