Small Utopia

学习 Page-Level 堆风水，学习a3大佬的文章 : -) 保护机制查看 run.sh 脚本内容，发现开启 smep, smap, kpti, kaslr 。 12345678910111213#!/bin/bashqemu-system-x86_64 \ -m 256M \ -cpu kvm64,+smep,+smap \ -smp cores=2,threads=2 \ -kernel bzImage \ -hda ./rootfs.img \ -nographic \ -monitor /dev/null \ -snapshot \ -append "console=ttyS0 root=/dev/sda rw rdinit=/sbin/init kaslr pti=on quiet oops=panic panic=1" \ -no-reboot \ -s 查看 config...

堆溢出例题，参考a3大佬的博客来学习 : -) 保护机制查看启动脚本，开启了KASLR,关闭了KPTI,可以利用ret2usr进行利用。 123456789101112#!/bin/bashexec qemu-system-x86_64 \ -cpu kvm64 \ -m 512 \ -nographic \ -kernel "bzImage" \ -append "console=ttyS0 panic=-1 pti=off kaslr quiet" \ -monitor /dev/null \ -initrd "./rootfs.cpio" \ -net user \ -net nic 源码分析提供了kqueue.c源码，定义了kqueue设备，ops只定义了ioctl操作。该操作为一个堆菜单，包括增删改查等操作。 用户传入的结构体定义如下： 1234567typedef struct{ uint32_t max_entries; //...

该工具是一个用于 rust 内存错误检查的工具，主要是静态分析的方法。跟着 workflow 来就行 : -) 12345678910apt install build-essentialapt-get install m4# fix for unable to find library -lLLVM-11-rust-1.51.0-nightlyrustup toolchain uninstall nightly-2020-12-29-x86_64-unknown-linux-gnurustup toolchain install nightly-2020-12-29 --forcerustup component add rustc-dev llvm-tools-previewcargo cleancargo build --verbose# need to specify lib's pathexport...

文章题目：Project Naptime: Evaluating Offensive Security Capabilities of Large Language Models该工作基于LLM的自动化漏洞挖掘agent实现。通过LLM替代传统的人工代码审计以及逆向分析。 作者发现，通过调整适于现代LLM能力的测试方法，可以显著提高漏洞发现的能力。为实现有效的LLMs漏洞发现评估，作者提出了以下指导原则： 作者在Naptime中也实现了提出的原则，并相较于Meta提出的CyberSecEval2，效果提升了20倍。其方法的得分在”Buffer Overflow”方面从0.05提升到1,在”Advanced Memory Corruption”方面从0.24提升到0.76. Principles1. Space for ReasoningLLM需要进行大量的推理过程。 2. Interactive Environment与程序环境的交互，可以让LLMs调整和纠正其出现的错误。 3. Specialised...

一个项目设备，记录下获取到固件的过程。 尝试1：串口提取（失败）首先通过USB2TTL拿到了U-Boot shell。命令里没有md等命令，尝试通过设置bootargs环境变量方式来。 尝试2：mtd 挂载（失败）还考虑使用 mtd 挂载的方式来读取，不过经过尝试，该方法仅适用于 ubi.img 没有错误的情况，否则会在 ubi attach 的时候报错。对应的 flash 芯片为 GD5F2GQ5UExxG，对应文档链接：https://download.gigadevice.com/Datasheet/DS-00890-GD5F2GQ5UExxG-Rev1.6.pdf可以看到比较重要的数据： 12345# 这四位是 read ID 返回的四个字节Manufacturer ID: 0xC8Device ID: 0x52Byte2 Byte value: noneByte3 Byte value: none 提取到的 bin 文件差不多为 256MB ，共有 2k 个块进行挂载不太行，首先是没有对应的 mtd simulated...

心血来潮有机会把Tenda无线放大器的flash提取出来了，然后在此记录下解包以及安全分析过程 固件提取flash提取就不多说了，用热风枪+编程器一把梭即可拿到flash提取的内存bin文件后，使用binwalk查看，发现了ubi文件，但是直接使用github已有的工具ubi_reader以及ubidump.py都无法成功提取。通过跟着ubidump.py一步步调试发现是两个问题： 该固件的ubi block_size过大，为0x20000。而ubidump.py中定义的太小，无法成功识别到下一个块的magic头 该固件每隔0x800字节都会有0x40字节的padding byte,需要删除掉。解决以上两个问题后，即可看到squashfs文件，将其dump下来。此处贴一下与ubidump.py的diff内容1234567891011121314151617181920212223242526272829303132333435base ❯ diff ubidump.py ubidump.py.bak 296c296< for lnum in...

考虑复现一下该工作 环境 Ubuntu 20.04 docker Docker环境使用清华源安装docker即可设置docker build时的代理： 1docker build -t greenhouse --network host . 修改Dockerfile内容： 1234567FROM m.daocloud.io/docker.io/library/ubuntu:20.04ENV ALL_PROXY="http://127.0.0.1:7890"...# 注释掉该行，因为仓库里没有该文件# COPY ubuntu.tar /ubuntu.tar... Docker Build进行编译，发现卡死在选择时区界面： Dockerfile开头添加以下内容： 12345RUN export DEBIAN_FRONTEND=noninteractive \ && apt-get update \ && apt-get install -y tzdata \ && ln -fs...

论文概述论文题目：Greenhouse: Single-Service Rehosting of Linux-Based Firmware Binaries in User-Space...

记录下V8的数据结构。 ArrayBuffer用于表示通用的原始二进制数据缓冲区。其为字节数组（bytearray）。不能直接操作ArrayBuffer内容，而是要通过类型化数组对象或DataView对象来操作，它们会将缓冲区中的数据表示为特定的格式，并通过这些格式来读写缓冲区内容。 创建ArrayBuffer123// 创建8字节缓冲区，并使用Int32Array视图引用const buffer = new ArrayBuffer(8);const view = new Int32Array(buffer); 操作ArrayBuffer要操作ArrayBuffer内容，需要使用视图对象。视图对象不存储任何数据，它只是对ArrayBuffer中字节的解释。例如Uint8Array将每个字节视为独立的数字。 123456let buffer = new ArrayBuffer(16);let view = new Uint32Array(buffer);view[0] = 123456;for(let num of view) { console.log(num);...

V8 V8-ignition指令 V8内存回收机制 Code-caching V8 Hole V8指针压缩 V8 数据结构