llovewuzhengzi的博客

Module 是比 Package 更高层次的概念，具体表现在一个 Module 中可以包含多个不同的 Package，而每个 Package 中可以包含多个目录和很多的源码文件。Moduledata 是可以串成链表的形式的，而一个完整的可执行 Go 二进制文件中，只有一个 firstmoduledata 包含如上完整的字段。一个 Module 中可以包含多个不同的 Package，而每个 Package 中可以包含多个目录和很多的源码文件。命令可以显示可执行文件的基本信息，如果去掉了调试信息，

遍历时候假设了x后然后根据 （p+q）/2 > 根号a 来取可能的q，使得q为y时候满足n=（x+y）*（x-y）如果p-q的绝对值大的话，假设一个值p后需要遍历较长的可能值q才可能遍历到正确的p和q。低指数攻击是利用中国剩余定理来求m的e次方。不断加密，直到出现和c（mod b）相同。共模攻击最后能够泄露出明文。分成互素和不互素两种情况。都是已知e n即公钥。

注意这里明文和密文都只有4个，但A是2x2矩阵，要相乘的话只能一次乘明文中的两个，所以可以得出下面的方程。参考的一个up主，讲得挺好，正好课程没啥作业，参考up的来做题学习。这里的运算规则就是GF（2^8）有限域上的运算问题。大致加密过程，先有个印象，但最终轮没有这个列混合。明文块和密钥块都可以用一个16字节的矩阵表示。和一个子密钥矩阵（会通过密钥得到）进行异或。根据字节转换寻找到对应的x和y，然后替换。通过已有的密钥通过某些操作计算出子密钥。相乘的这个矩阵是固定的（被给出的）求逆元通过扩展欧几里得算法。

有乘法逆元的剩余类乘一个任意整数的依然是一个有乘法逆元的剩余类。3与6不是互素，没有3的逆元，所以除3不能转换为乘3的逆元。这里 3/5 mod2等价于3乘5mod2的乘法逆元。这个时候a不需要与模数互素了，只需要a是剩余类里的。用另一个方式来看，同时除3没有对模数做除法。如果要除的数是与模数互素，就可以直接除。由于其他nj是ni*的因子，所以模为0。随时可以模，但最后一定要模到比模数小。1的乘法逆元总是自己，不管模数是什么。不同模数，相同数的乘法逆元不一样。同时除必须只能除与模数互素的。

所有公因子整除最大公因子，能整除最大公因子的数为1和-1，所以公因子为1和-1，公因子为1和-1的两个数最大公因子是1，即互素。被除数不断加除数直到被除数为正数即同余。特别的0和0的最大公约数是0。乘积/最大公因数=最小公倍数。注意任何整数都是0的公因子。互素的两个数的公倍数是乘积。如下，此时3和4是互素的。反复加，每次加更小的那个。注意除法没有相应的性质。

所谓优先级爬上就是压入的操作符需要不断往上走，遇到比当前山峰低的优先级符号就要一直计算相关符号，直到此时山顶符号优先级小于或者等于要压入的符号。注意的是由于栈是位于高地址并向低地址增长的，所以入栈时 SP 的值减小。此时压入符号栈的是-号，但优先级别小于*，所以此时会计算 3*4的结果再压入数据栈，然后再将-号压入符号栈。就是分别压操作数和符号，但出现比当前栈顶的符号的优先级低的时候，就运算此时栈顶的符号和对应的操作数。PC 程序计数器，它存放的是一个内存地址，该地址中存放着 下一条 要执行的计算机指令。

本文首发于奇安信攻防社区感觉以后还是专门钻一个方向，不然时间花的太零散了。比如这次心血来潮看WSL去，最后发现完全是知识盲区，但至少学会了WSL怎么用了:）,

pipe(7)是 Linux 系统中关于管道（pipes）和命名管道（FIFOs）的概述手册页。管道提供了一种单向的进程间通信（IPC）通道，具有读端和写端。数据从写端写入，可以从读端读出。;while0// 提示编译器该函数可能会睡眠/**//**//**/// 清除所有者信息#endifmutex_init：初始化互斥锁，确保其处于未锁定状态。mutex_lock。

因为l->l_info[DT_FINI]是一个pie地址，我们可以把它改成含有后面偏移地址（backdoor的偏移）的地址-8，由于要偏移超过12位，所以还要爆破4位。dockerfile中是ubuntu 20.04的，libc和ld的相对地址固定，shellcode位于ld之间，它和ld相对地址固定，所以能得到libc地址。这里命名结构体是发现个问题，由于原始是char [5]，如果我命名为分开的一个字符和一个字符数组，它们还是挨着的。使得对应的偏移信息+pie基地址=后面地址，不改pie基地址信息。

【代码】windows和linux的一些使用问题一一记录。

确保你的 GitHub 账户没有启用双因素认证（2FA），或者如果你启用了 2FA，确保你已经生成了 SSH 密钥并正确添加到 GitHub。登录到 GitHub，进入账户设置，找到 “SSH and GPG keys” 部分，点击 “New SSH key”。给 SSH 密钥起一个描述性的标题，然后将公钥内容粘贴到键值框中，点击 “Add SSH key”。确保你已经生成了 SSH 密钥，并且将其添加到了 GitHub 账户中。确保 SSH 代理正在运行，并且你的私钥已经添加到代理中。

有点抽象( size_p )：表示易受攻击对象的大小。( T_p )：表示路径 ( p ) 上的OOB写集。( f§ )：表示在执行路径 ( p ) 时收集的路径约束的集合。：表示 ( size_p ) 是符号表达式集合 ( E ) 中的一个元素。定义：对于所有 ( e1, e2 \in E )，如果 ( e1 ) 与 ( e2 ) 相同，或者 ( e1 ) 是一个常量且其值可以在 ( e2 ) 中取到，则 ( e1 \leq e2 )。解释：这里定义了符号表达式之间的比较关系。

从code中提取第二个字节（第8到第15位）。将该字节右移4位，保留其高4位。然后通过& 7操作，只保留右移后结果的最低3位。最终，result的值是code的第二个字节的高4位中的最低3位。这种操作通常用于从一个字节中提取特定的位段，可能用于解析某种编码格式或协议。

offset是在下一个0x8000块中的偏移，即对应到哪个packet_socket的哪个部分，为2048 + TIMER_OFFSET - 8代表第二个packet_sock->rx_ring->prb_bdqc->retire_blk_timer->func中的retire_blk_timer字段，由于会。后来发现没有native_write_cr4，感觉是没有编译进去，找到调用的地方的文件名， 然后在当前的目录的kconfig找到有个文件名的config选项，最后在.config开启，再重新编译。

最后是可以拿到了worker的UAF，然后改fd就行 或者找两个相邻的worker，然后两个都写tcache_struct，申请第一个出来后，利用size越界写修改相邻的那个还在tcache_struct的worker的fd为加密的stack地址。里面指向的各个Worker对象没有被释放，并且Worker对象里有。但棘手的是，string长度为0x47才会申请到0x50的chunk，但0x48就不会了，所以company的低字节不会，但只需要7个字节就够了，因为堆的地址只有6个字节，还好还好。

文章目录参考KVM（Kernel-based Virtual Machine）KVM 的概念KVM 的实现ioctl 命令KVM API 文档KVM 的编译选项QEMU 与 KVM 的结合工作原理嵌套虚拟化（虚拟机里再建一个虚拟机）嵌套虚拟化的系统中虚拟机执行vmx指令（对虚拟机中的虚拟机的相关操作）镜像文件qcow2/上传exp/调试漏洞diff相关源码和结构体漏洞点思路vmx相关初始化相对地址任意读写寻找虚拟机的VMCS的偏移寻找nest_vmx进而泄露嵌套虚拟机的在宿主机上的虚拟地址得到phymap基

文章目录参考Use After Free绑核cred_jar 可合并expcred_jar 不可合并利用 tty_struct 劫持程序控制流提权expHeap Overflow排布溢出修改 credexp堆溢出 + 堆喷射覆写 seq_operations 控制内核执行流expArbitrary Address Allocation（freelist 劫持）modprobe_path提权利用expOff By Null调试漏洞利用poll初始化喷poll_list和user_key_payload喷seq

由于指令集和运行时环境本身与web场景并不绑定，因此随着后来的发展，WebAssembly指令集出现了可以脱离浏览器的独立运行时环境，WebAssembly的用途也变得更加广泛。相比于浏览器的运行时，wasmtime是一个独立运行时环境，它可以脱离Web环境来执行wasm代码。根据字符串定位时发现没有引用的，后来发现是通过偏移的，发现第 3 个参数原来是 .rodata.wasm 段内的偏移值。起改为flag的偏移，然后show可以泄露处flag，当然长度不够，再把size改大就行。

然后找能够存有freegot表地址的pie地址，并且pie地址要是余8的，另外不能更低了，更低的got表地址没有写权限，没找到，想看能不能存有chunk_array的pie地址的pie地址，没找到，找存有低于chunk_array的pie地址的pie地址，找到了，能写，然后写chunk_array里的len和ptr，达到任意地址读写的效果，然后写got表。然后此时可以改原来的第一个chunk的chunk2ptr和size（edithacker要用），然后覆盖为efree的got表地址，

Webpwn目前大多数针对的是Php，我们需要重点分析的是 PHP 加载的外部拓展，漏洞点通常在 so拓展库中。由于 php加载扩展库来调用其内部函数，所以和常规 PWN题最大的不同点，就是我们不能直接获得交互式的shell。这里通常是需要采用 popen或者 exec函数族来进行执行 bash命令来反弹 shell，直接执行 one_gadget或者 system是不可行的。