虚拟机逃逸Lua PwnPhp PwnMusl PwnKernel PwnLLVM PwnV8

Pwnvm分析保护全开： mmap申请了三个段： vm_initvm_init从文件读取初始的字节码，主要作用是打印一个字符串和输入新的字节码： vm_runvm_run首先通过fetch提取字节码，并且存入malloc开辟的空间s内，然后根据字节码的不同分别存在四种不同操作，不同操作的指令格式不同，因此fetch也有四种不同的提取方式： 12345678910111213141516171819

LLVM Pwn大多都是通过LLVM Opt优化代码时的漏洞来完成利用的。Opt优化代码的主要逻辑在出题人编译的.so文件内，所以主要是逆向这个.so文件找漏洞。 环境安装通过./opt --version查看LLVM版本 然后安装对应版本的LLVM和Clang，以opt-12为例： LLVM： 1sudo apt-get install llvm-12 Clang： 1sudo apt-g

PwnDirtyFetch分析源码给了驱动源码： 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192

跟着H0pe师傅学的Kernel-Pwn，记录一下防忘 绕过SEMP修改RC4开启SMEP保护实际是将CR4寄存器的第20比特位置为1，native_write_cr4(size_t new_cr4)函数可以设置cr4寄存器的值该方法在某次patch后不可用 ROP找Gadgets执行commit_creds(prepare_kernel_cred(0))然后swapgs，iretq返回用户态。R

前言 根据要求只贴前两个的WriteUp，后续只写思路 每个题的驱动都是跑在qemu虚拟机的，开启题目后需要vm connect连上qemu，此时lsmod就可以看见安装好的驱动 level1.01echo pwvrvqitxoodqbxa > /proc/pwncollege | head /proc/pwncollege level1.11echo ufyqfbjmxahuzqzi

babystack白给一个leak，可以泄露libc地址，存在一个字节的栈溢出，可将rbp最低为置零，输入后第二次leave后rsp有几率指向输入，直接ROP，多跑几次就可以出。 Exp1234567891011121314151617181920212223242526272829303132333435#!/usr/bin/env python3# Date: 2024-07-14 09:31

还原.proto文件pbtk1./extractors/from_binary.py [-h] input_file [output_dir] 逆向先找到字段字符串 然后通过交叉引用找到message字段的结构体，一般在.data.rel.ro段 结构体各字段具体如下： 123456789101112131415161718192021222324252627282930313233343536

AWD比赛指导手册手册版本号：V1.2.2-2023/10/21 这是一本能让你从零开始学习AWD并深入AWD的手册，我也会根据经验和需求逐步完善相关内容。如果你要参加AWD相关比赛，相信本项目能给你带来帮助~ 0# 什么是AWD0.1# AWD赛制介绍「 攻防模式 | AWD (Attack With Defense) 」 是 CTF比赛 「CTF Capture The F