2019 强网杯 pwn final ExecChrome

最新推荐文章于 2023-04-17 21:53:04 发布
最新推荐文章于 2023-04-17 21:53:04 发布
阅读量734 收藏
点赞数
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/122391258
版权

在这里插入图片描述

#!/bin/bash
while true
    do ./qemu-system-x86_64 -m 1024 -smp 2 -boot c -cpu host -hda ubuntu_server.qcow2 --enable-kvm -drive file=./blknvme,if=none,id=D22 -device nvme,drive=D22,serial=1234 -net user,hostfwd=tcp::2222-:22 -net nic && sleep 5
done

看得出来设备叫nvme

在这里插入图片描述
然后发现有一堆函数

根据 2018 seccon pwn q-escape的经验
这么多函数估计是改某个qemu里面本来就有的设备改来的。

那么我们的处理办法就是找到改的是qemu的哪个设备,比对比对改了哪里,快速定位漏洞点。

首先我们要研究一下
这是改的哪个设备源码

在github的qemu源码仓库里
在这里插入图片描述在这里插入图片描述然后就基本定位到了

或者我们也可以直接看这里
在这里插入图片描述
当然还顺手在realize函数里发现申请了两个mmio空间
在这里插入图片描述
在这里插入图片描述

然后来这看
booltin

我们比对的重点肯定还是要放在
在这里插入图片描述
这四个函数上面

nvme_mmio_read看到少了对addr检测的那一部分
在这里插入图片描述这里显然就有个任意读

nvme_mmio_write
在这里插入图片描述
这里也有点不同,对addr的限制一个是直接写死0xfff,一个是用了n->bar
这不同会不会造成什么影响
那就往里面读一下

在这里插入图片描述在函数最后我们能通过addr来当做偏移往n->bar.cap数组里面读。

那么问题来了
这个数组容量是多少,能不能放得下0x1000

我们开始找
首先先找到n里面的bar
在这里插入图片描述
这个结构体叫NvmeBar_0
然后他是NvmeBar

在这里插入图片描述这个结构体只有0x40大小
显然存在越界写

所以到此我们的思路就比较明确了
cmb那个说实话也不用看了

我们思路就通过越界读,泄露程序基地址,泄露堆地址
走的还是劫持QEMUTime结构体的路子

来找找结构体

一个一个找
在这里插入图片描述
最后在这发现的

在这里插入图片描述
所以就直接劫持他就好了。

然后我们找到一条这样的调用链
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
覆盖参数的话我们就正常申请个chunk放进去或者越界任意写写在个啥地方就行。

yongbaoii
关注
专栏目录
【NVMe】NVMe 1.3协议中文翻译——第一章简介
jyyyyyy
10-08 1万+
一、简介 1.1概述 NVMe协议(以前也叫NVMHCI)接口允许主机软件与非易失性存储器子系统通信。 此接口针对企业和客户端固态驱动器进行了优化,通常作为寄存器级接口连接到PCI Express接口。 1.1.1 NVMe over PCIE 和 NVMe over Fabrics NVMe 1.3版本除了继承了老版本NVMe over PCIe,同时新增NVMe over Fabrics定义 ...
NVMe技术架构深度分析
架构师技术联盟
11-22 5134
NVM(Non-Volatile Memory)翻译过来为非易失存储器,是一类存储器的一般术语总称。而NVMe(Non-Volatile Memory Express)是...
Chrome v8 pwn
sky123博客
04-17 3134
它是⼀个多进程+IPC的程序, 不同的进程管理不同的内容,
【NVMe2.0b 2】NVMe 结构理论
BGONE的博客
06-16 2381
介绍NVMe接口的属性,基于Message/Memory传输模型,NVMe实体结构划分,支持SR-IOV,multi-port的NVM系统模型
nvme理解
All sad people like poetry, happy people like song
01-08 2800
这几日再看nvme的资料,感觉茫然无序,这是近几年出来的东西,比较新在网上找不到相关介绍说明,所以只能自己慢慢啃了。一下把自己的理解大概讲讲,有不正之处请大家及时指出,好及时改过。 nvme走的是pcie的协议,有了底层协议保证,我们才能对nvme去进行code。 nvme本身的规范特别多,基本的就是他与主机通信的管理采用的是队列这种数据结构,用一个环形的队列,管理各种命令,而命令分为管理命令,每个
强网杯2022 pwn 赛题解析.docx
最新发布
12-18
强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
强网杯2021 pwn部分wp
eeeeeight的博客
06-18 1316
baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相加再相加相加…直到变成一个byte的数字, 然后加到输入数据的后一位上, 因此我们可以尝试控制输入的内容, 从而控制下一个chunk的size大小 在确定完溢出点后, 我们便开始准备伪造chunk了, 由于要满足p->fd->bk == p, p->bk->fd == p以及prevsize == size, 我们需要申请一个largebin的chunk
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022年第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
【天格】战队-未解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中分享了多个未解出的题目附件,这些附件涵盖了网络安全领域的多个子领域,包括逆向工程、漏洞利用(PWN)、密码学(Crypto)以及杂项(Misc)。通过分析这些文件...
内存映射IO (MMIO) 简介
Master-TJ的个人博客
06-05 1万+
MMIO(Memory mapping I/O)即内存映射I/O,它是PCI规范的一部分,I/O设备被放置在内存空间而不是I/O空间。从处理器的角度看,内存映射I/O后系统设备访问起来和内存一样。这样访问AGP/PCI-E显卡上的帧缓存,BIOS,PCI设备就可以使用读写内存一样的汇编指令完成,简化了程序设计的难度和接口的复杂性。基本概念MMIO(Memory mapping I/O)即内存映射I...
NVMe协议笔记分享
weixin_30700977的博客
06-20 2386
NVMe概述 NVMe是一个针对基于PCIe的固态硬盘的高性能的、可扩展的主机控制器接口。 NVMe的显著特征是提供多个队列来处理I/O命令。单个NVMe设备支持多达64K个I/O 队列,每个I/O队列可以管理多达64K个命令。 当主机发出一个I/O命令的时候,主机系统将命令放置到提交队列(SQ),然后...
PCIE的mmio内存映射访问机制
热门推荐
miss_lazygoat的专栏
08-15 1万+
PCIe概述 PCI总线使用并行总线结构,采用单端并行信号,同一条总线上的所有设备共享总线带宽  PCIe总线使用高速差分总线,采用端到端连接方式,每一条PCIE链路只能连接两个设备 PCIe的端到端连接方式  发送端和接收端都含有TX(发送逻辑),RX(接受逻辑)  现在来说明什么是mmio  mmio,memory map io内存映射访问机制,除了port
qemu连接虚拟机的几种方法
chuiwang8381的博客
06-11 2958
1. ssh tcp端口转发 qemu命令行: -net user,hostfwd=tcp::5555-:22 连接vm: ssh -p 5555 root@localhost 2. 通过串口 qemu命令行: -serial unix:/tmp/test.sock,server,nowa...
湖湘杯2021-pwn-final部分复现
qq_53062301的博客
12-09 4968
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘杯是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
exec: "google-chrome": executable file not found in %PATH%
Zpz501的博客
11-20 4208
环境 系统:Windows10 语言:Golang 1.10 组件相关:Chromedp 0.4 错误信息: API server listening at: 127.0.0.1:13308 exec: "google-chrome": executable file not found in %PATH% 原因分析: 默认路径未找到chrome程序,导致启动无头浏览器报错 解决办法...
2018 seccon pwn q-escape
yongbaoii的博客
01-22 378
先看一眼保护 没开PIE 瞅一眼启动脚本 设备就叫cydf-vga 然后在本地的2222端口开启了qemu monitor 脚本跑一下 没跑起来,缺个库 然后这样解决 然后IDA分析一下 首先是总的结构体 cydf_vga_register_types 然后是type_init一直往下调用的函数 do_qemu_init_cydf_vga_register_types ,里面继续调用module_init用来初始化typeinfo、typelmpl结构体。 然后调用 cydf_vga_class_i.
[qemu] 端口重定向
闲云孤鹤
11-10 3151
参考: qemu-doc.html
2022强网杯pwn赛题详解:基于largebinattack的houseofapple漏洞利用
强网杯2022年的Pwn赛题解析主要聚焦于一道难度较高的题目"house_of_cat",该题挑战者需利用glibc 2.35版本中的漏洞进行攻击,这是当时Ubuntu 22.04系统上最新版glibc。题目吸引了众多参赛队伍,但因涉及高级的_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值