前言 这题给了源码，感觉代码的问题很大。然后题目不算难，但是最后 ret2user 执行的代码很有意思。这里的思路是参考的 Roland_ 大佬的思路：[原创]InCTF 内核Pwn之 Kqueue-Pwn-看雪-安全社区|安全招聘|kanxue.com 最后不去泄漏 kernel_offset，直接利用 ret2user 时，内核栈上残留的内核地址进行提权，这个思路非常妙，可以说是情理之中意