摘要:
一些零碎的东西 栈迁移 0x7ff5a2911dea <svcudp_reply+26>: mov rbp,QWORD PTR [rdi+0x48] 0x7ff5a2911dee <svcudp_reply+30>: mov rax,QWORD PTR [rbp+0x18] 0x7ff5a2911d 阅读全文
摘要:
2022强网拟态 only 比赛的时候没做得出来,赛后复现一下。只有一次double free的机会,好在用的是seccomp开的沙盒,使得一开始就有很多空闲堆块,里面也残留有libc指针,通过堆风水去打stdout泄露libc,然后劫持__free_hook进行栈迁移即可。 exp: from p 阅读全文
摘要:
2022祥云杯 leak 今年VNCTF的时候碰到过一种写法,方式不会,没写的出来。没想到这次祥云杯leak这题可以用那种写法写,但是我依旧比赛时没写出来。赛后记录一下。 主要是利用house of corrosion打strerr + house of kiwi触发IO,这题不用kiwi直接用ex 阅读全文
摘要:
TR-069协议学习记录 TR-069协议概念 CWMP(CPE WAN Management Protocol,CPE广域网管理协议),编号为TR-069,故又被称为TR-069协议。 TR-069协议的应用 TR-069协议提供了对下一代网络中家庭网络设备进行管理配置的通用框架、消息规范、管理方 阅读全文
摘要:
1.2.2 musl pwn 几个结构 __malloc_context(与glibc中的main_arena类似) struct malloc_context { uint64_t secret; #ifndef PAGESIZE size_t pagesize; #endif int init_ 阅读全文
摘要:
利用msg_msg实现任意地址读写 msgsnd和msgrcv的源码分析 内核通过msgsnd和msgrcv来进行IPC通信。内核消息分为两个部分,一个是消息头msg_msg(0x30),以及后面跟着的消息数据。整个内核消息的长度是从kmalloc-64到kmalloc-4096`。 /* one 阅读全文
摘要:
利用ldt_struct 与 modify_ldt 系统调用实现任意地址读写 ldt_struct与modify_ldt系统调用的介绍 ldt_struct ldt是局部段描述符表,里面存放的是进程的段描述符,段寄存器里存放的段选择子便是段描述符表中段描述符的索引。和ldt有关的结构体是ldt_st 阅读全文
摘要:
利用userfaultfd + setxattr堆占位 很久之前便看到过这个技术的名字,但是由于自己的摆烂,一直没有管。今天终于找到时间好好看一下这个技术的利用方式。利用userfaultfd + setxattr算是内核里一种比较通用的利用技术,在实际场景中通常和堆喷射技术结合起来。但是在某些CT 阅读全文
摘要:
2022CISCN-satool 打国赛的时候自己还并不了解LLVM PASS pwn,前几天正好学习了一下LLVM PASS pwn,于是就顺便来复现一下这道题目。 首先找到二进制文件的重写函数的主体并对其进行分析。 开始就是限制了函数的参数和基本块的个数必须为1。 然后是先把一块区域变成可写可执 阅读全文
摘要:
条件竞争 && pipe_buffer + 堆喷射 条件竞争往往发生在开了多线程的程序中,常因为没有对全局函数,数据加锁,导致多线程可以同时对其访问篡改,而引发的漏洞。 例题:WCTF2018-klist 我们通过这一道题来学习一下条件竞争以及pipe_buffer + 堆喷射的使用。 这个程序维护 阅读全文