- 博客(13)
- 收藏
- 关注
转载 记录一下最近的pwn
qctf stack2:服务器中/bin/bash字符串不能执行,构造rop调用system(sh)拿到shell。exp:from pwn import *#p=process('./stack2')p=remote('47.96.239.28',2333)#context.log_level='debug'p.recvuntil("hav...
2018-08-23 12:50:00 144
转载 内核提权姿势笔记
方法一:通过寻找进程的thread_info结构,搜索匹配进程的cred结构,并修改其值获得root权限。thread_info(arch arm)结构如下: /* Linux/arch/arm/include/asm/thread_info.h*/ 20 #define THREAD_SIZE (PAGE_SIZE << THREAD_SIZE_ORDER)...
2016-09-30 18:34:00 291
转载 CVE-2016-5343分析
最近在学习android内核漏洞,写篇博做个记录,也算是所学即用。 https://www.codeaurora.org/multiple-memory-corruption-issues-write-operation-qdsp6v2-voice-service-driver-cve-2016-5343,有高通的洞也是潜力无限,漏洞定位到/msm/drivers/soc/qcom/qd...
2016-09-28 21:33:00 153
转载 CVE-2015-8660分析
0x00测试环境使用环境备注操作系统Ubuntu15.04虚拟机内核版本3.19.0-15-generic漏洞来源/fs/overlayfs/inode.cBefore 2015.12.11EXP...
2016-08-08 16:45:00 336
转载 Docker远程访问get(root)shell姿势
0x00 概述在用swarm来管理dockers容器集群时默认开启了2375端口,通过远程访问docker run -H tcp://ip:2375 $command 可任意执行docker命令。这个漏洞在一段时间的影响还是挺严重的。通过这个远程访问接口,我么可以获得容器访问权限(get container shell),要想获得宿主机shell,可以在启动容器时通过挂载根目录到容器...
2016-07-21 09:45:00 163
转载 Linux内核ROP学习
0x00 前言1.SMEP(Supervisor Mode Execution Protection):一种减缓内核利用的cpu策略,禁止内核态到用户态内存页的代码执行(32位的addresses < 0x80000000),每一页都有smep标识来标明是否允许ring0的代码执行。有时为了方便实验,可以本地关闭smep功能,方法如下: sudo vim /boo...
2016-07-11 16:59:00 280
转载 i春秋30强挑战赛pwn解题过程
80pts:栈溢出,gdb调试发现发送29控制eip,nx:disabled,所以布置好shellcode后getshellfrom pwn import *#p=process('./tc1')p=remote('106.75.9.11',20000)nop='\x90'*19buf='\x31\xc0\x50\x68\x2f\x2f\x73\x68...
2016-07-01 20:41:00 481
转载 栈溢出之rop到syscall
当程序开启了nx,但程序有syscall调用的时候。这时栈溢出的利用就可以通过rop来执行syscall的59号调用execve('/bin/sh',null,null),这是这次alictf一道pwn的心得。ida配合gdb定位程序漏洞如下:signed __int64 __fastcall sub_40108E(__int64 a1){ signed __int...
2016-06-06 08:34:00 319
转载 iscc2016 pwn部分writeup
一.pwn1 简单的32位栈溢出,定位溢出点后即可写expgdb-peda$ rStarting program: /usr/iscc/pwn1 C'mon pwn me : AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAg...
2016-05-25 22:21:00 379
转载 iscc2016 mobile1-TurtleShell.apk解题过程
拿到程序先运行,简单的验证输入的flag正确与否。jeb加载apk文件实在库文件里面验证,所以ida加载之,so文件是加密的,所以看不到关键验证函数,百度搜了下libhackme.so,出来这篇文章:http://burningcodes.net/so%E5%8A%A0%E5%9B%BA%E7%B3%BB%E5%88%97%E4%B9%8B%E8%BF%90%E8%A1%...
2016-05-25 20:27:00 314
转载 pwn学习之dl_resolve学习篇
一:首先来了解一下linux下常见的攻击缓解机制: CANARY:(金丝雀值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警),类似于windows GS技术,当栈溢出发生时,canary值将在已保存的指令指针被重写前先改变。系统检测这个值是否改变,栈溢出发生了,保存的指令指针可能也被修改了,因此不能安全返回,函数...
2016-04-28 01:26:00 312
转载 Internetmap.apk实现原理分析
1.本地实现调用程序根据data文件目录下的asinfo.json文件(包含自治域网络名和对应的坐标值),调用so文件绘制asn结点图(ASN,AutoSystemNode,自治域结点)2.路由查询原理程序在peer1.internetmap.InternetMap包中实现ip对应asn查询,域名对应asn查询和厂商对应asn查询,在网络可达...
2016-03-31 20:06:00 184
转载 验证docker的Redis镜像也存在未授权访问漏洞
看到了这篇老外的博客:Over 30% of Official Images in Docker Hub Contain High Priority Security Vulnerabilities于是,结合最近爆出的redis未授权访问导致可远程获得服务器权限漏洞,在docker容器中验证官方pull的镜像是否存在漏洞。 我的docker安装...
2015-12-04 15:23:00 263
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人