SCTF-2024 漏洞利用技术深度解析<\/h1>

目录<\/h2>

Linux权限滥用漏洞利用<\/a><\/li>
内核漏洞利用技术<\/a><\/li>
虚拟机代码逆向分析<\/a><\/li>
栈溢出漏洞利用<\/a><\/li>

Linux权限滥用漏洞利用<\/h2>

漏洞背景<\/h3>
在题目环境中发现`\/bin\/<\/code>和\/sbin<\/code>目录的所有者为UID 1000（当前用户），且权限设置为777（完全控制）。这属于不合理的权限配置。<\/p>`

利用原理<\/h3>

\/sbin<\/code>目录下的程序通常以root权限执行<\/li>
poweroff<\/code>程序在系统关闭时会被调用<\/li>
在Docker环境中，通常以root权限启动init.sh<\/code>，最终会以root权限执行poweroff<\/code><\/li>
<\/ol>
利用步骤<\/h3>

检查目录权限：<\/li>
<\/ol>
ls -la \/bin \/sbin
<\/span><\/span><\/code><\/pre>
确认当前用户UID：<\/li>
<\/ol>
id
<\/span><\/span><\/code><\/pre>
劫持poweroff<\/code>程序：<\/li>
<\/ol>
echo '#!\/bin\/sh
<\/span><\/span><\/span>\/bin\/sh'<\/span> > \/sbin\/poweroff
<\/span><\/span>chmod +x \/sbin\/poweroff
<\/span><\/span><\/code><\/pre>
等待系统关闭时自动以root权限执行我们的payload<\/li>
<\/ol>
内核漏洞利用技术<\/h2>
利用链组成<\/h3>

信息泄露<\/strong>：通过notes leak泄露内核基地址<\/li>
竞争条件<\/strong>：利用userfaultfd机制提高竞争成功率<\/li>
结构体劫持<\/strong>：劫持tty_struct到rt_regs<\/li>
ROP执行<\/strong>：最终执行内核ROP链<\/li>
<\/ol>
关键代码片段<\/h3>
if<\/span> (uffd ==<\/span> -<\/span>1<\/span>)
<\/span><\/span>    err_exit("syscall for userfaultfd ERROR in register_userfaultfd func"<\/span>);
<\/span><\/span>if<\/span> (res ==<\/span> -<\/span>1<\/span>)
<\/span><\/span>    err_exit("pthread_create ERROR in register_userfaultfd func"<\/span>);
<\/span><\/span><\/code><\/pre>技术要点<\/h3>

userfaultfd<\/strong>：用户态页错误处理机制，可用于精确控制竞争时机<\/li>
tty_struct<\/strong>：内核中表示终端设备的结构体，常被用于利用<\/li>
rt_regs<\/strong>：保存寄存器状态的结构体，可用于控制执行流<\/li>
<\/ol>
虚拟机代码逆向分析<\/h2>
虚拟机工作原理<\/h3>
虚拟机通过(opcode-0x21)*2+offset计算跳转偏移，与rsp栈地址相加后执行<\/p>
操作码解析表<\/h3>



Opcode<\/th>
地址<\/th>
功能描述<\/th>
备注<\/th>
<\/tr>
<\/thead>


0x21<\/td>
0x1274<\/td>
call调用<\/td>
<\/td>
<\/tr>

0x22<\/td>
0x1299<\/td>
sub rsp,8; mov rsi,[rsp]<\/td>
<\/td>
<\/tr>

0x23<\/td>
0x12a7<\/td>
xor [rsp-0x10],[rsp-0x8]; sub rsp,8<\/td>
<\/td>
<\/tr>

0x24<\/td>
0x12c4<\/td>
xchg [rsp-8],[rsp-0x18]<\/td>
<\/td>
<\/tr>

0x25<\/td>
0x12e0<\/td>
xchg [rsp-0x8],[rsp-0x10]<\/td>
<\/td>
<\/tr>

0x26<\/td>
0x12fc<\/td>
push 4字节; (rsp+8)<\/td>
<\/td>
<\/tr>

0x27<\/td>
0x1319<\/td>
只保留rsp-8低一个字节<\/td>
<\/td>
<\/tr>

0x28<\/td>
0x132e<\/td>
rsp-8<\/td>
<\/td>
<\/tr>

0x29<\/td>
0x1332<\/td>
[rsp-8]>>8<\/td>
<\/td>
<\/tr>

0x2a<\/td>
0x1348<\/td>
mov [rsp-8],[rsp+8]; (rsp+8)<\/td>
<\/td>
<\/tr>

0x2b<\/td>
0x135c<\/td>
[rsp-8]<<8<\/td>
<\/td>
<\/tr>

0x2c<\/td>
0x1372<\/td>
if [rsp-8]==0,继续,否则跳跃0x138c(rsp-8), add rsi,2<\/td>
实现jnz<\/td>
<\/tr>

0x2d<\/td>
0x13a3<\/td>
mov [rsp-0x10],([rsp-8]>>[rsp-0x10]); (rsp-8)<\/td>
<\/td>
<\/tr>

0x2e<\/td>
0x13c0<\/td>
mov [rsp-0x10],([rsp-8]<<[rsp-0x10]); (rsp-8)<\/td>
<\/td>
<\/tr>

0x2f<\/td>
0x13dd<\/td>
mov [rsp-0x10],([rsp-8] and [rsp-0x10]); (rsp-8)<\/td>
<\/td>
<\/tr>

0x30<\/td>
0x13fa<\/td>
mov rax,[rsp-0x8]; mov rsi,[rsp-0x18]; mov rdx,[rsp-0x20]; mov rdi,[rsp-0x10], syscall还原进入时的rdi,rsi,(rsp-0x18); mov [rsp-0x8],rax<\/td>
<\/td>
<\/tr>

0x31<\/td>
0x1425<\/td>
push rsp<\/td>
<\/td>
<\/tr>

0x32<\/td>
0x1439<\/td>
push rip<\/td>
<\/td>
<\/tr>

0x33<\/td>
0x1452<\/td>
exit<\/td>
<\/td>
<\/tr>
<\/tbody>
<\/table>
栈溢出漏洞利用<\/h2>
漏洞成因<\/h3>
动态分配算法内存时向下取整错误，导致栈溢出<\/p>
利用方法<\/h3>

构造特定输入触发计算错误<\/li>
覆盖返回地址<\/li>
执行shellcode或ROP链<\/li>
<\/ol>
Go编译器漏洞利用<\/h2>
漏洞背景<\/h3>
基于GitHub开源项目Go简易编译器，ugo编译器编译hello.ugo文件后转为可执行文件<\/p>
漏洞细节<\/h3>

测试函数返回字符串到栈上变量时存在溢出<\/li>
静态编译且未开启PIE<\/li>
可直接计算偏移劫持栈执行system("\/bin\/sh")<\/li>
<\/ol>
利用步骤<\/h3>

分析二进制文件确定偏移<\/li>
<\/ol>
checksec --file=<\/span>target
<\/span><\/span>objdump -d target
<\/span><\/span><\/code><\/pre>
构造溢出payload覆盖返回地址<\/li>
跳转到system函数执行"\/bin\/sh"<\/li>
<\/ol>
总结<\/h2>
本文详细分析了SCTF-2024中涉及的多种漏洞利用技术，包括Linux权限滥用、内核漏洞利用、虚拟机逆向、栈溢出和Go编译器漏洞。每种技术都提供了关键原理和利用方法，可作为CTF比赛和漏洞研究的参考。<\/p>

Opcode<\/th>	地址<\/th>	功能描述<\/th>	备注<\/th> <\/tr> <\/thead>
0x21<\/td>	0x1274<\/td>	call调用<\/td>	<\/td> <\/tr>
0x22<\/td>	0x1299<\/td>	sub rsp,8; mov rsi,[rsp]<\/td>	<\/td> <\/tr>
0x23<\/td>	0x12a7<\/td>	xor [rsp-0x10],[rsp-0x8]; sub rsp,8<\/td>	<\/td> <\/tr>
0x24<\/td>	0x12c4<\/td>	xchg [rsp-8],[rsp-0x18]<\/td>	<\/td> <\/tr>
0x25<\/td>	0x12e0<\/td>	xchg [rsp-0x8],[rsp-0x10]<\/td>	<\/td> <\/tr>
0x26<\/td>	0x12fc<\/td>	push 4字节; (rsp+8)<\/td>	<\/td> <\/tr>
0x27<\/td>	0x1319<\/td>	只保留rsp-8低一个字节<\/td>	<\/td> <\/tr>
0x28<\/td>	0x132e<\/td>	rsp-8<\/td>	<\/td> <\/tr>
0x29<\/td>	0x1332<\/td>	[rsp-8]>>8<\/td>	<\/td> <\/tr>
0x2a<\/td>	0x1348<\/td>	mov [rsp-8],[rsp+8]; (rsp+8)<\/td>	<\/td> <\/tr>
0x2b<\/td>	0x135c<\/td>	[rsp-8]<<8<\/td>	<\/td> <\/tr>
0x2c<\/td>	0x1372<\/td>	if [rsp-8]==0,继续,否则跳跃0x138c(rsp-8), add rsi,2<\/td>	实现jnz<\/td> <\/tr>
0x2d<\/td>	0x13a3<\/td>	mov [rsp-0x10],([rsp-8]>>[rsp-0x10]); (rsp-8)<\/td>	<\/td> <\/tr>
0x2e<\/td>	0x13c0<\/td>	mov [rsp-0x10],([rsp-8]<<[rsp-0x10]); (rsp-8)<\/td>	<\/td> <\/tr>
0x2f<\/td>	0x13dd<\/td>	mov [rsp-0x10],([rsp-8] and [rsp-0x10]); (rsp-8)<\/td>	<\/td> <\/tr>
0x30<\/td>	0x13fa<\/td>	mov rax,[rsp-0x8]; mov rsi,[rsp-0x18]; mov rdx,[rsp-0x20]; mov rdi,[rsp-0x10], syscall还原进入时的rdi,rsi,(rsp-0x18); mov [rsp-0x8],rax<\/td>	<\/td> <\/tr>
0x31<\/td>	0x1425<\/td>	push rsp<\/td>	<\/td> <\/tr>
0x32<\/td>	0x1439<\/td>	push rip<\/td>	<\/td> <\/tr>
0x33<\/td>	0x1452<\/td>	exit<\/td>	<\/td> <\/tr> <\/tbody> <\/table> 栈溢出漏洞利用<\/h2> 漏洞成因<\/h3> 动态分配算法内存时向下取整错误，导致栈溢出<\/p> 利用方法<\/h3> 构造特定输入触发计算错误<\/li> 覆盖返回地址<\/li> 执行shellcode或ROP链<\/li> <\/ol> Go编译器漏洞利用<\/h2> 漏洞背景<\/h3> 基于GitHub开源项目Go简易编译器，ugo编译器编译hello.ugo文件后转为可执行文件<\/p> 漏洞细节<\/h3> 测试函数返回字符串到栈上变量时存在溢出<\/li> 静态编译且未开启PIE<\/li> 可直接计算偏移劫持栈执行system("\/bin\/sh")<\/li> <\/ol> 利用步骤<\/h3> 分析二进制文件确定偏移<\/li> <\/ol> `checksec --file=<\/span>target <\/span><\/span>objdump -d target <\/span><\/span><\/code><\/pre> 构造溢出payload覆盖返回地址<\/li> 跳转到system函数执行"\/bin\/sh"<\/li> <\/ol> 总结<\/h2> 本文详细分析了SCTF-2024中涉及的多种漏洞利用技术，包括Linux权限滥用、内核漏洞利用、虚拟机逆向、栈溢出和Go编译器漏洞。每种技术都提供了关键原理和利用方法，可作为CTF比赛和漏洞研究的参考。<\/p>`

SCTF-2024 漏洞利用技术深度解析<\/h1>

Linux权限滥用漏洞利用<\/h2>

漏洞背景<\/h3> 在题目环境中发现\/bin\/<\/code>和\/sbin<\/code>目录的所有者为UID 1000（当前用户），且权限设置为777（完全控制）。这属于不合理的权限配置。<\/p>

内核漏洞利用技术<\/h2>

虚拟机代码逆向分析<\/h2>

虚拟机工作原理<\/h3> 虚拟机通过(opcode-0x21)*2+offset计算跳转偏移，与rsp栈地址相加后执行<\/p>

栈溢出漏洞利用<\/h2>

漏洞成因<\/h3> 动态分配算法内存时向下取整错误，导致栈溢出<\/p>

Go编译器漏洞利用<\/h2>

漏洞背景<\/h3> 基于GitHub开源项目Go简易编译器，ugo编译器编译hello.ugo文件后转为可执行文件<\/p>

总结<\/h2> 本文详细分析了SCTF-2024中涉及的多种漏洞利用技术，包括Linux权限滥用、内核漏洞利用、虚拟机逆向、栈溢出和Go编译器漏洞。每种技术都提供了关键原理和利用方法，可作为CTF比赛和漏洞研究的参考。<\/p>

漏洞背景<\/h3>
在题目环境中发现`\/bin\/<\/code>和\/sbin<\/code>目录的所有者为UID 1000（当前用户），且权限设置为777（完全控制）。这属于不合理的权限配置。<\/p>`

虚拟机工作原理<\/h3>
虚拟机通过(opcode-0x21)*2+offset计算跳转偏移，与rsp栈地址相加后执行<\/p>

漏洞成因<\/h3>
动态分配算法内存时向下取整错误，导致栈溢出<\/p>

漏洞背景<\/h3>
基于GitHub开源项目Go简易编译器，ugo编译器编译hello.ugo文件后转为可执行文件<\/p>

总结<\/h2>
本文详细分析了SCTF-2024中涉及的多种漏洞利用技术，包括Linux权限滥用、内核漏洞利用、虚拟机逆向、栈溢出和Go编译器漏洞。每种技术都提供了关键原理和利用方法，可作为CTF比赛和漏洞研究的参考。<\/p>