avatar
文章
47
标签
17
分类
25

首页
归档
标签
分类
友链
关于
S1nec-1o's B1og
首页
归档
标签
分类
友链
关于

S1nec-1o's B1og

谈非栈上格式化字符串
发表于2024-08-05|更新于2024-08-20|printfpwn|traditional pwn
%hhn(写入一字节) %hn(写入两字节) %n(32位写四字节) %ln / %lln(写入八字节) hitcontraining_playfmt 首先是设置输出为无缓冲模式,然后以参数的数量的地址传参 里面调用do_fmt函数,显然是一个非栈上的格式化字符串漏洞 没有保护,且有RWX段,gdb进去可以看到栈便是RWX段,但是没什么软用,因为是非栈上的格式化字符串 这题是通过在buf段构造shellcode的,因为是老题了,在很old的内核版本的数据段是可执行的,直到5点多才不可执行的 因此就看一个思路即可 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465import osimport sysimport timefrom pwn import *from ctypes import *context.os = 'linux'context.log_le ...
CVE-2023-26315
发表于2024-07-12|更新于2024-07-12|IOT安全漏洞复现|IOT安全
这个cve是我至今以来复现的最为复杂的漏洞了,winmt真神! 固件仿真首先固件的提取可以看zikh26的博客,非常详细 如果是直接下载固件包的话,要先运行sudo apt install libvirt-daemon-system libvirt-clients virt-manager下载virbr0网桥 但是我在下载的时候要求卸载掉vmtool,可能是软件关系的冲突,但是zikh26师傅说他没遇到过,因此我猜测是网卡分配的冲突或者是网络配置的冲突??我也不是很懂,如果有了解的师傅请跟我说说,不过卸载了也没关系,不过是手改elf文件罢了 1234567891011sudo qemu-system-aarch64 \ -M virt \ -cpu cortex-a53 \ -m 1G \ -initrd initrd.img-5.10.0-29-arm64 \ -kernel vmlinuz-5.10.0-29-arm64 \ -append "root=/dev/vda2 console=ttyAMA0" \ -drive if=virti ...
TP-Link SR20命令执行漏洞复现
发表于2024-07-09|更新于2024-07-09|IOT安全漏洞复现|IOT安全
这个漏洞的成因是因为他的TDDP本身协议有任意命令执行的漏洞 TDDP协议 基于UDP协议,端口为1040端口 以上为TDDP协议的报头,第一个字节为version,即版本。tddp协议有两个版本:version1和version2。其中version1不支持身份验证和对数据包载荷的加密,而version2要求身份验证和加密。也正是因为version1不要求身份的认证即可对设备进行调试,导致出现漏洞。 漏洞复现是arm32小端,已经qemu过很多固件了,就不再多赘述,也不会很复杂 启动脚本如下 123456789#!/bin/bashsudo qemu-system-arm \ -M vexpress-a9 \ -kernel vmlinuz-3.2.0-4-vexpress \ -initrd initrd.img-3.2.0-4-vexpress \ -drive if=sd,file=debian_wheezy_armhf_standard.qcow2 \ -append "root=/dev/mmcblk0p2 console=ttyAM ...
CVE-2018-7034复现
发表于2024-07-08|更新于2024-07-08|IOT安全漏洞复现|IOT安全
漏洞信息 通过使用 AUTHORIZED_GROUP=1 值,攻击者可以绕过认证,如通过请求 getcfg.php 进行信息泄露 这个cve的成因,主要是因为解析%xx和判断环境变量的不严谨导致的,以下分析 php文件的分析 可以看到如果Authorized_group>=0即代表用户授权,可以加载一个file,而这个file是"/htdocs/webinc/getcfg/".$GETCFG_SVC.".xml.php"的格式,那么我们看到在该目录下的以.xml.php为后缀的文件,DEVICE.ACCOUNT.xml.php 该文件可以泄露用户名和密码等信息 123456789101112foreach("/device/account/entry"){ if ($InDeX > $cnt) break; echo "\t\t\t<entry>\n"; echo "\t\t\t\t<uid>". get("x" ...
题录1.2
发表于2024-06-19|更新于2024-06-19|做题记录|traditional pwn
刷题记录3[GDOUCTF 2023]Random 显然ORW 1234567891011121314151617181920212223242526272829303132333435int __cdecl main(int argc, const char **argv, const char **envp){ unsigned int v3; // eax int v5; // [rsp+0h] [rbp-10h] BYREF int v6; // [rsp+4h] [rbp-Ch] int v7; // [rsp+8h] [rbp-8h] int i; // [rsp+Ch] [rbp-4h] setbuf(stdin, 0LL); setbuf(stdout, 0LL); setbuf(stderr, 0LL); v7 = 100; sandbox(); v3 = time(0LL); srand(v3); for ( i = 0; i < v7; ++i ) { v6 = rand() % 50; puts ...
路由器的文件系统与提取
发表于2024-06-11|更新于2024-12-22|IOT安全|IOT安全
大致分为以下3种 可以直接通过linux的binwalk提取的 由于linux对文件类型判断错误,对存储文件系统压缩包使用了错误的工具 固件被加密,导致需要通过一些手法来绕过或者解密固件,进行文件系统的提取的 以下会通过一些典型的例子进行讲解
CVE-2023-34644复现
发表于2024-05-30|更新于2024-05-30|IOT安全漏洞复现|IOT安全
CVE-2023-34644luci框架和lua文件/etc/config/luci通常是luci框架的配置文件,/usr/lib/lua/luci 通常是 LuCI 框架的核心文件所在的目录 Luci采用的是MVC的Web框架,即Model、View、Controller。 123/usr/lib/lua/luci/controller/ --控制层 /usr/lib/lua/luci/view/ --视图层/usr/lib/lua/luci/model/cbi/ --模型层 未授权的漏洞,那么首先就要找到无鉴权的API接口,定位到/usr/lib/lua/luci/controller/eweb/api.lua文件。 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657-- API集合module("luci.controller.eweb.api", package.seeall)functio ...
Fuzz初探
发表于2024-05-26|更新于2024-05-26|Fuzz
看网上的评价fuzz好像是挖漏洞的首选工具,就先浅浅学习一下,或许可以找找ctf的应用场景,先从AFL++开始 安装在安装之前AFL++要求要有llvm和clang,ldd,gcc等编译器 12345sudo apt install wgetwget https://apt.llvm.org/llvm.shchmod +x llvm.shsudo ./llvm.sh 13sudo apt install clang-13 lld-13 llvm-13 之后更新环境变量 123export PATH=/usr/lib/llvm-13/bin:$PATHecho 'export PATH=/usr/lib/llvm-13/bin:$PATH' >> ~/.bashrcsource ~/.bashrc 记住export只对本shell生效,bashrc只对之后起的shell生效 1gcc --version 假设输出显示您的GCC版本是9.xx.xx 1sudo apt install gcc-9-plugin-dev 之后便可以下载依赖然后下载AF ...
DIR-815漏洞复现
发表于2024-05-21|更新于2024-05-21|IOT安全漏洞复现|IOT安全
DIR-815仔细研读了winmt师傅和ZIKH26师傅的复现,现在自己来复现一遍 漏洞详情 静态分析该部分可以看ZIKH26师傅的blog,原本是想在师傅的分析上补充的,但是事情太多了,最后看的脑子疼,只能暂且搁置了 动态调试确认libc_base由于该gdb是链接在qemu模式下的,因此不能直接通过vmmap得到libc基址,而直接libc又因为权限不足无法使用,又因为这个路由设备的真机就是没有开地址随机化的,因此我们只需要**通过找一个libc函数地址减去偏移来得到libc_base**,而因为“延迟绑定的特性”,要找两个使用libc函数的地址 可以得到memset的地址在0x7f76ca20 可以得到libc_base=0x7f76ca20-0x034A20=0x7F738000 确认溢出大小首先,cyclic 2000 > payload,将生成的2000个字符存放到payload文件中,再用以下shell脚本: 1234567#!/bin/bash INPUT="winmt=pwner"LEN=$(echo -n & ...
题录1.1
发表于2024-05-14|更新于2024-05-14|做题记录|traditional pwn
刷题记录2[LitCTF 2023]ezlogin首先是符号表的恢复,将随便一个libc.so的i64文件,拖到bindiff里,然后import即可恢复大部分的函数 静态分析12345678910111213int __cdecl main(int argc, const char **argv, const char **envp){ const char **v3; // rdx __int64 v5; // [rsp+0h] [rbp-108h] BYREF setbuffer(off_6B97A8, 0LL); setbuffer(off_6B97A0, 0LL); setbuffer(off_6B9798, 0LL); while ( !vlun(&v5, 0LL, v3) ) ; puts("GoodTime."); return 0;} 1234567891011int __cdecl vlun(int v5, const char **argv, const char **envp){ ...
12345
avatar
s1nec-1o
万事胜意
文章
47
标签
17
分类
25
Follow Me
公告
正在学习iot pwn 欢迎广大师傅与我交流
最新文章
CVE-2024-35250复现2025-09-05
AFL源码阅读之afl-fuzz结束2025-08-16
AFL源码阅读之afl-fuzz(1)2025-08-11
AFL源码阅读之afl-gcc&afl-as2025-07-28
protobuf初探2025-05-13
分类
  • 2024ROIS冬令营3
  • 2024年终总结1
  • Go-pwn1
  • IOT安全11
    • 漏洞复现7
  • Pwn知识5
  • Web安全1
  • Windows内核漏洞1
标签
qemu逃逸 traditional pwn hexagon 年终总结 杂谈 Windows kernel 开发 Fuzz protobuf Qiling android go openwrt kernel IOT安全 Web windows pwn
归档
  • 九月 20251
  • 八月 20252
  • 七月 20251
  • 五月 20254
  • 四月 20252
  • 三月 20252
  • 二月 20253
  • 一月 20252
网站资讯
文章数目 :
47
本站访客数 :
本站总访问量 :
最后更新时间 :
©2024 - 2025 By s1nec-1o
介是s1nec-1o的博客