USMA 是由 360 在 BlackHat 2022 Asia 中演示的 Linux 内核堆利用(提权)技术。此技术使用的对象 struct pgv 具有可变长且内容全部为 direct mapping 段指针的性质。通过 packet_mmap 函数可以将这些指针对应的 page 映射到用户态,因此越界写入此对象后,可以在用户态非法读写内核代码段。昨天在审我(做到一半的)实验结果的时候,偶然发现了这个新的可分配对象,它具有与 struct pgv 相似的性质,而在一些场景下,甚至能达到比 struct pgv 更好的效果;当然它也有一些缺陷...
坐牢两天。有点可惜,有点折磨。
很久没做内核了(最近比赛好像都没什么内核题,退出历史舞台实锤了)。这次这个内核题应该算是常规的,但是之前的板子没留下。然后看错了内核版本,导致思路臭了。还是发出来引以为戒吧。
第一次遇见限制用户态执行自由的内核题。ThinerDAS, will 和我一起拿到了这道题的一血。
这比赛太坐牢了,简单题太简单,这内核究极折磨 qwq
本来没打算打第五空间的,队友说有个 qemu 题,我就想上手试试,然后没做出来。后面花了几天复现。。。结果是个套壳题,踩坑踩到自闭。。。强网杯没复现的代价,早晚得还回来。。。
这次 tctf 险些白给,不过还是在最后几个小时做出了 Music 这个 0day 题 (lucky enough)。感觉出题人的意思是希望选手自己写 fuzz,但是我是人肉审的,审代码+堆风水要我老命。
强网杯的时候 will 和 SYH 在做这个题,比赛结束之后 will 做出来了。will 想拉个人帮他复现一下 wp,于是我被迫接受了这个任务。看了其他队伍的 exp 之后,只能感叹长亭的师傅太强了。
读了一下关于 DOP 的论文,然后发现这个 DOP 和我想的 DOP 不太一样。记录一下自己的理解,有问题还请大家不吝指正。
课程实验是一个标准的 64位 ret2dl_resolve。之前调过好多次dl_resolve,但过一段时间就会忘掉,这次记录下来备忘。