kernel 160 pwn

模块是程序加载时被动态装载的，模块在装载后其存在于内存中同样存在一个内存基址，当我们需要操作这个模块时，通常第一步就是要得到该模块的内存基址，模块分为用户模块和内核模块，这里的用户模块指的是应用层进程运行后加载的模块，内核模块指的是内核中特定模块地址，本篇文章将实现一个获取驱动`ntoskrnl.e... ......

1)在网关PROFIBUS DP侧是一个PROFIBUSDP从站，在Modbus串口侧有Modbus主站、Modbus从站、通用模式可选:接口有RS232RS485、RS422三种可选。 2)通信方式为半双工:波特率有300~115200bps可选;有/无校验位、奇/偶校验和标记/空格可选。 3)网 ......

Pwn2own 2022 Tesla 利用链 （ConnMan 堆越界写 RCE） Opening the doors and windows 0-click RCE on the Tesla Model3 HEXACON2022 - 0-click RCE on the Tesla Model 3 ......

Pwn2own 2023 Tesla 利用链摘要 https://www.youtube.com/watch?v=6KddjKKKEL4 ‍ ‍ ‍ 攻击链： 利用蓝牙协议栈自己实现的 BIP 子协议中的堆溢出，实现任意地址写，修改函数指针 ROP 修改蓝牙固件，由于 wifi 和 蓝牙固件位于同一 ......

还是先查一下程序保护情况 然后看一下代码逻辑 可以发现这里的代码还是挺多的，这里讲一下几个关键部分，首先是开头的addr = (__int64)mmap(0LL, 0x1000uLL, 7, 34, -1, 0LL);将addr这个地址开始的地方变成rwx权限，我们看一下这个地址是哪里 发现addr ......

本文是作者参加腾讯云社区选题互换赛解答的一道题目。题目为：如何使用Python 爬取网页（例如天气，每日问好等等） 出题者的动机是：每天早上要和妹子说早安，想要做个定时任务，每天早上能自动爬取天气，发送天气问好邮件，希望大神支招。 面对这个题目，我们可以将其拆解成若干个小任务： 使用 Python ......

这道题没给附件，直接就是nc 这个题目的意思是，我们随机输入一个数，然后发给我们一段base64加密后的密文，真正num就在里面，我们现在写个pwntools脚本提取一下这段base64密文，解密一下，看看是什么东西 exp： io=remote("node4.anna.nssctf.cn",280 ......

看一下程序的保护状态 开了canary，接着看一下代码逻辑 可以发现，这里有格式化字符串漏洞，同时gets函数有栈溢出漏洞，现在只需要确定我们输入到buf的内容在格式化字符的第几个参数就行 可以确定buf在格式化字符串的第8个参数，又因为buf的偏移是0x20,所以canary在11个参数，因为ca ......

检查一下保护状态 接着ida看代码逻辑 看func函数 第一次看真没发现有什么漏洞，题目给了backdoor，虽然strlen可以\x00绕过，但是strcpy函数也限制漏洞的实现。仔细看的话，会发现v3的类型是 unsigned __int8 v3; 说明v3是一个字节来表示的，可表示的范围只有0 ......

这是我打的第一次比赛，主打的pwn方向，纪念我的成长 需求：一定的linux系统的命令指令知识，基础的汇编代码，配置好了的虚拟机（打pwn建议是ubuntu)，pwntools的使用,python的使用,ROPgadget的使用 每次把文件拖入IDA前记得用Exeinfope进行检查一下，看是x86 ......

栈迁移的利用的过程不是很复杂，原理方面是比较麻烦：栈迁移原理介绍与应用 - Max1z - 博客园 (cnblogs.com) 这里简述一下栈迁移的利用过程： 我们先来看一下这道题的程序保护情况： 开了canary，接着看代码逻辑 这里的printf("Hello, %s\n", buf);可以发现 ......

一. 二. 三. ! 作 者 : Yaopengfei(姚鹏飞) 博客地址 : http://www.cnblogs.com/yaopengfei/ 声 明1 : 如有错误，欢迎讨论，请勿谩骂^_^。 声 明2 : 原创博客请在转载时保留原文链接或在文章开头加上本人博客地址，否则保留追究法律责任的权 ......

题目描述： 给出一个大小为 \(N\) 的可重集 \(A=\lbrace\ A_1,A_2,\dots,A_N\ \rbrace\)。 你可以执行若干次如下操作（也可以不执行）。 将两个 \(x\) 合并成一个 \(x+1\)。 输出最终可能的集合个数对 \(998244353\) 取模的结果。 数 ......

BM83 字符串变形 简单 通过率：22.01% 时间限制：1秒 空间限制：256M 描述 对于一个长度为 n 字符串，我们需要对它做一些变形。 首先这个字符串中包含着一些空格，就像"Hello World"一样，然后我们要做的是把这个字符串中由空格隔开的单词反序，同时反转每个字符的大小写。 比如" ......

BM1 反转链表 简单 通过率：38.76% 时间限制：1秒 空间限制：256M 知识点链表 描述 给定一个单链表的头结点pHead(该头节点是有值的，比如在下图，它的val是1)，长度为n，反转该链表后，返回新链表的表头。 数据范围： 0\leq n\leq10000≤n≤1000 要求：空间复杂 ......

Jupyter notebook中如何切换多个kernel安装所需包 前言： Jupyter notebook可以建立多个环境，防止环境“打架”。 以我的电脑为例，有四个环境，此外都使用了conda。 运行kernel的路径： 1.在Jupyter notebook中运行： import sys p ......

这道题是简单的libc，不过多分析了 exp： from pwn import * from LibcSearcher import * io=remote("node5.anna.nssctf.cn",28341) elf=ELF("./pwn") put_got=elf.got["puts"] ......

拿到程序先查一下保护状态 可以发现保护全开，再看一下程序的逻辑 可以发现，这里有一个fork函数： C语言中的fork()函数用于创建一个新的进程，该进程是原始进程（父进程）的一个副本。这个副本将从fork()函数之后的代码行开始执行，父进程和子进程在此处分别继续执行不同的代码。fork()函数的返 ......

系统下打开kernel串口重定向 centos 修改 /boot/efi/EFI/centos/grub.cfg /quiet找到第一个启动项，将quiet替换为 console=ttyS1,115200 重启在串口下查看过引导后是否有kernel信息打印 ......

查一下程序保护情况 发现是partial relro，说明got表是可以修改的，下一步看代码逻辑 看到这一段 puts(&seats[16 * v0]);存在数组越界的漏洞，因为上面的代码没有对v0进行负数的限制，v0可以是负数，我们来看一下seat的数据 可以发现seat上面的数据就是got表，s ......

OpenAtom OpenHarmony三方库（以下简称“三方库”或“包”），是经过验证可在OpenHarmony系统上可重复使用的软件组件，可帮助开发者快速开发OpenHarmony应用。三方库根据其开发语言分为2种，一种是使用JavaScript和TypeScript语言的三方库，通常以源码或O ......

转自：https://blog.csdn.net/ldinvicible/article/details/50911947 转载自MTKFAQ： KE概念 Android OS由3层组成，最底层是kernel，上面是native bin/lib，最上层是java层： 任何软件都有可能发生异常，比如野 ......

查看程序保护 发现开了pie： partial write(部分写入)就是一种利用PIE技术缺陷的bypass技术。由于内存的页载入机制，PIE的随机化只能影响到单个内存页。通常来说，一个内存页大小为0x1000，这就意味着不管地址怎么变，某条指令的后12位，3个十六进制数的地址是始终不变的。因此通 ......

查一下程序保护状态 保护全开，看一下代码逻辑 逻辑比较简单，就是输入一个用户名，然后进行随机数运算，这里可以使用ctypes模块，形成和服务器那边一模一样的随机数 from pwn import * import ctypes context(os='linux',arch='amd64',log_ ......

HJ66 配置文件恢复 中等 通过率：36.66% 时间限制：1秒 空间限制：32M 描述 有6条配置命令，它们执行的结果分别是： 命 令 执 行 reset reset what reset board board fault board add where to add board delete ......

先把内核源码仓库下载下来，然后切换到对应版本的分支 切换分支 查看关于官方提供的编译配置文件有那些 只保留自己需要的其他的都删除 在源码根目录下创建脚本添加如下内容 给脚本添加执行权限后开始编译脚本 编译后出错误，安装对应的库 重新编译 至此内核编译完成环境配置正确（参考上一篇：linux开发基于i ......

先查看程序的保护状态 可以看到，保护全开，拖进ida看主函数的逻辑 可以看到有个mmap函数： mmap() 函数是Unix和类Unix操作系统中的一个系统调用，用于在进程的地址空间中映射文件或者其它对象。这样做的好处是可以让文件直接映射到内存中，从而避免了频繁的文件 I/O 操作，提高了文件的读取 ......

HJ32 密码截取 中等 通过率：28.75% 时间限制：1秒 空间限制：32M 描述 Catcher是MCA国的情报员，他工作时发现敌国会用一些对称的密码进行通信，比如像这些ABBA，ABA，A，123321，但是他们有时会在开始或结束时加入一些无关的字符以防止别国破解。比如进行下列变化 ABBA ......

目录pwn环境搭建脚本 pwn环境搭建脚本 分享在ubuntu系统上一站式搭建pwn环境的脚本。 安装脚本如下，挂着梯子的情况下可以直接使用国外的官方源，建议安装的ubuntu系统版本至少为ubuntu:18.04，用可使用sudo命令的普通用户安装而不建议直接使用root用户安装。 如果无法访问国 ......

目录使用docker调试和部署pwn题0x0 前言0x1 调试环境0x2 出题模板0x3 使用技巧 使用docker调试和部署pwn题 使用docker快速部署不同架构、不同版本的调试环境。给出docker环境下pwn题部署模板。 0x0 前言 关于docker的基础概念不做过多的介绍。可以到Doc ......