NCSTISC Linux Kernel PWN450

最新推荐文章于 2023-08-04 17:47:11 发布
最新推荐文章于 2023-08-04 17:47:11 发布
阅读量315 收藏
点赞数
分类专栏: # 3 CTF

0x00 参考:

通过真题理解通过UAF漏洞修改tty_strcut绕过semp并进行提权。

http://whereisk0shl.top/NCSTISC Linux Kernel pwn450 writeup.html
https://www.anquanke.com/post/id/85281
https://www.anquanke.com/post/id/86490

0x01 UAF漏洞学习

Use After free漏洞简单的理解示例如下:
https://blog.csdn.net/qq_20307987/article/details/51511230

#include <stdio.h>
#include <stdlib.h>
typedef void (*func_ptr)(char *);
void evil_fuc(char command[])
{
system(command);
}
void echo(char content[])
{
printf("%s",content);
}
int main()
{
func_ptr *p1=(int*)malloc(4*sizeof(int));
printf("malloc addr: %pn",p1);
p1[3]=echo;
p1[3]("hello worldn");
free(p1); //在这里free了p1,但并未将p1置空,导致后续可以再使用p1指针
p1[3]("hello againn"); //p1指针未被置空,虽然free了,但仍可使用.
func_ptr *p2=(int*)malloc(4*sizeof(int));//malloc在free一块内存后,再次申请同样大小的指针会把刚刚释放的内存分配出来.
printf("malloc addr: %pn",p2);
printf("malloc addr: %pn",p1);//p2与p1指针指向的内存为同一地址
p2[3]=evil_fuc; //在这里将p1指针里面保存的echo函数指针覆盖成为了evil_func指针.
p1[3]("whoami");
return 0;
}

1、申请一段空间,并将其释放,释放后并不将指针置为空,因此这个指针仍然可以使用,把这个指针简称为p1。

2、申请空间p2,由于malloc分配的过程使得p2指向的空间为刚刚释放的p1指针的空间,构造恶意的数据将这段内存空间布局好,即覆盖了p1中的数据。(为什么会完美覆盖p1,这是个问题)

3、利用p1,一般多有一个函数指针,由于之前已使用p2将p1中的数据给覆盖了,所以此时的数据既是我们可控制的,即可能存在劫持函数流的情况。

0x02 真实的题目

一:gdb调试内核

二:绕过semp

三:修改结构体进行提权

tangsilian
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
老表带你学Linux kernel pwn 入门(三)
weixin_43889007的博客
11-12 692
double fetch 条件竞争
老表带你学Linux kernel pwn 入门(一)
weixin_43889007的博客
11-04 3507
不加任何保护机制的内核栈溢出提权
linux内核pwn,Linux Kernel Pwn 学习笔记 (UAF)
weixin_39747087的博客
04-29 323
原标题:Linux Kernel Pwn 学习笔记 (UAF) 本文为看雪论坛优秀文章看雪论坛作者ID:Vinadiak0x01 背景知识UAF漏洞:UAF 漏洞是当我们 free 掉某个指针变量所指向的堆块的时候,未将该指针变量置0,导致该指针依然指着该堆块地址,当我们引用该指针的话,也就引用该指针所所指向的地址。这个漏洞对于开发者很容易忽略,但威力非常强大。条件竞争:在多线程的环境下,当多个线...
linux内核pwn,Linux kernel pwn基础
weixin_39600447的博客
04-29 358
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?主要记录一下学习linux kernel pwn遇到的命令以及相关函数、工具使用,之前没有接触过,有必要记录一下。模块相关123insmod:加载指定模块rmmod:卸载指定模块lsmod:查看已经加载的模块启动qemu123432位启动:qemu-system-i386 -kernel linux-2.6.32.1/a...
linux内核pwn,Linux Kernel Pwn 0:1
weixin_36473811的博客
04-29 195
0x00 Setup#基础概念#vmlinux 是未压缩的可执行内核文件vmlinuz 是压缩后的可执行文件 包括bzimage\zimageinitrd (initial ramdisk)是用于启动时临时引导硬件到内核的临时文件系统内核向下控制管理硬件,向上提供应用运行环境运行环境#apt-get install qemu-system启动命令示例qemu-system-x86_64 -init...
linux kernel pwn 基础知识
sky123博客
05-22 2943
驱动程序设备驱动文件系统驱动内核拓展模块LKMs 的文件格式和用户态的可执行程序相同,Linux 下为 ELF ,Windows 下为 exe/dll ,mac 下为 MACH-O ,因此我们可以使用 IDA 等工具来分析内核模块。模块可以被单独编译,但不能单独运行,它在运行时被链接到内核作为内核的一部分在内核空间运行,这与运行在用户空间的进程不同。模块通常用来实现一种文件系统,一个驱动程序或者其它内核上层的功能。
老表带你学Linux kernel pwn 入门(二)
weixin_43889007的博客
11-08 779
启用kaslr、canary和smep的内核栈溢出提权
linux3.13.0内核溢出漏洞exp,Linux Kernel Pwn 学习笔记(栈溢出)
weixin_42558758的博客
05-06 492
0x01 背景栈溢出是最基本的一个漏洞,学习 pwn 从栈溢出开始学习是比较简单的入门方式。之前也研究过 linux 内核,但因为种种原因不得不放弃。现在跟着安卓版主学习了几天linux内核漏洞,收获了不少知识,开始自己梳理和分享自己的笔记,特此感谢版主老师的教导0x02 内核基本知识Canary: 是防止栈溢出的保护,一般在 ebp-0x8 的位置,学习 linux pwn 的基本知识,不细讲K...
老表带你学linux kernel pwn(五)结业考试
weixin_43889007的博客
11-15 368
文章目录第一章 写在前面第二章 基础知识第三章 目标准备与分析3.1 `逆向分析baby.ko`3.1.1 `IDA`中堆栈不平衡的解决方法3.1.2 `init_moule`函数3.1.3 `free_get_preaddr`函数3.1.4 `baby_ioctl`函数第四章 exp编写与调试第五章 参考资料 第一章 写在前面 ​ 本篇是老表带你学linux kernel pwn入门系列的第五篇,也是入门系列的最后一篇。选取的是xman成都营中的level5,暂时没有在网上找到相关的思路介绍文章,通过前面
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前
arttnba3的博客
02-25 583
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前[GITHUB BLOG ADDR](https://arttnba3.cn/2021/02/21/NOTE-0X02-LINUX-KERNEL-PWN-PART-I/)0x00.Linux Kernel Basic Knowledge一、内核内核架构:微内核 & 宏内核(单内核)宏内核(Monolithic Kernel,又叫单内核)微内核(Micro Kernel)二、分级保护域Intel Ring Model
linux kernel pwn 劫持tty结构体 打不开/dev/ptmx文件(二)
yongbaoii的博客
04-20 807
前文 一
linux内核提取ret2usr,kernel pwn(0):入门&ret2usr
weixin_29079643的博客
05-07 430
一、序言从栈、格式化串,再到堆,当这些基本的攻击面都过下来以后,对于劫持流程拿shell的过程就应该非常熟悉了,然而传统的exploit拿到的shell的权限并非最高的,而kernel pwn的核心目标就是拿到一个具有root权限的shell,其意义就在于提权。二、kernel pwn简介1.一般背景:内核pwn的背景一般都是Linux内核模块所出现的漏洞的利用。众所周知,Linux的内核被设置成...
linux内核pwn,[原创]linux kernel pwn 分析(一) 强网杯core + ciscn babydriver
weixin_42588672的博客
04-29 539
通用的提权代码是commit_creds(prepare_kernel_cred(0));这两个函数如何动态获得?借助/proc/kallsyms符号表,在运行时动态读取。这个很容易实现,贴出一例:unsigned long find_symbol_by_proc(char *file_name, char *symbol_name){FILE *s_fp;char buff[200] = {0}...
linux kernel pwn 内核利用
sky123博客
05-17 1948
基础知识 内核概述 内核架构 通常来说我们可以把内核架构分为两种:宏内核和微内核,现在还有一种内核是混合了宏内核与微内核的特性,称为混合内核。 宏内核(Monolithic kernel),也译为集成式内核、单体式内核,一种操作系统内核架构,此架构的特性是整个内核程序是一个单一二进制可执行文件,在内核态以监管者模式(Supervisor Mode)来运行。相对于其他类型的操作系统架构,如微内核架构或混合内核架构等,这些内核会定义出一个高端的虚拟接口,由该接口来涵盖描述整个电脑硬件,这些描述会集合成一组硬
kernel pwn入门
最新发布
YJ_12340的博客
08-04 482
Linux 内核是 Linux 操作系统的核心组件,它提供了操作系统的基本功能和服务。它是一个开源软件,由 Linus Torvalds 在 1991 年开始开发,并得到了全球广泛的贡献和支持。Linux 内核的主要功能包括进程管理、内存管理、文件系统、网络通信、设备驱动程序等。它负责管理计算机硬件和软件资源,并为应用程序提供必要的基础支持。Linux 内核是一个模块化的系统,可以根据需要加载和卸载各种驱动程序和功能模块。
Kernel pwn 入门 (8)
CoLin的pwn小屋
10-11 1168
Kernel pwn 入门 (8)——Linux内核内存分配系统简介
linux kernel ping_init_sock poc,Kernel Pwn 学习之路 - 番外
weixin_35675138的博客
05-13 389
0x01 前言由于关于Kernel安全的文章实在过于繁杂,本文有部分内容大篇幅或全文引用了参考文献,若出现此情况的,将在相关内容的开头予以说明,部分引用参考文献的将在文件结尾的参考链接中注明。从本篇番外开始,将会记录在CTF中Kernel Pwn的一些思路,由于与Kernel Pwn 学习之路(X)系列的顺序学习路径有区别,故单独以番外的形式呈现。本文将会以实例来说几个Linux提权思路,本文主要...
linux kernel pwn学习之劫持vdso
seaaseesa的博客
03-06 2318
Hijack vdso VDSO就是Virtual Dynamic Shared Object,是内核提供的虚拟的.so,这个.so文件不在磁盘上,而是在内核里头。内核把包含某.so的内存页在程序启动的时候映射入其内存空间,对应的程序就可以当普通的.so来使用里面的函数。Vdso里面封装了这几个函数,其作用主要是加快对于某些对速度要求很高的系统调用,更多详细信息可以查看https://blog....
kernel pwn】(肆)再看babydriver
weixin_43960998的博客
03-23 214
执行 open("/dev/ptmx", O_RDWR | O_NOCTTY) 这样的操作会打开 ptmx 这种 tty 设备,申请一块内核空间,存放 tty_struct 结构体: struct tty_struct { int magic; struct kref kref; struct device *dev; struct tty_driver *driver; const struct tty_operations *ops; // target
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值