前言
由于昨天写的文章没有保存,今天又又又要重新来一遍 干!
之前就想对IOT设备进行一些复现,已经漏洞挖掘,虽说之前已经复现过Tenda和Dlink的一些历史漏洞,但毕竟也是好几年前的,现在想着从新一些的漏洞,通过复现了解一下大佬们的挖掘思路
所以本文主旨为复现,主要参考文章
固件
固件下载
小米有固件下载的官网
这里也是用winmt师傅给的链接直接下载就行
固件解压
关于固件解密这块,我还没有涉略过,但好在小米的固件没有加密,我们可以跟随着文章的思路进行解压
1binwalk -Me miwifi_ra70_firmware_cc424_1.0.168.bin
然后我们可以得到一...
Fxxk
鄙人前几天在长城杯中滑铁卢了,被裁判搞的纠结题目是不是是除了堆题以外还有一个qemu逃逸(裁判反复说在/home/flag);当时应该据理力争的,qemu都把flag挂载进去了,出题人也是典哇,明明可以一条龙挂载,结果赛后我百度-drive,需要我手动挂载出来,或者要dev直接读,是不会用qemu不是好pwn手咩,咱就是说这shell我如拿
另一个题也差不多,赛后越想越不对劲,strncmp原来不是强制匹配,丫的memcmp才是,被自己迷惑了,绕过登录我包出的,啊啊啊啊啊啊啊
不说了,下面是我赛后一天内自己做出来的,越做越想打自己脸,没有专项和少说二等奖了
not_so_aar...
AT FIRST
最近在ISCC上做到一道PWN题,其中高版本的largebin attack后的利用手法,很明显是house_of_apple,通过两次largebin attack变可以控制了_IO_list_all的值为堆地址,但是后面上模板老是有问题,这就是这篇文章编写的原因,捋清和加强对FSOP的理解
House Of Apple
基本上是高版本堆题或者在限定条件下很常用的利用手法,利用的条件是程序以libc_start_main函数或者以exit函数退出
通过exit函数会调用fcloseall函数实现FSOP攻击,控制攻击流程
1exit ---> fcloseall...
前言
在复习西湖论剑的题目的时候,遇到了lighttpd作为启动的server,主要想了解一下cgi与lighttpd的调用方式和cgi的调试
lighttpd与cgi的调用
主要参考文章
文章在第三部分的第四点中,已经说明了,我们无法单独的直接运行cgi,因为运行cgi依赖环境变量
这一点就是最重要的一点,简单的说lighttpd是一个启动cgi的程序,我们请求方式等其他基本的参数都是被设置成环境变量
所以我们如果想要调试cgi程序的话,我们肯定需要设置环境变量,也就是模拟lighttpd的作用
所以我们可以笼统抽象的理解,lighttpd的作用是把我们发送数据包的各种参数设置为环...
DDDD
近期准备西湖论剑的比赛,之前对IOT安全这方面有着一丢丢的研究,这篇来主要讲一下qemu模拟,以及我遇到的槽点,特别是针对于使用WSL的
为什么要用qemu模拟
笔者之前在复现路由器等漏洞的时候,都是用qemu的用户模拟,我们需要去patch一些东西才可以完成模拟,并且在qemu的用户模拟下,我们不能完完全全的模拟真实的环境
因此我们可能会用到工具类似于FirmAE等等,但是这类工具模拟出来的系统有时候并不能完全可以使用,我们可以进入系统内解决,但有时候系统都进不去还是蛮搞的,因此研究qemu的系统模拟就显得尤为重要了
网上常见的qemu模拟
基本上是直接用安装好系统的磁盘占大...
比赛的时候有事情,只能在赛后复现,用了一天的时间,感觉不玩可以拿个方向前几
PWN
shellcode master
开了沙盒
从名字上和沙盒来看,限制了我们读取flag文件内容的函数,于是问了问chatgpt,发现mmap也可以读取文件内容,所以我们就很简单了,
1void *mmap(void *start, size_t length, int prot, int flags, int fd, off_t offset);
这里直接设置start为0即可,直接通过mmap返回值就可以得到对应地址
EXP
12345678910111213141516171819202122232...
代码分析
main函数
main函数下就只有一个read函数,且是一个很明显的栈溢出漏洞,但是程序没有其他能够可以泄露出来的函数例如:printf、puts,在遇到这种情况,很有可能是要利用read函数的偏移去得到syscall的gadget,所以我们现在检查一下程序的保护机制
保护机制
很明显我们上面想的操作并不能实现,因为RELRO保护是Full RELRO,我们不能修改got表,所以并不能修改read的libc地址,所以下面我们最好是看看有没有可以利用的gadget
搜索gadget
这里发现了在0x000000000040043e的gadget :call qword pt...
