C7

just a test

qemu概述运行的每个qemu虚拟机都相应的是一个qemu进程，从本质上看，虚拟出的每个虚拟机对应 host 上的一个 qemu 进程，而虚拟机的执行线程（如CPU、I/O线程等）对应qemu进程的一个线程。 虚拟机所对应的内存结构如下： Guest' processes +--------------------+Virtual addr space | | +--------------------+ | | \__ Page Table \__ \ \ | | Guest kernel ...

写在前面因为ctf太卷了，现在比赛基本都会遇到沙盒，没办法，只能学一学，总结一下 沙箱一般我们使用如下指令来查看沙箱 seccomp-tools dump ./main system函数是借用execve函数实现了，一般都是禁用了execve函数，所以system也没法用，所以一般的解法就是ORW 思路低版本在Glibc2.29以前的 ORW 解题思路已经比较清晰，主要是劫持free_hook或者malloc_hook写入setcontext函数中的gadget，通过rdi索引，来设置相关寄存器，并执行提前布置好的 ORW ROP chains <setcontext+53>: mov rsp,QWORD PTR [rdi+0xa0]<setcontext+60>: mov rbx,QWORD PTR [rdi+0x80]<setcontext+67>: mov rbp,QWORD PTR [rdi+0x78]<setcontext+71>: mov r12,QWORD PTR [rdi+0x48]< ...

前置git clone https://github.com/shellphish/how2heap.gitcd how2heapmake largebin、unsorted bin为先进先出，tcache、fastbin，small bin为先进后出 0x01 first-fit源代码这个文件不是攻击demo，这个对glibc的一个机制(first-fit)的一个说明，并且这个机制常用在UAF中 #include <stdio.h>#include <stdlib.h>#include <string.h>int main(){ // 分配两个缓冲区，不一定是fastbin，可以比较大的 fprintf(stderr, "Allocating 2 buffers. They can be large, don't have to be fastbin.\n"); char* a = malloc(0x512); char* b = malloc(0x256); char* c; fprintf(st ...

准备首先到手几个文件 看下启动脚本的内容 #! /bin/shcd `dirname $0`stty intr ^]qemu-system-x86_64 \ -m 256M \ -nographic \ -kernel bzImage \ -append 'console=ttyS0 loglevel=3 oops=panic panic=1 kaslr' \ -monitor /dev/null \ -initrd initramfs.cpio \ -smp cores=4,threads=2 \ -gdb tcp::4869 -S \ -cpu qemu64,smep,smap 2>/dev/null 我们看到看起了smep,smap和kaslr，并且cores=4,threads=2表示多核，首先猜测可能是条件竞争的题目 rcS的内容如下，驱动设备为hackme.ko #!/bin/shecho "CiAgICAgICAgIyAgICMgICAgIyMjIyAgICAjIyMjIyAgIy ...

环境搭建直接去官网下载压缩包，解压后在目录中打开终端输入： makesudo make install 输入完能看到如下图所示表示安装成功 例子源码这里我们以一个例子来简单入门下 #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <string.h> #include <signal.h> int vuln(char *str){ int len = strlen(str); if(str[0] == 'A' && len == 66) { raise(SIGSEGV); //如果输入的字符串的首字符为A并且长度为66，则异常退出 } else if(str[0] == 'F' && len == 6) { raise(SIGSEGV); ...

预备知识0x01文件相关文件描述符相关(重点)open函数头文件： #include <sys/types.h> //define pid_t和size_t#include <sys/stat.h>#include <fcntl.h> 声明： int open(const char *pathname, int flags);int open(const char *pathname, int flags, mode_t mode); 参数： pathname：这个参数是指向想要打开的文件路径名，或者文件名。我们需要注意的是，这个路径名是绝对路径名，如果是文件名则是在当前路径下的 flags：这个参数表示打开文件所采用的操作，我们需要注意的是：必须指定以下三个常量中的一种，且只允许指定一个 O_RDONLY：只读模式 O_WRONLY：只写模式 O_RDWR：可读可写 以下常量是选用的，这些选项是用来和上面的必选项进行按位或起来作为参数的 ​ O_APPEND 表示追加，如果原来文件里面有内容，则这次写入会写在文件的最末尾。​ ...

其实网上关于脏牛的文章分析已经很多，本文算是对调试学习该漏洞过程的一个记录 前置知识写时拷贝 竞态条件 页式内存管理 缺页中断处理 基础知识mmap函数 mmap(void* start, size_t length, int prot,int flags,int fd, off_t offset) 这个函数其实比较常用，它有一个很重要的用处就算将磁盘上的文件映射到虚拟内存中，对于这个函数唯一要说的就是当flags的MAP_PRIVATE被置为1时，对mmap得到内存映射进行的写操作会使内核触发COW操作，写的是COW后的内存，不会同步到磁盘的文件中 madvice函数 madvice(caddr_t addr, size_t len, int advice) 这个函数的主要用处是告诉内核内存addr~addr+len在接下来的使用状况，以便内核进行一些进一步的内存管理操作。当advice为MADV_DONTNEED时，此系统调用相当于通知内核addr~addr+len的内存在接下来不再使用，内核将释放掉这一块内存以节省空间，相应的页表项也会被置空。 write函数 ssize_t w ...

Linux内核对物理内存描述Linux将物理内存按固定大小的页面（一般为4K）划分内存，在内核初始化的时候，会建立一个全局struct page结构数组mem_map。数组中的每个元素与物理内存页面一一对应，整个数组就代表着系统中的全部物理页面。Linux将NUMA中内存访问速度一致的部分称为一个节点（Node），用struct pglist_data数据结构表示，通常使用时用它的typedef定义pg_data_t。系统中的每个节点都通过pgdat_list链表pg_data_t -> node_next连接起来，该连接以NULL为结束标志。 每个节点又进一步分为许多块，称为区域（zones）。区域标识内存中的一块范围。区域用struct zone_struct数据结构表示，它的typedef定义为zone_t。 每个区域（zone）中有多个页面（Pages）组成。节点、区域、页面三者关系如下图： 节点（Node）节点（Node），在linux中用struct pglist_data数据结构表示，通常使用时它的typedef定义pg_data_t，数据结构定义在文件inclu ...

60c8fb4a25acc80be70b6eda0913804634b0eab35fd83bcfcaa9879cf933cfe4e53e34d0355b248f5e2840de95c4aa62b835fca78c4d1f49f9ddb54266dba18f44eb7f8c9a3e74b01f06488993eed8d37ba351aa43ab381838b5b98e15687365cfde9f5ed30e1f97c1821fb9981e924ccaceb9679f236721f80d662dfa592af68056b5c9a80c6be8e7d6985c5739de711384ed9a405a00a64620af226284d2097563fcdca7fed6444a3cb4e00fa285ec728b6a997ecc93e9dbefdcc6f93aa3f52a1c05be4f174e8100052ab0d7e094bd08b216bc07e34372ed3632b71ef4623f08c15df58d0fecaf5f9e0e08408eb292daf3a213ee688ab25 ...