摘要: kernel 劫持seq_operations && 利用pt_regs 劫持seq_operations进行栈迁移 seq_operations是一个大小为0x20的结构体,在打开/proc/self/stat会申请出来。里面定义了四个函数指针,通过他们可以泄露出内核基地址。 struct seq 阅读全文
posted @ 2022-05-15 22:12 狒猩橙 阅读(131) 评论(1) 推荐(2) 编辑
摘要: #kernel heap bypass smep,smap && 劫持modprobe_path ###exp1 smep:smep即用户数据不可执行,当 CPU 处于 ring0 模式时,执行用户空间的代码会触发页错误,系统根据CR4寄存器的第20位判断内核是否开启smep,为1时开启,为0时关闭 阅读全文
posted @ 2022-05-14 23:08 狒猩橙 阅读(105) 评论(1) 推荐(1) 编辑
摘要: 1.1.24 musl pwn 关键源码 static void unbin(struct chunk *c, int i) { if (c->prev == c->next) // 若 bin 只有一个 chunk,将 bin 设为空 bin a_and_64(&mal.binmap, ~(1UL 阅读全文
posted @ 2022-05-14 10:40 狒猩橙 阅读(10) 评论(1) 推荐(1) 编辑
摘要: 我是大笨比之线性表交集差 #include <iostream> using namespace std; template <class T> // 单链表结点类,T指定结点的元素类型 class Node { public: T data; // 数据域,保存数据元素 Node<T> *next 阅读全文
posted @ 2022-05-10 17:13 狒猩橙 阅读(5) 评论(1) 推荐(1) 编辑
摘要: ####exp from pwn import* context.log_level = 'debug' context.arch = 'amd64' #s = process('./examination') s = remote('124.70.130.92',60001) libc = ELF 阅读全文
posted @ 2022-05-09 17:48 狒猩橙 阅读(10) 评论(0) 推荐(0) 编辑
摘要: #kernel UAF && 劫持tty_struct ####ciscn2017_babydriver exp1 fork进程时会申请堆来存放cred。cred结构大小为0xA8。修改cred里的uid,gid为0,即可get root #include <string.h> #include < 阅读全文
posted @ 2022-05-03 21:34 狒猩橙 阅读(96) 评论(1) 推荐(1) 编辑
摘要: #kernel ROP 借助qwb-2018 core这道题目来熟悉一下,kernel rop及ret2usr 首先看一下启动脚本 发现没有开什么保护,只开了一个kaslr,为了方便调试我们在这里把它改成nokaslr关闭即可。 再来看一下init文件 看一下这个里面的几行命令是什么意思 1、mou 阅读全文
posted @ 2022-05-02 14:01 狒猩橙 阅读(10) 评论(1) 推荐(1) 编辑
摘要: house of storm 是一个结合了 unsorted bin 和 largebin attack 的危害性极高的组合漏洞。其效果是可以实现任意地址申请一个堆块,他的思想主要就是通过 unsorted bin 和 largebin attack 来伪造并链进一个 unsorted bin。 利 阅读全文
posted @ 2022-04-26 17:16 狒猩橙 阅读(11) 评论(2) 推荐(1) 编辑
摘要: CVE-2017-17215 华为路由器UPNP服务命令注入 阅读全文
posted @ 2022-04-09 19:02 狒猩橙 阅读(21) 评论(0) 推荐(1) 编辑
摘要: CNVD-2018-01084远程代码执行 阅读全文
posted @ 2022-04-09 19:02 狒猩橙 阅读(16) 评论(0) 推荐(0) 编辑