qwb2018_core kernel_rop

最新推荐文章于 2024-02-13 22:01:30 发布
最新推荐文章于 2024-02-13 22:01:30 发布
阅读量511 收藏
点赞数
分类专栏: pwn 题目的整理 文章标签: linux kernel pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlz_lc_4/article/details/122925673
版权

qwb 2018 core

文章目录


年轻人的第一个内核题目。

环境搭建

基础

解包:

# /bin/sh

mv core.cpio core/core.cpio.gz
cd core
gunzip core.cpio.gz
cpio -idm < core.cpio
rm core.cpio

重打包:

# /bin/sh
find . -print0 \
| cpio --null -ov --format=newc \
| gzip -9 > core.cpio

mv core.cpio ../core.cpio

注意修改启动脚本,内存给的大一点才能启动

qemu-system-x86_64 \
-m 128M \
-kernel ./bzImage \
-initrd  ./core.cpio \
-append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \
-s  \
-netdev user,id=t0, -device e1000,netdev=t0,id=nic0 \
-nographic  \

修改init脚本

由于默认是chal权限,内核地址信息等看不到,所以还要修改脚本进入root进行调试。

修改这两个位置,第一个是取消定时关机,第二个是设置默认权限为root。

重新打包以后才生效。

调试

启动脚本里已经有了-s选项。于是可以直接使用gdb去连上去。

target remote :1234

在内核中我们使用 lsmod可以查看到模块加载地址,于是可以直接下断点, 进行调试。也可以使用符号, 通过以下指令载入符号即可。

add-symbol-file module_path base_address

因为基本是在驱动模块的漏洞利用,这样也差不多了。

漏洞

从文件中拖出来 core.ko文件,逆向, 可以看到通过ioctl如何操作。

整数截断-栈溢出

这个位置存在一个整数截断导致的栈溢出。

而name这个数据在这个位置, 我们可以通过write直接写入。

image.png

数据泄漏

这里可以向用户态写入数据,

image.png

通过ioctl可以直接修改这个off,

image.png

利用

利用也比较简单,

image.png

程序内有canary, 运行有kaslr, 于是我们要先泄漏canary、内核地址、驱动地址。

#include <stdlib.h>
#include <string.h>
#include <sys/stat.h>
#include
最低0.47元/天 解锁文章
-令则
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux kernel pwn -- 2018qwb_core
abelxu
03-22 238
0x01 查看题目 1.查看start.sh启动脚本,开启了kaslr,但是没有开smep和smap,这里有个小坑-m 64M会报错内存不够,可以改成-m 1024M qemu-system-x86_64 \ -m 64M \ -kernel ./bzImage \ -initrd ./core.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \ -s \ -netdev user,id=t0,
21 09 05学习总结(qwb_2018_core kernel rop)
eeeeeight的博客
09-05 955
21.09.05学习总结(qwb_2018_core kernel rop) Column: September 1, 2021 Tags: kernel study, learning experience 大概是好久之后更新的一篇blog了, 之前都在忙忙碌碌的打比赛呢, 痴痴的看着短视频, 莫名其妙就会让时间流走呢(笑, 最近不会再这样了) qwb_2018_core, 唔, kernel还不是学的很好呢, 先注释一遍吧, 加强理解: #include <string.h> #includ
Kernel rop attack 2018QWBcore复现
qq_39948058的博客
08-28 299
前言:最近刚入手内核题,所以这里跟着ctfwiki进行学习下,大佬勿喷。。。 第一步很经典。。。如果题目没有给 vmlinux,可以通过 extract-vmlinux 提取。 看到start.sh发现开启了kalsr随机化,需要进行泄露计算基地址,这里跟用户态pwn题很相似 看下init: #!/bin/sh mount -t proc proc /proc mount -t sysfs sysfs /sys mount -t devtmpfs none /dev /sbin/mdev -s m
【栈溢出】QWB2018-core
qq_61670993的博客
09-23 148
QWB2018-core,简单栈溢出
kernel-pwn学习(3)--ret2user&&kernel ROP&&QWB2018-core
azraelxuemo的博客
04-21 523
文章目录题目分析附件结构分析start.sh分析文件结构init分析驱动分析保护ioctl攻击泄露kernel base找到需要用的函数的偏移开始利用驱动漏洞泄露canaryROP返回到用户态触发栈溢出final exp 这个题目其实这两种做法区别不大,就是提权时候ROP会复杂很多,其实对应于我们用户态的时候ROP去完成ret2text的工作,道理差不多,我就主要分析一下ret2user 题目分析 附件 附件 结构分析 这是附件里面的内容,下面4个就是exp和exp源码,上面两个是驱动分析,主要内容就是ta
Matplotlib.zip_QWB_dssz_matplotlib
07-14
Matplotlib的官方文档,开发必备,强烈推荐
CTF
03-10
周大福 麒麟在CTF游戏中的写作。
网页开发迷你工具
09-07
网页开发是一个涵盖广泛的技术领域,其中包括前端设计、后端编程以及许多辅助工具。"网页开发迷你工具"集合了多种实用工具,旨在简化网页开发者的工作流程,提高效率。这个绿色版工具包无需安装,方便快捷,是网页...
AB系列eplan宏文件(变频器、io、控制器所有的)
04-21
AB系列的EPLAN宏文件是电气工程设计领域中不可或缺的工具,主要用于自动化系统的设计和配置。EPLAN是一款高效、智能化的电气CAD软件,而宏文件则包含了一系列预先设定的符号、模板和规则,用于简化和标准化设计过程...
AB PLC 2080手册
10-23
AB PLC 2080手册 安装说明 选型说明 MICRO820 以太网 串口
linux_kernal_pwn 2018 强网杯 - core
yongbaoii的博客
09-01 308
四个文件,vmlinux不用提取了。 开了kaslr。 我们说内核的保护分四种,隔离、访问控制、异常检测、随机化。 随机化有两种,一个是kaslr,一个是fgkaslr。 在开启了 KASLR 的内核中,内核的代码段基地址等地址会整体偏移。 然后解压文件系统,看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的,必须更改名字,gunzip才认识 gu.
[BUUCTF-pwn] qwb2018_opm
weixin_52640415的博客
01-17 2067
我讨厌爆破 只有add没有free,但是add中用了gets,很明显是字符串溢出。但是这个溢出不大好利用,因为后边带个固定的\0结尾。 这样就需要堆块建在一个特殊位置0xXXXXX00XX这时候可以通过溢出控制最后一字节而不影响前边数据。由于堆块都是以000结尾,所以需要爆破半个字节。 思路: 先建几个块使一个块建在00XX的位置(建两个0x70后第3个块正好建在0030+0060,正常是建到?0XX的位置,前边那个0是爆破得到的) 再建块时先溢出到v6,将其指向前一个块的数据块(0060)这时会
强网杯2018_core
z1r0的博客
03-21 845
强网杯2018_core 具体可以看z1r0’s blog 题目拿到手就是一个tar包。解压 ➜ 2018强网杯-core tar -xvf core_give.tar give_to_player/ give_to_player/bzImage give_to_player/core.cpio give_to_player/start.sh give_to_player/vmlinux ➜ 2018强网杯-core ls core_give.tar give_to_player ➜ 2018强网
【kernel pwn】(贰)kernel ROP
weixin_43960998的博客
03-19 385
继续学习 kernel pwn 相关知识,同时记录一些方法。 本文以 QWB2018-core 为例 1.题前准备 解压等一套流程。先看一下 start.sh (修改后): qemu-system-x86_64 \ -m 128M \ -kernel ./bzImage \ -initrd ./core.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \ -netdev user,id=t0, -
QWB-2018-core | 栈溢出
最新发布
blind cat
02-13 464
core_write:将用户态的内容写入内核态全局变量name中。
ctf中linux 内核态的漏洞挖掘与利用系列
Moyun_vackbot的博客
03-29 892
本篇文章主要针对内核栈溢出以及堆越界访问漏洞进行分析以及利用。
linux_pwn(2)--double free&&qwb2018_raisepig
azraelxuemo的博客
03-05 1324
文章目录What is double freepwn题例题add函数show函数delete函数开始做题准备框架调试泄露libcdouble freeexp总结 What is double free double free顾名思义,两次释放,在ctf里面一般就是对同一个内存块释放了两次,其实这个跟之前的uaf产生的方式有点类似,都是需要满足指针没有被置NULL ptr=malloc(0x10) ptr2=malloc(0x10) free(ptr) free(ptr2) free(ptr) 由于直接连续
kernel-ROP 2018 强网杯 - core
qq_41071646的博客
07-13 1335
参考链接 CTF wiki https://ctf-wiki.github.io/ctf-wiki/pwn/linux/kernel/kernel_rop-zh/ 说实话 看见强网杯 这三个字 我笑了 2019年的那些pwn 题 真的多 不当人 当时因为我再看 逆向所以 pwn 就负责人一个人 比较难受 暑假多学一些pwn 能够分担pwn 压力吧 然后今天看了一下 k...
rwctf2022_QLaaS
令则
02-14 3561
rwctf2022 QLaaS 文章目录rwctf2022 QLaaSmain.py漏洞transform_to_real_pathopenat利用proc 文件利用`/proc//mem`注入shellcodeexp main.py 首先题目文件只有一个main.py, 内容如下: #!/usr/bin/env python3 import os import sys import base64 import tempfile # pip install qiling==1.4.1 from qilin
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值