祥云杯线下 baby_stack 中的 PAC
之前的祥云杯线下 AWDp 中碰到了一道 ARMv8.3 的题,题目自身有一个简单的栈溢出漏洞,所以修起来十分容易,到最后被修到每轮只有 72 分,但是直到结束也没有一支队伍攻击成功,我猜测大家应该都是被 PACIA 这个神奇的指令卡住了。暂时不考虑在一个断网的比赛环境里面考这样一个比较冷门的防护合不合适,但就题来说还是挺有意思的,我们队在比赛时虽然成功实现了 protect 函数的绕过,但...
之前的祥云杯线下 AWDp 中碰到了一道 ARMv8.3 的题,题目自身有一个简单的栈溢出漏洞,所以修起来十分容易,到最后被修到每轮只有 72 分,但是直到结束也没有一支队伍攻击成功,我猜测大家应该都是被 PACIA 这个神奇的指令卡住了。暂时不考虑在一个断网的比赛环境里面考这样一个比较冷门的防护合不合适,但就题来说还是挺有意思的,我们队在比赛时虽然成功实现了 protect 函数的绕过,但...
昨天突然发现 glibc 2.34 发布了,虽然偶数版本似乎一般不会发布在稳定发行版中,但是还是挺好奇的,花了几分钟看了看,发现主要的变动是取消了几个 hook。首先看原先的 hook 定义处<div style="text-algin:center"><img src="https://www.cjovi.icu/usr/uploads/2021/08...
学习这个问题的原因是想做 pwnable.tw 的 seccomp-tool 一题,此题的 elf 可以读取、模拟、加载用户输入的 bpf 代码,其中加载使用的是 prctl 系统调用,功能号为 PR_GET_SECCOMP。暂时还不知道怎么做,原来觉得应该是通过 bpf 来完成利用,总不会是 elf 某处写渣了的溢出。由于我对 bpf 和 seccomp 不甚了解,所以先花了点时间了解了一...
进行调试,必然是 gdb attach 到 qemu 上了,在启动指令中加入 -S -gdb tcp::1234 即可启动一个调试口,在一个新的终端中打开 gdb,使用 targe remote :1234 即可 attach 上去。光 attach 上去肯定不够,还需要能在恰当的地方打断点,以 CISCN 2017 babydrive 这题为例(题目可以在 ctf-challenge 上面...
一直对 kernel pwn 挺感兴趣的,再加上 libc 那里也没什么新东西可学了,简单题没什么做的意义,难题也不会做,所以准备开始学习 kernel pwn。不过可能最近也没办法太深入的学习,总之先把环境搭起来再说。首先说一下这里的环境到底指的是什么,我们希望能够有一个沙盒环境,可以做到启动速度快。kernel pwn 的过程中很容易造成 kernel panic,如果每次启动要几十秒,...