ret2usr ret2usr的利用方法和kernel ROP类似，也算是一种ROP，区别在于调用commit_creds(prepare_kernel_cred(NULL))时，ROP中是通过多个gadget组合实现的。而在ret2usr中，利用了内核态可以访问用户态内存的特性，我们可以在用户态中写好commit_creds(prepare_ke…

前言 这是我第一次尝试学习kernel pwn，我自己不是很擅长系统性地整理知识点，所以就不完整地整一篇操作系统相关的文章了。 commit_creds(prepare_kernel_cred(0)) 提权 PoC 原理分析 Linux的内核中是用cred结构体记录每个线程的用户权限，也就是说想办法控制了这个结构体就能实现提权操作。 结构体定义如下…

在glibc-2.32之后，加入了针对单链表的保护（Fast-Bin和TCache），叫做Safe Linking

五一期间同时打两场比赛，虽说都是面向入门的比赛，但自己水平距离足够打比赛还有一段距离，两场比赛很难兼顾，这好像也搞得学长很不爽。。。不过不得不承认，hgame之后自己pwn的水平基本没有进步。。。。 really obnoxious problem 很基础的栈溢出 exp: from pwn import * from LibcSearcher i…

一直在忙期中考试，有一段时间没做题了，pwn题做着都没有感觉了。。。不过这次比赛的体验也一言难尽。。。

虽说是入门级的比赛，但还是卡在了签到题上，最后一题都没有做出来。不过这次还看了IoT的题目，虽然也是差一点点做出来。。。

第一次接触了golang pwn，很多东西都不会。。。

hgame 终于结束了，final依然让我学到了很多

对于我自己来说，这算是我第一次以组队的形式打CTF(TQLCTF虽然题目看了看，但都不大懂，基本等于没参加)