l0tus's blog

切开血管,落日殷红

浙江省赛2023预赛pwn部分题解

今年的省赛没有W4t3r了。 我和doddy、lierry以一教卖热狗这个古老而沉重的队名去打了。 应该是进决赛了。 pwn只会做一道,记录一下。 Broken Print 格式化字符串漏洞 过滤了p、x 泄露还可以用lld 栈上偏移为0x10位置的指针指向rbp,先在read的时候把这个值的末尾覆盖成记录返回地址的指针,也就是原本的+8,但不能直接做到+8,而是要通过hhn覆盖末一个字节......

论文阅读:"Playing for K(H)eaps:Understanding and Improving Linux Kernel Exploit Reliability"

理解和提高linux堆利用可靠性

今天分享一篇来自Usenix Security '22的文章:Playing for K(H)eaps: Understanding and Improving Linux Kernel Exploit Reliability Introduction Linux内核由很多复杂的组件交错而成,类似用户态堆,这些组件动态分配管理内存的区域叫内核堆。内核堆和用户态堆一样也存在不少漏洞。也有不少......

论文阅读:"An Empirical Study on the Effectiveness of Static C Code Analyzers for Vulnerability Detection"

C代码静态分析器效率实证性研究

今天分享一篇来自ISSTA 2022 的论文 “An Empirical Study on the Effectiveness of Static C Code Analyzers for Vulnerability Detection” Introduction 静态代码分析技术在现有的projects中已经有较广泛的使用率,77%的项目都会应用至少一种analyzer。相比于动态的模糊测......

FSOP

FSOP 基本介绍:https://ctf-wiki.org/pwn/linux/user-mode/io-file/fake-vtable-exploit/ vtable hijacking poc 下面是一段劫持vtable的poc,这里是覆盖printf会调用的xsputn,偏移为8。 1234567891011121314151617181920#include<stdio.h......

SROP

SROP 基本介绍:https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/advanced-rop/srop/ wiki写的很详细了。 在传统的ROP上基于Sigreturn系统调用,伪造回调栈的frame,就是SROP 32位sigframe context: 123456789101112131415161718192021......

论文阅读:"Oh-Pwn-VPN! Security Analysis of OpenVPN-based Android Apps"

正文 本文是一篇分析VPN安全的文章,主要分析了基于openvpn的Android vpn app的安全。 本文提出了三种常见的漏洞点 第一个是misuse of modified OpenVPN protocol,第二个是weak authentication at the client side,第三个是incorrect usage of native library 上述三种漏洞点引......

2023国赛华东南分区赛

年轻人的第一次线下AWDP赛

MaskNote 一道假的堆题,漏洞是sprintf的格式化字符串漏洞,过滤了%x,%n和%p,但是没用过滤%c,利用格式化字符串的%c可以实现栈溢出。 程序在初始化的时候mmap了一块很大的地址,可读可写可执行,塞shellcode就可以。 attack exp: 123456789101112131415161718192021222324252627282930313233343......

论文阅读:"V-Shuttle:Scalable and Semantics-Aware Hypervisor Virtual Device Fuzzing"

ABSTRACT hypervisor也被称作Virtual Machine Monitor(VMM),它可以在一台主机中隔离多个虚拟机。可以理解为多个虚拟机的管理核心,但是hypervisor存在利用方式可以做到逃逸和提权。但虚拟机中以DMA(direct memory access)交互的数据结构往往是非常复杂,(可以类比于堆管理等,会有很多结构体,互相之间有很多指针相互指向和连接起来)......

CISCN2023 部分PWN题wp

pwn 4/6,被白夜带飞了,协会的大家都太强了 这几道题目里能独立完整解出的大概也只有两道,另外的都是白夜在主要输出,我只能提供一点思路和跟着写一点脚本,还是需要多练 但是我把我们俩做出的题都放上来了,有的步骤我还不会,现在太晚了(00:40)明天白天有空复现一下 之后大概是分区赛(?,继续加油 烧烤摊儿 第一道pwn,比较简单,光速下班但是之后光速上题hhh 整数溢出,没检查负数 也有......

虚拟机逃逸初探(更新中)

开篇废话 从上学期就定下了学VMpwn这个方向,一是我在刚接触虚拟机的时候就认为虚拟机这个东西是一门艺术,是杰作,其次是被去年蒋公子挖VM ware的CVE拿GeekPwn冠军给帅到了,幻想着成为他那样的神仙。于是就开始摸一些简单的CTF中虚拟机逃逸的题目和qemu的原理,这里特别感谢公大的@korey0sh1师傅,从他的文章里我学到了许多。 Qemu QEMU是一个托管的虚拟机,它通过动态......