Ret2vDSO
Last updated
Last updated
学习并练习 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习并练习 GCP 黑客技术: HackTricks 培训 GCP 红队专家 (GRTE)
可能存在vDSO 区域中的小工具,用于从用户模式切换到内核模式。在这类挑战中,通常会提供一个内核镜像来转储 vDSO 区域。
根据https://7rocky.github.io/en/ctf/other/htb-cyber-apocalypse/maze-of-mist/中的示例,可以看到如何转储 vdso 部分并将其移动到主机。
找到的ROP小工具:
因此请注意,如果内核使用CONFIG_COMPAT_VDSO编译,则可能通过滥用vdso绕过ASLR,因为vdso地址不会被随机化:https://vigilance.fr/vulnerability/Linux-kernel-bypassing-ASLR-via-VDSO-11639
在kali 2023.2 arm64中转储并检查二进制文件的vdso部分后,我没有找到任何有趣的gadget(无法从堆栈中的值控制寄存器或控制x30以进行返回),除了一种调用SROP的方法。在页面示例中查看更多信息:
SROP - ARM64学习并练习AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) 学习并练习GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)