• [^] # Re: exploitation

    Posté par (site web personnel) . En réponse à la dépêche Exploiter inotify, c’est simple. Évalué à 10. Dernière modification le 25 novembre 2014 à 16:10.

    Pour la liste de ce qui est « surveillé par inotify », la piste la plus intéressante est probablement /proc (une autre étant lsof)

    Les processus qui font appel à l'API montre un fd qui pointe vers anon_inode:inotify. Exemple : find /proc/*/fd/* -lname 'anon_inode:inotify'. C'est une « instance » inotify (inotify_init()).

    Il suffit alors d'aller voir le fdinfo correspondant pour voir quels inodes sont surveillées :

    $ cat /proc/2006/fdinfo/13
    pos: 0
    flags: 02000000
    inotify wd:1 ino:60334 sdev:fd00002 mask:800afc6 ignored_mask:0 fhandle-bytes:8 fhandle-type:1 f_handle:340306004ca43e19
    

    Ici c'est l'inode 0x60334 (/home/xfennec/.kde/share/apps/korganizer/std.ics, c'est un « watch » inotify). Si c'est un répertoire, c'est l'ensemble de son contenu « direct » (de niveau 1, quoi) qui est surveillé.