博客园 - hac425

CVE-2023-48409 Mali GPU 整数溢出导致堆越界写 https://github.com/0x36/Pixel_GPU_Exploit 漏洞原语：假设分配的大小为 0x3004​， 会执行 copy_from_user(ptr-0x4000, from, 0x7004)，导致越界写

漏洞分析 通过分析补丁和漏洞描述可以知道漏洞是位于 u32_set_parms 函数里面，代码如下： static int u32_set_parms(struct net *net, struct tcf_proto *tp, unsigned long base, struct tc_u_kno

漏洞分析 漏洞成因是 nf_tables_newrule 在异常分支会释放 rule 和 rule 引用的匿名 set ，但是没有设置 set 的状态为 inactivate，导致批处理中后面的请求还能访问已经被释放的 set. 对 nftables 子系统不熟悉的同学可以先看看：https://w

这是对前文的补充，增加一种漏洞利用方案的分析，前文地址： https://www.cnblogs.com/hac425/p/17967844/cve202332233-vulnerability-analysis-and-utilization-qrjoh 前文的漏洞利用的策略是通过占位 set 让

Linux 内核 nftable 模块在处理匿名 set 时存在 UAF. ‍ 漏洞分析 漏洞成因是 nf_tables_deactivate_set​ 在释放匿名 set 时没有将 set 的标记设置为 inactive，导致它还能被此次 netlink 批处理中的其他任务访问，从而导致 UAF，

CVE-2023-31436 数组越界漏洞 drawio: CVE-2023-31436.drawio ‍ 漏洞分析 在 qfq_change_class 里面如果用户态没有提供 TCA_QFQ_LMAX，就会取网卡的 mtu 作为 lmax 且不做校验，loopback 网卡的 mtu 可以被设置

PS: 文章首发于补天社区 漏洞分析 tcp_set_ulp里面会分配和设置 icsk->icsk_ulp_data，其类型为 tls_context tcp_setsockopt do_tcp_setsockopt tcp_set_ulp --> __tcp_set_ulp tls_init --

Pwn2own 2022 Tesla 利用链 （ConnMan 堆越界写 RCE） Opening the doors and windows 0-click RCE on the Tesla Model3 HEXACON2022 - 0-click RCE on the Tesla Model 3

Pwn2own 2023 Tesla 利用链摘要 https://www.youtube.com/watch?v=6KddjKKKEL4 攻击链： 利用蓝牙协议栈自己实现的 BIP 子协议中的堆溢出，实现任意地址写，修改函数指针 ROP 修改蓝牙固件，由于 wifi 和 蓝牙固件位于同一芯片，控制

QEMU CVE-2021-3947 和 CVE-2021-3929 漏洞利用分析 ‍ CVE-2021-3947 信息泄露漏洞 漏洞分析 漏洞点是 nvme_changed_nslist static uint16_t nvme_changed_nslist(NvmeCtrl *n, uint8_

GitHub Link https://github.com/hac425xxx/heap-exploitation-in-real-world 概述 本文将以多个真实的堆相关的漏洞以及一些高质量的研究文章为例，介绍在真实漏洞场景下的堆利用技巧，主要是介绍各种现实漏洞场景的堆布局技巧。 vuln o

https://github.com/hac425xxx/slides/blob/main/D2T2%20-%20trapfuzzer-%20Coverage-guided%20Binary%20Fuzzing%20with%20Breakpoints%20-%20Sili%20Luo.pdf

整理文件时发现了这个，看是否有人需要... https://github.com/hac425xxx/cpf/ cpf 一个简单的协议Fuzz工具. 毕设答辩胶片&演示视频 https://github.com/hac425xxx/cpf/tree/main/docs cpf-gui cpf 的图形

文章首发于 https://forum.butian.net/share/169 起因 有一天打开 github 的 explore页面，发现推送了一个 sboot_stm32 的项目，之前也一直对USB协议栈的实现感兴趣，于是就分析了一下，分析完 sboot_stm32 后，然后花了 2 天在 g

文章首发于 https://forum.butian.net/share/134 前言 代码路径 https://gitee.com/jishenghua/JSH_ERP 软件版本 华夏ERP_v2.3.1 源码审计的流程都是一样，从外部输入点开始跟踪数据流，判断数据处理过程中是否存在一些常见的漏洞

文章首发于 https://forum.butian.net/share/124 概述 上一篇文件介绍了luaqemu的实现，也提到luaqemu并没有对中断相关api进行封装，本节主要基于stm32f205-soc的实现来介绍中断的仿真，并提供一个用于测试qemu设备模拟的裸板程序来测试中断的仿真

文章首发于 https://forum.butian.net/share/123 概述 在嵌入式安全领域常常需要分析各种不同形态的固件，如果需要动态执行某些代码或者对固件进行Fuzzing测试，则需要对固件代码进行仿真，常用的仿真工具一般为qemu和unicorn。unicorn适合模拟执行固件中的

首发于 https://xz.aliyun.com/t/9276 概述 Fortify是一款商业级的源码扫描工具，其工作原理和codeql类似，甚至一些规则编写的语法都很相似，其工作示意图如下： 首先Fortify对源码进行分析（需要编译），然后提取出相关信息保存到某个位置，然后加载规则进行扫描，扫

文章首发于 https://xz.aliyun.com/t/9277 概述 和 codeql，Fortify 相比 Joern不需要编译源码即可进行扫描，适用场景和环境搭建方面更加简单。 环境搭建 首先安装 jdk ，然后从github下载压缩包解压即可 https://github.com/Shi

首发于 https://xz.aliyun.com/t/9275 概述 codeql 是一个静态源码扫描工具，支持 c, python, java 等语言，用户可以使用 ql 语言编写自定义规则识别软件中的漏洞，也可以使用ql自带的规则进行扫描。 环境搭建 codeql的工作方式是首先使用codeq