linux kernal pwn 0ctf2018-zerofs

虚拟文件系统安全剖析：拒绝/kallsyms泄露与漏洞利用策略

最新推荐文章于 2024-02-27 21:55:50 发布

原创

最新推荐文章于 2024-02-27 21:55:50 发布 · 503 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

本文深入探讨了一个启动脚本和init脚本中的安全问题，聚焦于如何通过拒绝/proc/kallsymble地址泄露的规避，以及利用虚拟文件系统知识，如inode伪造引发溢出攻击，最终目标是提权。文章涉及Linux VFS结构、文件系统注册与操作，以及get_inode函数的潜在漏洞利用路径。

启动脚本

#!/bin/sh

stty intr ^]

qemu-system-x86_64 -enable-kvm -cpu kvm64,+smep,+smap -m 64M -kernel ./bzImage -initrd ./rootfs.cpio -append "root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr" -monitor /dev/null -nographic 2>/dev/null

init

#!/bin/sh

mknod -m 0666 /dev/null c 1 3
mknod -m 0660 /dev/ttyS0 c 4 64

mount -t proc proc /proc
mount -

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

yongbaoii

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

linux kernal pwn STARCTF 2019 hackme（一）劫持modprobe_path

yongbaoii的博客

04-20

640

从用户态传入了0x20的数据，其数据放在了pool里面在IDA里面看的话就是就是他传入的四个QWORD 。我们可以看得出来30001的时候就是通过v17来找到相关地址，然后kfree，再清零所以其实就看得出来v17是index。功能30002 v8是slab的地址 v20是从哪开始写 v9[1]里面就是size 所以就是往里面写功能30003 上面是写进去所以这个自然就是读出来功能30000 读入一段根据这一段申请slab 漏洞有两个首先我们显而易见的在读写slab的时候对of.

ctf中linux 内核态的漏洞挖掘与利用系列

Moyun_vackbot的博客

03-29

1111

本篇文章主要针对内核栈溢出以及堆越界访问漏洞进行分析以及利用。

参与评论您还未登录，请先登录后发表或查看评论

linux_kernal_pwn 2018 0CTF Finals Baby Kernel

yongbaoii的博客

09-01

323

看看保护，似乎没啥保护。其实看到它不是单核单线程，猜测可能会有条件竞争。挂载文件时baby.ko 来看程序 __int64 __fastcall sub_25(__int64 a1, int a2, __int64 a3) { __int64 result; // rax int i; // [rsp+1Ch] [rbp-54h] if ( a2 == 26214 ) { printk("Your flag is at %px! But I don't think you kn

linux kernel pwn学习之溢出，0ctf2018-zerofs任意读写到提权

seaaseesa的博客

02-28

1177

0ctf2018-zerofs 首先，我们用IDA分析一下驱动文件zerofs.ko，发现该驱动注册了一个文件系统，实现了一个自己的文件系统。题目改编自simplefs，https://github.com/psankar/simplefs，一个简易的文件系统，可以实现文件的存储。而本题，在上面的基础上做了精简修改。并且留有几个漏洞。一个文件系统的镜像，需要mount到目录上，才能使用。...

linux_kernal_pwn ciscn2017_babydriver

yongbaoii的博客

08-30

277

是kernal pwn 给了三个文件 boot.sh: 一个用于启动 kernel 的 shell 的脚本，多用 qemu，保护措施与 qemu 不同的启动参数有关 bzImage: 打包的内核代码，一般通过它抽取出vmlinx,寻找gadget也是在这里 rootfs.cpio: 文件系统映像，也就是内核采用的文件系统像用户态pwn一样，还不是先查保护。可以看得出来，只开了smep。这是个啥，我们先说一下内核态保护都有点啥内核保护从四个方面出发，分别是隔离、访问控制、异常检测、随机化。隔离又分为

CTF-PWN-babydriver (linux kernel pwn+UAF)

SuperGate的博客

02-26

2692

第一次接触linux kernal pwn，和传统的pwn题区别较大，需要比较多的前置知识，以及这种题的环境搭建、运行和调试相关的知识。文章目录Linux内核及内核模块Linux内核(Kernal)内核模块(LKM)iocltstruct credSLUB&SLAB内核态函数题目分析程序概述漏洞分析exp内核调试相关 Linux内核及内核模块 Linux内核(Kernal) 这里只对内...

Kernel PWN入门——Kernel ROP

weixin_66578482的博客

02-27

1676

本笔记参考自Kernel ROP - CTF Wiki ，主要记录步骤以及学习过程中的一些思考，主要用来复习，例题是强网杯 2018 - core。Kernel PWN入门——Kernel ROP 环境搭建分析题目找gadget 看start.sh 看init 内核启动分析驱动文件 EXP getshell 题目给了 bzImage，core.cpio，start.sh 以及 vmlinux 四个文件，接下来简单介绍一下。

linux_kernal_pwn 2018 强网杯 - core

yongbaoii的博客

09-01

429

四个文件，vmlinux不用提取了。开了kaslr。我们说内核的保护分四种，隔离、访问控制、异常检测、随机化。随机化有两种，一个是kaslr，一个是fgkaslr。在开启了 KASLR 的内核中，内核的代码段基地址等地址会整体偏移。然后解压文件系统，看看init文件相关配置。 mkdir core cp core.cpio ./core cd core mv ./core.cpio core.cpio.gz #因为cpio是经过gzip压缩过的，必须更改名字，gunzip才认识 gu.

linux kernal pwn 2018强网杯 solid_core

yongbaoii的博客

04-17

330

整个应该从CSAW 2015 stringipc来看这道core看起来似乎跟上面那个stringipc是一模一样但是总会有不同区别就首先不让读写0xffffffff80000000往前的地址这直接导致我们不能覆写cred 上次的第一个思路就没了然后它又用的是最新的内核新的内核中专门对劫持vdso的攻击手段所以要介绍一个新的思路劫持prctl函数，它能够让我们从局部地址读写一直到任意代码执行 prctl有5个参数，prctl将参数原封不动传给了security_task_prctl函数去处理

《Linux kernal 核心中文手册》.rar_kernal_linux 手册_linux kernal_linux 手册

09-23

《Linux Kernel 核心中文手册》是一份专为中文用户设计的详尽指南，旨在帮助读者深入了解Linux操作系统的核心机制和工作原理。这份手册是Linux爱好者、系统管理员、开发者以及任何对Linux内核感兴趣的人的重要参考...

one_gadget 下载安装与使用

热门推荐

yongbaoii的博客

10-15

1万+

00 开始当有了ROP_gadget之后就会发现one_gadget也是必须的。 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的，专职。 01 安装 sudo apt -y install ruby sudo gem install one_gadget 02 使用举个栗子还是挺简单的。 ...

go pwn 2022 虎符 gogogo

yongbaoii的博客

04-09

7368

刚刚看了17年seccon的baby_stack 看着这个感觉好亲切。

解决LibcSearcher找不到合适libc（更新libc）

yongbaoii的博客

02-09

7295

1 尝试直接更新进入LibcSearcher/libc-database中运行./get文件即可进行更新。可能./get更新不了。 2 究极更新 cd LibcSearcher rm -rf libc-database git clone https://github.com/niklasb/libc-database.git 然后进入libc-database执行./get 可能会这样提醒。那么就看需要点啥更新点啥，一般是 ./get ubuntu #一般pwn题环境就Ubuntu，所以有第一个

linux 安装codeql环境（二）codeql database create通过报错分析其流程

yongbaoii的博客

04-10

6252

尝试过很多解决方案之后无果决定研究一下它的整个流程

linux 安装codeql环境（一）基本环境搭建

yongbaoii的博客

04-10

5963

cccccccodeql

PWN 更换目标程序libc

yongbaoii的博客

12-29

5493

网上这方面我感觉还是比较少的，在这里把我的方法拿出来防止大家踩坑。这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样，不是可能，基本上都不一样，那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样，从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下，或者

go runtime

yongbaoii的博客

04-01

4834

Runtime 包括go 调度 go内存分配 go GC

LibcSearcher 安装错误处理与使用

yongbaoii的博客

10-15

4772

00 开始因为libc库有多个版本，不同版本里面的数据偏移不一样，在答题时往往服务器的版本与你获得的版本不一致或者直接不给你libc库，这个时候就用到了libcsearcher。当然这种情况往往还可以参考dynelf ，这里就先不考虑了。 01 安装 git clone https://github.com/lieanu/LibcSearcher.git cd LibcSearcher python setup.py develop 02 错误处理报错处理方式在root权限下安装 03 使用

2022 虎符 pwn mva

yongbaoii的博客

03-21

4355

就是一道vm，逆向稍微花了点功夫。

树莓派 linux kernal编译