kernel pwn ——(1)

最新推荐文章于 2023-08-11 10:54:34 发布
最新推荐文章于 2023-08-11 10:54:34 发布
阅读量470 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39869547/article/details/104859742
版权
本文介绍了kernel pwn的基础知识,包括如何解压获取src文件夹,分析启动脚本和QEMU命令。重点讨论了驱动mod.ko中的kpwn_ioctl函数,特别是0x133D case中的UAF漏洞。提到了几种内核态的利用手法,如修改cred结构体和利用tty设备,并讲解了如何在开启KASLR的情况下调试内核,寻找模块基址。最后提到了静态编译exp的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

tar 文件解压
文件 to_pwner.tar.xz
解压命令: xz -d to_pwner.tar.xz
再次解压:tar -xvf to_pwner.tar 之后获得 src文件夹
在这里插入图片描述
获得src文件夹 ,里面包含了启动脚本startvm.sh 和问题驱动mod.ko, bzImage 是经过压缩的原始内核文件。
运行脚本尝试获得一些信息:
在这里插入图片描述
加载进来,是在别的目录里,驱动程序应该是一开始就已经加载了的,大部分kernel pwn都是提权,这题也是。
接下来分析 启动脚本:
在这里插入图片描述
打开 qemu_cmd继续分析:
在这里插入图片描述
启动脚本,逐条解释含义:
9先指明框架 -m 分配内存
10指明内核文件
11开启了KASLR ,内核地址空间布局随机化
12文件系统
13 指定guest cpu资源,core是我们平时说的“核“,每个物理CPU可以双核,四核等。thread是每个core的硬件线程数,即超线程
14smep 保护和smap保护:
SMAP(Supervisor Mode Access Prevention,管理模式访问保护)禁止内核访问用户空间的数据
SMEP(Supervisor Mode Execution Prevention,管理模式执行保护)禁止内核执行用户空间的代码。
在内核态中,SMEP类似于NX。
接下来进行静态分析:
在这里插入图片描述
粗略的看一下函数表,这个驱动管理的设备名称为kpwn,才三个函数初始化函数,退出函数和操作函数。
系统设备文件夹下也能看见这个设备,
在这里插入图片描述
主要任务分析kpwn_ioctl函数中的漏洞即可。
粗略的扫一遍,可以明显的看见case 0x133d存在uaf。
但是我现在还是茫然的,根本不知道如何触发和利用这个uaf漏洞,接下的工作,分析每一个case的功能,捋清楚程序流程。

case:
0x1336 申请 0xDC0大小的堆块然后指针存放到bss段,栈上也要指针。限制case 0x1336的使用次数为7次
在这里插入图片描述
case 0x1337 主要是赋值操作 v18.staff[1]=v17.staff v18.staff[2] = v17 v4 =0 v4原本是-22
在这里插入图片描述
case 0x1338 和0x13339 着两个姑且看作对v3.staff的赋值 一个是0xdeadbeef 一个是 0x1
在这里插入图片描述
case 0x133A
若v17.staff!= 0xdeadbeef且cnt >v17.staff[2]且合

最低0.47元/天 解锁文章
qq_39869547
关注
kernel pwn
nelson11112的博客
04-11 3731
比赛中的kernel pwn 比赛中我们会得到下面几个文件 正在上传…重新上传取消 bzImage 这是一个内核编译生成的压缩内核映像 core.cpio这是一个文件管理系统 针对core.cpio会有一系列常规操作 mkdir core cd core mv ../core.cpio core.cpio.gz // cp ../core.cpio core.cpio.gz gunzip core.cpio.gz cpio -idmv < core.cpio 然后我们在core..
kernel pwn-kernel UAF
qq_46441427的博客
10-24 2296
不同于用户态pwn,内核pwn就不是用python远程拿shell,而是给一个环境包,下载qemu本地起系统。给定以下文件 boot.sh: 一个用于启动 kernel 的 shell 的脚本,多用 qemu,保护措施与 qemu 不同的启动参数有关 bzImage: kernel binary rootfs.cpio: 文件系统映像 ...
kernel pwn -- UAF
热门推荐
钞sir的博客
07-25 1万+
简介 众所周知,UAF的全称是Use After Free,是一种释放后重用漏洞;之前一直是在用户态下对这个漏洞进行利用学习的,最近想要体验一下在内核环境中利用此漏洞进行提权操作… 用户态的常规UAF可以看这篇文章… 这里我利用的CISCN2017 babydriver来进行学习的,环境我已经放到github上面了,需要的可以自行下载… 前置知识 权限 在Linux当中每个进程都有它自己的权限,而...
Kernel Pwn 入门 (1)
CoLin的pwn小屋
04-24 4865
Kernel pwn 入门 (1):环境搭建、注意事项、第一个Kernel pwn题:QWB2018-Core
kernel pwn入门
Peanuts
05-09 2799
kernel入门 自己的环境是16.04,出入kernel记录下,大佬勿喷。。 环境编译 下载kernel源代码:https://www.kernel.org/ 按照必要的依赖 sudo apt-get update sudo apt-get install build-essential libncurses5-dev 编译kernel源码 make menuconfig #遵循sakura...
老表带你学Linux kernel pwn 入门(一)
weixin_43889007的博客
11-04 3886
不加任何保护机制的内核栈溢出提权
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前
arttnba3的博客
02-25 708
【学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前[GITHUB BLOG ADDR](https://arttnba3.cn/2021/02/21/NOTE-0X02-LINUX-KERNEL-PWN-PART-I/)0x00.Linux Kernel Basic Knowledge一、内核内核架构:微内核 & 宏内核(单内核)宏内核(Monolithic Kernel,又叫单内核)微内核(Micro Kernel)二、分级保护域Intel Ring Model
《CTF特训营》——PWN:二进制安全基础
PICACHU+++的博客
08-13 3170
即DEP,是进制程序在非可执行的内存区中执行指令。在80x86体系中,操作系统的内存管理是通过页面表存储方式来实现,其最后一位就是NX位,0表示允许执行,1表示禁止执行。NX一般是防止直接在堆和栈上运行shellcode代码,gcc默认开启不可执行栈功能,添加编译选项z -exestack可开启栈可执行功能。...
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5417
本文主要详解CTFshow中pwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
Kernel pwn 入门 (6)
CoLin的pwn小屋
07-31 787
强网杯2021赛题解析——notebook,userfaultfd利用学习
Kernel Pwn 入门 (4)
CoLin的pwn小屋
07-15 838
Kernel pwn 入门之堆溢出
kernel pwn】(壹)初探
weixin_43960998的博客
03-18 667
1.环境搭建 只需要安装一个qemu就好了: sudo apt-get install qemu 2.准备工作 一般kernel题目会给一些文件,分别是boot.sh,bzImage,rootfs.cpio,分别是启动脚本,内核映像,根文件系统映像。题中所给的 rootfs.cpio 一般先是一个压缩包,需要重命名后解压出真正的文件目录,这里参考 cnitlrt师傅的文章给出一些常用脚本: 首先是解包脚本: #!/bin/bash mv $1 $1.gz unar $1.gz mv $1 core mv
Kernel pwn 入门 (3)
CoLin的pwn小屋
07-08 1958
kernel pwn 入门之 ret2dir
kernel pwn】(贰)kernel ROP
weixin_43960998的博客
03-19 459
继续学习 kernel pwn 相关知识,同时记录一些方法。 本文以 QWB2018-core 为例 1.题前准备 解压等一套流程。先看一下 start.sh (修改后): qemu-system-x86_64 \ -m 128M \ -kernel ./bzImage \ -initrd ./core.cpio \ -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" \ -netdev user,id=t0, -
Kernel pwn 入门 (7)
CoLin的pwn小屋
10-08 772
Kernel pwn 入门(7)
Kernel pwn 入门 (8)
CoLin的pwn小屋
10-11 1265
Kernel pwn 入门 (8)——Linux内核内存分配系统简介
Kernel-Pwn-FGKASLR保护绕过
dzqxwzoe的博客
08-11 116
KASLR)是KASLR的加强版,增加了更细粒度的地址随机化。因此在开启了FGASLR的内核中,即使泄露了内核的程序基地址也不能调用任意的内核函数。
linux kernel pwn 基础知识
sky123博客
05-22 3905
驱动程序设备驱动文件系统驱动内核拓展模块LKMs 的文件格式和用户态的可执行程序相同,Linux 下为 ELF ,Windows 下为 exe/dll ,mac 下为 MACH-O ,因此我们可以使用 IDA 等工具来分析内核模块。模块可以被单独编译,但不能单独运行,它在运行时被链接到内核作为内核的一部分在内核空间运行,这与运行在用户空间的进程不同。模块通常用来实现一种文件系统,一个驱动程序或者其它内核上层的功能。
软件安全实验二——pwn
最新发布
09-12
关于软件安全实验二中的攻击方式Pwn,我可以为你提供一些基本的信息。Pwn是指通过利用软件漏洞来获取对计算机系统的控制权。在实验二中,你可能会学习和尝试使用缓冲区溢出漏洞、格式化字符串漏洞、堆溢出等技术来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值