在最近的 CTF Kernel Pwn 中，使用内核的 userfaultfd 机制来进行稳定 race 频率越来越高了，而我之前在做题时大都按照 man page 中的例子和一些 API 文档来猜测其用法。在 SECCON 2020 结束后，还是想从源码层面研究一下其内部机制是怎样的，这样可以在之后的应用中少踩一些坑。

随着大家对glibc内存管理机制研究的深入，越来越多的heap master涌现出来，导致在pwn领域你不对 2.23~2.29 每个版本的glibc了若指掌都不好意思说自己玩过堆。这也使得国内很多CTF的堆题更多的是流于形式和trick比拼，内卷严重。因此，我的兴趣逐渐转移到了更加贴近真实环境的kernel和虚拟化上。于是，内核的heap成为了新的战场……

国际强队p4首次举办CTF，一天时间确实有些紧张，而且只有一道内核pwn题。不同于传统内核pwn使用设备驱动来模拟内核漏洞的方式，该题实现了另一种可执行格式的装载和运行，利用方式也略有不同。

又是一道从userspace pwn到hypervisor的题目，虽然漏洞较为容易，但在利用和调试方面还是需要对虚拟化和kernel有一定的了解。在做题的过程中，也可以增进对KVM API，OS Kernel的内存管理和中断处理，以及x86-64的分页机制的理解，还是相当有趣的。