发现自己对Win下的二进制漏洞利用简直是一无所知(虽然Linux下也是一无所知),因此本篇来粗浅地探究一下Windows下的栈溢出
环境
Windows XP Professional SP3 Ollydbg IDA
关于调用栈的基础知识这里不再赘述,和Linux还是有很多共同之处的。PE文件也不再说明,请自行了解。
Continue reading Windows PWN StackOverFlowWindows PWN StackOverFlow
Category: ls /PWN
第四届蓝帽杯预选WEB&&PWN题解
疫情原因初赛改为了线上赛,还是要吐槽一下,附件给的libc和远程不一样是什么操作,本地通远程不通
emmm电脑卡死十几次,还好PWN最后通了
此WriteUp包括此次比赛所有的WEB和PWN类(PWN2后面补
CVE-2017-7494 SAMBA RCE漏洞分析
一直想尝试一下实战分析,因为对Windows下的二进制不够了解,所以还是先从Linux开始,慢慢再去了解Windows下的利用
0x01 漏洞概述
Samba服务器软件存在远程执行代码漏洞。攻击者可以利用客户端将指定库文件上传到具有可写权限的共享目录,会导致服务器加载并执行指定的库文件从而导致代码执行。该漏洞还被称为Linux下的永恒之蓝)
Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。
影响范围: – 3.5.0- 4.6.4 – 3.5.0- 4.5.10 – 3.5.0- 4.4.14
0x02 漏洞分析
本文以samba-4.5.9代码为例进行简单分析
这是官方的patch,对”/”进行了匹配,那么之前应该没有匹配而出现问题。
Continue reading CVE-2017-7494 SAMBA RCE漏洞分析探究利用_IO_2_1_stout_泄露libc
一直没好好看这边只是单纯的会用,刚好有师傅问起就看一下吧
这是_IO_2_1_stdout结构体,我们需要修改flags、_IO_write_base、以及中间的三个指针。
Continue reading 探究利用_IO_2_1_stout_泄露libcPIE保护绕过的两种解决方案
绕过PIE保护一般都是取leak基址,这里shiroha师傅又分享了一个Binary,以此来探究PIE的两种非常规绕过方法。
Analyse
先分析这个ELF。
[*] '/home/railgun/Desktop/easypwn'
Arch: amd64-64-little
RELRO: Full RELRO
Stack: No canary found
NX: NX enabled
PIE: PIE enabled
关于One_gadget不满足约束玄学Getshell的问题
之前已经详细说过了one_gadget的约束条件以及如何利用realloc来调整栈来满足这些约束。
最近shiroha师傅分享的一个小问题,就是遇到one_gadget不满足约束的情况下仍然可以getshell,先贴出来参考。
按照参考来说的话,第二个one_gadget:
execve(“/bin/sh”, rsp+0x40, environ)
第一个参数为”/bin/sh”、第三个参数为environ环境变量数组是ok的,因此是要满足第二个参数的限制条件即可,也就是argv数组为空,但是根据参考来说,只要末尾为空即可。
Continue reading 关于One_gadget不满足约束玄学Getshell的问题Kernel PWN从入门到入土-Kernel ROP && Bypass Kaslr and Canary
上一篇KERNEL ROP分析了BYPASS SEMP,这篇来说一下Canary和Kaslr
本篇以强网杯 2018 core为例
QEMU Start
还是先分析一下给的东西然后起qemu,解压一下。
可以看到这次给了vmlinux,之前说过了vmlinux是静态编译的kernel文件,包含着符号表,我们可以拿到gadgets。并没有给出.ko,自己提取。
railgun@Kernel:~/qwb-core/core$ sudo mv ../core.cpio ./rootfs.cpio.gz railgun@Kernel:~/qwb-core/core$ gunzip ./rootfs.cpio.gz railgun@Kernel:~/qwb-core/core$ sudo cpio -idmv < rootfs.cpio · · root/flag core.ko tmp init vmlinux 104379 blocksContinue reading Kernel PWN从入门到入土-Kernel ROP && Bypass Kaslr and Canary
Kernel PWN从入门到入土-Kernel ROP && Bypass SEMP
本次仍然是以ciscn 2017 babydriver为例
qemu
还是先起一下qemu看看,仍然使用给出的start.sh、bzImage、rootfs.cpio。
可以看到是ok的。
Continue reading Kernel PWN从入门到入土-Kernel ROP && Bypass SEMPKernel PWN从入门到入土-Kernel UAF
这里以CISCN 2017 babydriver为例
qemu
可以看到没有给出.ko驱动文件,我们自己来提取一下。
railgun@Kernel:~/ciscn_babydriver/core$ mv rootfs.cpio rootfs.cpio.gz railgun@Kernel:~/ciscn_babydriver/core$ ls rootfs.cpio.gz railgun@Kernel:~/ciscn_babydriver/core$ gunzip ./rootfs.cpio.gz railgun@Kernel:~/ciscn_babydriver/core$ sudo cpio -idmv < rootfs.cpio . etc etc/init.d etc/passwd etc/group . . . tmp linuxrc home home/ctf 5556 blocks railgun@Kernel:~/ciscn_babydriver/core$ ls bin etc home init lib linuxrc proc rootfs.cpio sbin sys tmp usrContinue reading Kernel PWN从入门到入土-Kernel UAF
