0rb1t's Blog

0x01.题目分析主要有两个函数safenote_init和safenote_ioctl。 safenote_init初始化了一个0xc0大小的kmem_cache。 safenote_ioctl存在add、delete、uaf_delete三个功能，分别对应0x1337、0x1338、0x1339。 add可以根据idx从init初始化的kmem_cache分配不超过0x100个堆块。 ...

0x01.题目分析ker_ioctl具有add、delete、edit三个功能点，分别对应0x20、0x30、0x50 add允许申请0x28（实际0x40）大小的堆块，并可写入数据。 delete机会只有2次，且不会清空指针，造成uaf漏洞。 edit机会只有一次，且只能修改前8字节。 可以看到开启了cg隔离。 正常保护都开启了。 0x02.利用手法setxattr辅助修改set...

0x00.前言研究这个CVE的契机是这次2024强网拟态杯的一道内核题，开启内核cg隔离的情况下的0x40堆uaf利用。 当时的想法是先堆喷pipe_buffer，然后利用poll_list释放pipe_buffer，再去打DirtyPipe，可惜在开启了kaslr的环境，很难预测到pipe_buffer的地址，最后只能放弃。 比赛结束后看到其他佬的wp，基本上都是利用user_key_pa...

0x00.前言前几天，我从SCTF的kno_pus_revenge了解到了Dirtypipe的打法，觉得很奇妙，于是对Dirtypipe的来源进行了一系列的分析（ [分析文章]: http://www.0rb1t.top/2024/10/04/CVE-2022-0847-DirtyPipe%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E5%8F%8A%E5%85%...

0x00.前言接触这个cve还是因为SCTF 2024中的一道kernel-pwn题：kno_puts_revenge，其中只给了一次的0x400堆的uaf机会，且仅泄露了堆地址。看了各路大佬的wp，可以说是利用手法多种多样，有直接打CVE-2022-26816的，也有打msg_msg的。最令我印象深刻的是利用DirtyPipe修改poweroff文件实现提权的，前面我只知道利用pipe_b...

题目名称：akernel附件：https://pan.baidu.com/s/1qJKgj6SZBnkcWuo3WrosBw?pwd=GAME 分析我们先对rootfs.cpio进行解包 123mkdir initramfscd initramfscpio -idm < ../rootfs.cpio 查看init文件 12345678910111213141516171819202...

环境搭建1.binwalk安装123git clone --recursive https://github.com/ReFirmLabs/binwalk.gitcd binwalksudo python3 setup.py install 2.FirmAE安装1234git clone --recursive https://github.com/pr0v3rbs/FirmAE.gitc...

​ ...

[TOC] 内核提权方式内核提权有三种方式。 1.调用prepare_kernel_cred&&commit_creds提权12struct cred *prepare_kernel_cred(struct task_struct *daemon);int commit_creds(struct cred *new); 其中prepare_kernel_cred函数的作用是...

准备阶段1.准备一台云服务器。 2.购买一个域名，并备案。 3.本地下载安装nodejs，然后安装hexo部分软件包。 云服务器配置创建网站目录 12mkdir /home/www/blogchmod 777 /home/blog 安装web服务 可以使用nginx或者apache。 我们这里直接使用宝塔来一键部署web服务。 先安装宝塔 12wget -O install.sh http...