saulgoodman的博客

摘要 本文介绍了如何利用smep保护机制绕过ret2usr攻击，以CISCN2017 babydriver为例。通过分析ptmx设备及其相关的tty_struct结构体分配机制，揭示其通过kmalloc申请堆空间的特点。重点讲解了tty_operations结构体中的函数指针，为后续利用UAF漏洞修改tty_struct结构体、实现内核提权奠定基础。这些技术细节为绕过SMEP保护提供了新的攻击思路。

这篇文章介绍了针对qwb2018-core题目的Kernel ROP利用方法。主要内容包括：1) 题目环境配置与调试优化，通过修改start.sh和init文件禁用KASLR等保护；2) 分析core.ko模块的漏洞点，重点在core_copy_func函数存在栈溢出漏洞；3) 利用思路：先通过core_read泄露canary，再构造ROP链利用core_write和core_copy_func实现提权。文章详细说明了如何利用proc文件系统交互、如何绕过保护机制获取内核符号地址，并提供了初步的漏洞利用代

cred结构体劫持和file_operations结构体利用。cred结构体记录了进程权限信息，通过修改其uid/gid字段可提权，但需注意内核版本差异（4.5+版本cred_jar隔离机制）。file_operations结构体定义了设备文件操作接口，攻击者可通过劫持其函数指针（如ioctl）控制执行流

House of Apple2利用分析 以CISCN 2024 Ezheap题目为例，分析了House of Apple2攻击技术。通过构造伪造的_IO_FILE结构，控制_IO_wfile_jumps虚表调用链，最终达到控制程序执行流的目的。 关键利用步骤： 伪造IO_list_all结构，设置flag=0 控制wide_data结构及其虚表指针 设置wide_vtable+0x68处为setcontext+61地址 触发_IO_wfile_overflow调用链实现RIP劫持 在Ezheap题目中，利用

《House of cat》利用FSOP（File Stream Oriented Programming）技术绕过保护机制，通过UAF漏洞实现ORW（Open-Read-Write）攻击。分析发现程序存在堆溢出漏洞，可通过largebin attack在_IO_list_all写入堆地址，伪造_IO_FILE结构体控制执行流。

函数有两个参数，第一个是必须的，代表要解析注册成变量的字符串，比如“a=1”经过parse_str()函数后会注册$a并复制为1，第二个参数是一个数组，当第二个参数存在时，注册的变量会放到这个数组里，如果原来有相同的键值，则会覆盖掉它。这道题奇怪的是nginx日志在/var/log/nginx/access.log，一般apache日志在类似目录下(/var/log/httpd/access.log)识别：若干次加密，e不同，n相同，m相同。就可以在不分解n和求d的前提下，解出明文m。

清明假期玩了两天没怎么打，只做了一点解码：或者参考这篇博客解题过程：下载是个vbs文件，txt可以查看，参照博客记一次VBS逆向 - 漫宿骄盛 - 博客园。把开头改成wscript.echo，就能输出源代码。逆向解出flag：PWNgirlfriend分析这里存在格式化字符串漏洞这里存在栈溢出漏洞，能溢出8个字节，刚好能覆盖返回地址，这里使用栈迁移来打。注意使用mprotect来设置可执行段时要保证页对齐，也就是：data或者bss要以0x000结尾才行EXP:MISCXGCTF提示

简单总结一下吧，首先最外层是我们的io_file_plus结构体，在io_file_plus结构体之内，包括两个部分，一个是io_file，另一个是io_jump_t，io_file结构体里面有我们要找的chain字段，连接着stdin,stdout和stderr三个结构体，而io_jump_t里面存放一些函数指针，指向实现各种文件操作的函数用这张不太美观的图，可以勉强看懂。

有时候Func这个参数 也可以是我们自定义的参数这里的11也代指 SIGSEGVsigsegv_handler函数我们定义为:程序定义了一个信号量，当出现这个信号量（非法内存访问）的时候，会执行sigsegv_handler函数即当我们非法内存访问的时候，会将我们的flag通过标准错误打印出来（fflush（stderr））所以本题的解题方法是只要能溢出就能触发这个信号。

下面是一些shellcode代码和绕过技巧。一些只给payload或者exp一把梭首先给出两个常用shellcode仓库，可以检索需要的shellcode。

ctfshow 整数溢出

简单的格式化字符串。通过反汇编代码可以看出只要就能getshell通过调试可以看到偏移为7最终exp为。

关于Linux kernel的知识点我不想写了，自己可以去看。或者大佬的博客。

嘿嘿嘿！还是先摆在这里，有时间就更新。

先把这篇博客放在这里有时间就更。主要是太懒了，又是颓废的一天。

嘿嘿嘿，慢慢更新，预计7月底栈溢出全部更完，至于为什么是7月底更完栈溢出，因为我善。

和前面的题一样的套路很简单。

刷了一天快手了，起来做一道题锻炼一下脑子!

简单的64位ret2libc。

简单的ret2libc。

【代码】ctfshow pwn44。

【代码】[CTFHub-技能树]--House of Lore。

House of orange也是我第一次学，边学边做题，来来回回折腾了8小时，代码检查了一遍又一遍，没问题但总是打不成功，最后百度查了一下这个是概率成功，我哭了。白白浪费了这么久时间。

先利用UAF漏洞，把chunk申请到ptr_size处，修改size的大小，构造堆溢出，利用堆溢出，打unlink，把chunk申请到ptr处，最后篡改**.fini_array**的值，拿到shell。如下图，可以看出来chunk已经申请到size处了，之后伪造size，造成堆溢出。会在程序结束时调用，一般有2个指针，会依次调用，调用完后才会真正退出。这是一道静态编译的题，没有libc库，所以不能用常规的方法来打。之后再利用堆溢出，打unlink，篡改.fini_array。先定义好要用到的地址。

这题的ptr只能储存一个chunk的指针，且题目中已经有个0x110大小的chunk，进入了unsorted bins，先申请0x68字节大小的chunk，其会从unsorted bin中分割0x71大小的chunk给我们，利用这个特性可以泄露出libc地址。之后再泄露heap的地址，其实也可以不用泄露，可以爆破低2字节的16进制数，概率是1/16,但我不想爆破，所以直接泄露heap的地址。,一开始始终没有找到漏洞出现的地方，结果问里一下其他师傅，恍然大悟，我就是傻子。这里只是简单讲一下，一定要动手。

然后再申请一个和chunk_1一样大小的chunk_4,这时chunk_4也是指向chunk_1，因为之前unsorted bin中的大小为chunk_1+chunk_2，申请chunk_4时unsorted bin做分割吧chunk_1给chunk_4,这时有2个chunk指向同一个chunk。最后进入unsorted bins的地址是chunk_0的地址，注意这里chunk_1并没有被free，所以再申请回chunk_0,之后main_arena的地址就放在了chunk_1中。

add这里如果 index 0 ~ 9 都申请了的 chunk ，那么 i = 10 再退出 for 循环，但是还会接下去利用 ptr[10] = malloc(ptr[20]) 申请chunk，实现 index 0 的堆块溢出。最后第11个chunk的size会变成非常大，编辑chunk0，就可以实现溢出。也就是add 可以覆盖掉一个第一个 chunk 的 size。

这题one_gadget打不了，本地能打成功，远程试遍了都不行，估计要改栈帧，太懒了，不想弄了，师傅们可以自己试着改一改。

【代码】CTFHub技能树-----pwn off by null。

目前只有我一人解出来，估计是其他大佬不屑于做这样简单的题吧！长话短说，做堆类题一定要亲自动手,重要的事情说三遍。

【代码】BUUCTF刷题记录---ciscn_2019_es_1。

现在free chunk1它就会加入unsorted bin，然后再创建一个0x90大小的chunk，这是就会把chunk1给我们，然后再还原原来的chunk2。这样就伪造了两个chunk的大小，但在程序中储存的chunk1的size值不是0x90而是0x10,chunk2不是0x10而是0x90，即使chunk1现在是0xa1的大小，但只能编辑0x10的字节。edit函数中有个问题，就是编辑时输入的size减去添加时的size时的值为10时，可以多输入一个字节，纯在off-by-one漏洞。

【代码】0ctf_2017_babyheap。

【代码】CTFHub pwn [FastBin Attack]

【代码】off-by-one,CTFHub例题。