喵喵喵喵

ucontextsetjmp/longjmp的最终演变 setjmp()/longjmp() sigsetjmp()/siglongjmp() getcontext()/makecontext()/setcontext()/swapcontext() 1. setjmp()/longjmp() 通过setjmp()设置一个保存点，可以通过longjmp()返回到那里 实现了函数间的got... 続きを読む…

Stage2 sandbox bypass Stage1已经实现了任意代码执行 接下来就是sandbox部分 目标是读取/home/tp/flag2 解析 - 整体构成 ... 続きを読む…

题目信息https://github.com/ctfs/write-ups-2015/blob/master/plaidctf-2015/pwnable/tp/problem_414d338fffb41107a3cf70bd0a7feffe.elf?raw=true 测试运行直接运行什么也不会显示，大概10秒后killed ... 続きを読む…

clone 能够生成线程的system call 适用于sandbox，出现频率非常高 clone(2)和clone(3)有区别，这里使用clone(3)进行说明 https://linuxjm.osdn.jp/html/LDP_man-pages/man2/clone.2.html ... 続きを読む…

seccomp sandbox的典型 内核层面过滤system call 只要过滤器正确注册，就无法从用户进程绕过 这个sandbox非常强，还会结合其他的过滤器作为辅助，以防止意外的解决方案 尽量使用复杂的过滤器 也存在一部分过滤器存在漏洞的题目 只过滤自己的进程，不会影响其他进程 使用seccomp(2) 或者 prctl(2)来注册过滤器 这是一种通过库函数调用的方式，稍微有点... 続きを読む…

sandbox问题分类大体上两类 1.binary的sandbox 绕过system call过滤机制 自定义过滤器，seccomp过滤器，混合过滤器等 基本上结合pwn问题 2.program的sandbox 绕过对函数，变量，语法，字符等的过滤机制 不能使用符号，import之类语句等 python/php很常见，其他的go/JavaScript/ruby之类 大部分是mi... 続きを読む…

PlaidCTF 2015 - pwnable620(420+200) - tp Use After Free + sandbox逃逸 主要三个点 heap thread arena sandbox seccomp thread clone ... 続きを読む…

题目信息 Smashes, try your best to smash!!! nc pwn.jarvisoj.com 9877 https://dn.jarvisoj.com/challengefiles/smashes.44838f6edd4408a53feb2e2bbfe5b229 开了NX和Canary： ... 続きを読む…

根据这个： https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 原理简单的说，Use After Free 就是其字面所表达的意思，当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况 内存块被释放后，其对应的指针被设置为 NULL ， 然后再次使用，自然程序会崩溃。 内存块被释放后... 続きを読む…

题目信息题目链接https://github.com/ctfs/write-ups-2014/tree/master/codegate-preliminary-2014/weirdsnus 准备环境12$ echo HEHE_I_DONT_KNOW_YOU > admin_passwd $ echo N0_MoR3_SMOKING_SNUS > flag 基本信息 ... 続きを読む…