keywords kernel exploit / docker escape / poll_list / kROP on tty_struct / tty_file_private / setxattr 1. イントロ 2. devenv setup 3. static analysis misc module analysis (rev) seccomp 4. Vuln: NULL-byte overflow 5. pre-requisites sys_poll…

keywords kernel exploit / msg_msg / msg_seg / userfault_fd / cred walk / kmalloc-4k / shm_file_data / load_msg 1: TL;DR 2: イントロ 3: static lysithea module overview 4: vulnerability 5: FGKASLR 6: kernel .data leak rough plan to leak data…

keywords kernel exploit / msg_msg / msg_msgseg / modprobe_path 1: static lysithea reverse module abstraction 2: vulns single NULL-byte overflow 10 bytes overflow NIGHT_INFO 3: leak heap addr via `msg_msg` / `msg_msgseg` abstraction of heap…

1: イントロ 2: static lysithea patch 3: 考えたこと(FAIL) 4: 想定解 5: 非想定解 6: exploit 7: アウトロ 8: 参考 1: イントロ SECCON CTF 2021 がいつだったか開催されたみたいです。本エントリではkernel問題のkone_gadgetを復習していきます。開催期間…

keywords kernel exploit, tty_struct, kROP to overwrite modprobe_path, race w/ uffd 1: イントロ 2: static 3: module overview 4: vuln 5: leak kbase via tty_struct 6: get RIP via vtable in tty_struct 7: overwriting modprobe_path just by repea…

keywords kernel exploit / race w/o uffd / shellcode 1: イントロ 2: overview / analysis static module overview 3: vulns 4: race 5: LPE 6: exploit 7: アウトロ 8: 参考 1: イントロ 最近はどうも気分が沈みがちで、そんな楽しくない日々を送っており…

keywords kernel exploit / race / f_pos / seq_operations / zero-addr mapping / VDSO search 1: イントロ 2: static 3: 怪しいと思ったとこ 4: vuln: race of lseek/write (invalid f_pos use) 5: kbase leak 6: OOB write 7: 戦いの果て 8: 想定解 9: ex…

1: イントロ 2: 配布ファイル 3: let's debug 4: Vuln: race condition 5: uffd using structure on the edge of two-pages 6: AAW and modprobe_path overwrite 7: full exploit 8: Community Writeups 9: 余談 10: アウトロ 10: 参考 Also please refer to…

keywords BOF / FSA / seq_operations / kUAF 1: イントロ 2: 問題概要 3: SUSHI-DA1: logic bypass 4: SUSHI-DA2: user shell 5: SUSHI-DA3: root shell 6: full exploit 7: 感想 8: 参考 1: イントロ いつぞや開催されたTSG LIVE!6 CTF。120分という超短期…

keywords copy_user_generic_unrolled / pointer validation / modprobe_path 1: イントロ 2: static 3: Module PP_REGISTER: 0x20 PP_DESTROY: 0x40 PP_ASK: 0x10 4: 期間中に考えたこと(FAIL) 5: Vuln 6: 方針 7: exploit 8: アウトロ 9: symbols without …

keywords kernel exploit / race without uffd / SLOB / seq_operations / tty_struct / bypass SMAP via kROP on kheap 1: イントロ 2: static basic module 3: Vuln kUAF / double fetch invalid show size 4: leak kernbase race via userfaultfd (FAIL) …

keywords eBPF / verifier bug / kernel exploit / commit_creds(&init_cred) / without bpf_map.btf 1: イントロ 2: static basic patch 3: vuln ZDI-20-1440 patchの意味 最新のkernelでは というか、pointer leakが任意に可能じゃん... 4: leak kernbase …

keywords kROP / FGKASLR / kernel exploit / ksymtab_xxx / rp++ 1: イントロ 2: static basic Module 3: Vuln 4: leak canary 5: kROP __ksymtab_xxx find not-randomized pointer to leak kernbase find gadget to leak the data of __ksymtab_xxx 6: get…

keywords kernel exploit / FGKASLR / slab / race condition / modprobe_path / shm_file_data / kUAF / shmem_vm_ops 1: イントロ 2: static basic Module 3: FGKASLR 4: Vuln: race to kUAF 5: leak and bypass FGKASLR via shm_file_data なんでseq_oper…

keywords baby / kernel exploitation / n_tty_ops 1: static basic new syscall 2: get RIP 3: LPE 4: exploit 5: アウトロ 6: 参考 やっぱりリストを埋めるのそんなに楽しくないため、次からは面白そうな問題だけ解いていこうと思います。 1: static basic…

keywords super-easy / baby / heap / UAF / slub / kernel exploit 1: イントロ 2: static analysis basics cdev fops 3: vuln 4: kernbase leak 5: get RIP 6: exploit 7: アウトロ 8: symbols without KASLR 9: 参考 1: イントロ kernel強化月間なのでい…

keywords kernel exploit / heap spray / kernel ROP / slub / subprocess_info / seq_operations / msg_msg / NULL-byte overflow 1: イントロ 2: static analysis commands globals structures 3: vuln 4: まず確認 5: kernbase leak subprocess_info heap…

keywords kernel exploit / slub alocator / slubcache / setxattr / shellcode 1: イントロ 2: 問題概要 配布物 モジュール 構造体 3: Vulns refcntのインクリメント忘れ ダイクストラにおけるOOB 4: KASLR bypass/leak 最近のdmesgについて 5: UAFされてる…

keywords kernel exploit / eBPF / task traversal / TWCTF 1: イントロ 2: 問題概要 eBPFについて 配布物 patchについて 3: Vuln 4: OOB 原理 kernbase leak 何故これだけでAAR/Wにならないのか 5: AAR 6: task traversal 7: AAW 制約 8: UID overwrite 9: …

keywords kernel exploit / setxattr / userfaultfd / shm_file_data / double free 1: イントロ 2: 静的解析 2: Vulns 3: Leak kernbase via shm_file_data 4: Double free via failure of copy_from_user 4: Rule PC via seq_operations and setxattr 5: R…

keywords kernel exploit / unlocked_ioctl / race condition / userfaultfd / read insts to leak kernbase / walkthrough and overwrite PTE / prctl to leak current via com 0: 参考 1: イントロ 2: 準備 配布物 その他 3: 問題概要ととっかかりのBug 4:…

keywords kernel exploit / step-by-step kern exploit walk-through / buffer overflow / forge vtable / kernel ROP 0: 参考 1: イントロ 2: 準備 配布ファイル デバッグ環境の整備 kernelのビルド モジュールのビルド ファイルシステムの展開・圧縮 GDBで…

1: イントロ 2: 解き始めるまで 問題について デバッグ環境について 3: モジュールの挙動について 4: jmptableの脆弱性について switch分岐のアセンブラ おおよその展望 5:kmalloc()とスラブアロケータについて スラブアロケータ概略 kmalloc() kmem_cache_a…