2022 ciscn实践赛西南赛区半决赛只有两道pwn,一道简单vm栈溢出,还有一道1解kernel。因为题目没有泄露函数,所以我依赖msg_msg构造越界读&任意写的原语,同时借助pipe_buffer完成内核地址泄露。笔者对msg源码进行了浅要的剖析,有基础or对源码不感兴趣的读者可自行选择跳过。 一、msg_msg & msg_msgseg: 消息队列是Linux...
2022 ciscn实践赛西南赛区半决赛只有两道pwn,一道简单vm栈溢出,还有一道1解kernel。因为题目没有泄露函数,所以我依赖msg_msg构造越界读&任意写的原语,同时借助pipe_buffer完成内核地址泄露。 笔者对msg源码进行了浅要的剖析,有基础or对源码不感兴趣的读者可自行...
2022 ciscn实践赛西南赛区半决赛只有两道pwn,一道简单vm栈溢出,还有一道1解kernel。 因为题目没有泄露函数,所以我依赖msg_msg构造越界读&任意写的原语,同时借助pipe_buffer完成内核地址泄露。 笔者对msg源码进行了浅要的剖析,有基础 or 对源码不感兴趣 的读者可自行选择跳过。 msg_msg & msg_msgseg: 前言 消息...
这个仓库里收集了题目文件: Github(https://github.com/Crusaders-of-Rust/corCTF-2021-public-challenge-archive/tree/main/pwn) 1 Netfiler Hook简介 Linux Kernel Communication — Netfilter Hooks(https://infosecwriteups.com/linux-kernel-communicati...
Github(https://github.com/Crusaders-of-Rust/corCTF-2021-public-challenge-archive/tree/main/pwn) 一、Netfiler Hook简介 Linux Kernel Communication — Netfilter Hooks(https://infosecwriteups.com/linux-kernel-communication-part-1-netfilter-hooks-15c07a5a5c4e) ...
利用msg_msg实现任意地址读写 msgsnd和msgrcv的源码分析 内核通过msgsnd和msgrcv来进行IPC通信。内核消息分为两个部分,一个是消息头msg_msg(0x30),以及后面跟着的消息数据。整个内核消息的长度是从kmalloc-64到kmalloc-4096`。 /* one
#defineLIST_POISON1 ((void *) 0x100 + POISON_POINTER_DELTA) #defineLIST_POISON2 ((void *) 0x122 + POISON_POINTER_DELTA) staticinlinevoidlist_del(structlist_head *entry) { __list_del_entry(entry); entry->next = LIST_POISON1;
magicpwn 2016-01-06 16:14:11 611阅读 linuxblocked线程 在Linux操作系统中,线程是实现并发执行的一种手段,但有时候我们会遇到Linuxblocked线程的情况,这会影响到程序的正常运行。因此,在本文中我们将探讨一下Linuxblocked线程的原因和解决方法。 首先,让我们来了解一下什么是blocked线程。在Linux中,当一个线程被阻...
S2MzblRVZmVpU3JQd2VhTUszMEl5eXlwQVFKSXU4c3ZoekpzRjhGK3MyM1hkZVl3M0FEcjY4K1plTExJOFdlM0FyeDNNd2JKK0UwR2dwKytMQjVEd0oxMTlIVm5LelpvNlBOZzVseEwxUFMvREdreG9INmdkMDNLcnJiQmlFZ2RpQ25UQnN0S0F1S21OT1pWNm1LNklMY21ncDFBNHpKbFVjZmk3dlJrVEgzS21SNEk3TGRFUGc9PRI0TkRkZk1UWTRPRGcxTkRnMk1qSTJOVGt5...
frompwnimport*context.log_level='debug'context(arch='i386')#p = process('leave_msg',env = {"LD_PRELOAD":"../libc-2.23.so.i386"})p=remote('hackme.inndy.tw',7715)p.recvuntil('message:\n')#gdb.attach(p,"b *" + str(0x08048686))#hijack puts_gotshellcode=asm("add esp, 0x36;...