格式化字符串漏洞

利用格式化字符串改写main函数的栈中rbp，并将返回地址改为leave ret的地址，这样main函数返回时就可以栈迁移到可控区

0x01 前言

虚拟机逃逸，通过利用虚拟机程序本身存在的漏洞，我们可以控制虚拟机程序在宿主机上执行任意代码。虚拟机虚拟出各种设备给guest系统使用，这些虚拟设备只是虚拟机程序中的一个模块，如果这些设备存在漏洞，便可以利用起来进行逃逸。

0x02 PCI设备

存在Intent重定向漏洞

MainActivity.java

url校验不充分，我们注册了ha1vktoutiao.com，并绑定了自己的服务器，实现了校验的绕过

TestActivity中的WebView允许执行JS，而Flag存储在Cookie数据库里

PendingIntent使用了空的Intent，因此我们可以在其他APP中劫持PendingIntent，任意修改Intent的action，实现广播

与easydroid的思路类似，我们利用PendingIntent发送com.bytectf.SET_FLAG的广播，目的是在flag文件中注入一段XSS，然后利用软连接建立一个symlink.html，并加载，实现将整个flag文件反弹
MainActivity.java

• ISSUE 926651漏洞分析
  • 0x01 前置知识
    • 从源代码到字节码
      • 流程准备
      • GenerateUnoptimizedCodeForToplevel
      • FinalizeUnoptimizedCompilationJob
    • 字节码执行
    • 理解字节码/虚拟机架构
  • 0x02 漏洞分析利用
    • patch 分析
    • POC构造
    • KeyedStoreIC
    • 漏洞利用
  • 0x03 感想
  • 0x04 参考

0x01 前置知识

从源代码到字节码

• 0x01 前置知识
  • Terminate节点的生成
  • DeadCode
  • Unreachable节点的生成
• 0x02 漏洞分析
  • patch分析
  • 修复后的情况
  • POC分析
  • 其他问题
  • 漏洞利用
• 0x04 补充
• 0x05 小结
• 0x06 感想
• 0x07 参考

0x01 前置知识

Terminate节点的生成

文章首发于安全KER https://www.anquanke.com/post/id/245946

0x00 前言

编译器优化中有一项CSE（公共子表达式消除），如果JS引擎在执行时类型收集的不正确，将导致表达式被错误的消除引发类型混淆。

文章首发于安全KER https://www.anquanke.com/post/id/244472

0x00 前言

JavaScriptCore是Apple的WebKit浏览器内核中的JS引擎，最近学习JavaScriptCore引擎的漏洞利用，在此以CVE-2018-4233为例来学习JavaScriptCore引擎的漏洞利用一般思路

文章首发于安全KER https://www.anquanke.com/post/id/240748

0x00 前言

从红帽杯的simpleVM一题学习LLVM PASS，理解并运行我们的第一个LLVM PASS，然后逆向分析LLVM PASS的模块。