- 博客(11)
- 资源 (8)
- 收藏
- 关注
RSS订阅转载 linux 内核提权总结(demo+exp分析) -- 任意读写(四)
hijack_modprobe_path篇原理同hijack_prctl, 当用户执行错误格式的elf文件时内核调用call_usermodehelper(char *modprobe_path ...) 修改modprobe后,即可实现root权限任意命令执行 攻击流程 (内核任意读写漏洞)内核修改全局变量 modprobe_path为目标指令 写入错误格式elf文件,并手动执行,触发 原文地址一. 利用步骤1. 定位modprobe_path(开启kaslr
2020-12-23 20:52:08
292
转载 linux 内核提权总结(demo+exp分析) -- 任意读写(三)
hijack_prctl篇 prctl函数: 用户态函数,可用于定制进程参数,非常适合和内核进行交互 用户态执行prctl函数后触发prctl系统调用 内核接收参数后执行security_task_prctl security_task_prctl执行hook.task_prctl poweroff_work_func函数: 内核函数,执行 run_cmd(poweroff_cmd),即root权限执行poweroff_cmd 攻击流程: 劫持hook.task_
2020-12-23 20:51:58
297
转载 linux 内核提权总结(demo+exp分析) -- 任意读写(二)
hijack_vdso篇 vdso: 内核实现的一个动态库,存在于内核,然后映射到用户态空间,可由用户态直接调用 内核中的vdso如果被修改,那么用户态空间的vdso也会同步被修改 攻击流程 (内核任意代码执行漏洞)内核调用set_memory_rw 函数修改内核vdso页面属性,使得用户态可以直接修改vdso,劫持vdso为shellcode,触发条件同1 (内核任意读写漏洞)内核修改内核vdso数据,写入shellcode,使得用户态vdso中函数被劫持,当高权限进程调用v
2020-12-23 20:51:48
274
转载 linux 内核提权总结(demo+exp分析) -- 任意读写(一)
cred篇每个线程在内核中都对应一个线程结构块thread_info thread_info中存在task_struct类型结构体 struct task_struct中存在cred结构体用来保存线程权限 攻击流程 定位某进程的cred结构体 将cred结构提结构体的uid~fsgid全部覆写为0(前28字节) 原文地址一. 利用步骤1. 定位cred结构体 task_struct中存在char comm[TASK_COMM_LEN] co.
2020-12-23 20:51:38
434
转载 linux 内核提权总结(demo+exp分析) -- ROP(二)
ret2usr CR4篇 smep: smep是内核的一种保护措施, 使得内核不可执行用户态代码 内核通过CR4寄存器的第20位来控制smep, 第20位为0时,smep被关闭 攻击流程 提前在用户态代码中构造进程提权代码(get_root) ROP技术修改CR4第20位数据为0(关闭smep), 通常使用 mov cr4, 0x6f0 修改 rip 直接指向用户态提权代码,实现进程提权 原文地址一. 判断是否开启smep1.查看 boot.shqemu
2020-12-23 20:51:25
328
转载 linux 内核提权总结(demo+exp分析) -- ROP(一)
基础ROP篇(linux 5.0.21)内核提权与用户态攻击的区别攻击流程 用户态攻击: 执行 system("/bin/sh") 获得shell 内核提权: 内核执行 commit_creds(prepare_kernel_cred(0)) 使进程获得root权限 用户态进程执行system("/bin/sh") 获得root权限 shell 原文地址理解难点 内核rop链构造 用户态进程与内核之间的切换 一. 漏洞分析建议初学者先了解基础的驱动程序
2020-12-23 20:51:10
1568
转载 linux-5.6.6 内核引导
本文详细讲解linux内核的加载过程,参考linux-insiders,并结合linux-5.6.6代码对原文的部分老旧内容做修改引导1.按下电源开关后, CPU设置寄存器为预定值,程序在实模式下运行,程序首先执行0xfffffff0(映射至ROM)处内容,此处为复位向量,直接跳转至BIOS。2.BIOS初始化,检查硬件,寻找可引导设备,跳转至引导扇区代码(boot.img)寻找可引导设备方式: 定位MBR分区, 引导扇区存储在第一个扇区(512字节)的头446字节处。引导扇区以0x5.
2020-12-23 20:50:51
593
原创 Windows电脑清理Windows.edb文件,释放C盘空间
Windows电脑清理Windows.edb文件,释放C盘空间C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb解决办法:A:如果你想继续使用索引技术,但又不想放在C盘,可以进行如下操作:点击“开始”--->搜索 "Indexing Options"--->更改windows的搜索方式--->高级--->索引位置--->选择新位置,放置到你想要放置的盘中。B:如果.
2020-12-23 20:50:15
6666
1
原创 OpenMCU&H323
请阅读下面两篇文章OpenMCU:先跑起来之Install FROM packagesH323plus的编译安装配置与使用:从头开始确认运行状态1.主机一号openmcu运行状态netstat -lntp[root@host ~]# netstat -lntpActive Internet connections (only servers)Proto Recv-Q Send-Q Local Address Foreign Address State.
2020-12-05 22:50:21
934
openstack-utils工具包
2021-07-06
openstack-utils工具包
2021-07-06
Base64加密算法C语言代码实现
2020-09-26
DES加密算法C语言代码实现
2020-09-26
AES加密算法C语言代码实现
2020-09-26
shc-Unshc.zip
2020-06-10
virtio-win-0.1.173.zip
2020-06-04
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人