背景

eBPF 作为 Linux 内核的一个功能, 目前已经被广泛运用在各个发行版中. 比如 systemd 就用了 eBPF 来限制服务的权限, 可以运行 bpftool prog list 来查看当前加载的 eBPF 程序, 大概率会出现一堆 systemd 加载的 eBPF 程序.

eBPF 程序运行在内核的虚拟机中, 很难不让人想到可以拿来作为 rootkit 用, 事实上目前已经有了很多开源 eBPF rootkit, 比如TripleCross和ebpfkit, 可以实现大部分 rootkit 的功能. 但是目前的 eBPF rootkit 都需要额外启动一个用户态程序来实现命令执行功能. 这样 eBPF 程序只用于隐藏自身和下发命令, 执行命令则完全依靠长期运行的用户态程序.

某日, 我的同学突然 @crane 问我有没有能检测 burp 的方法. 突然想起来之前就看见过别人的 burp 被拦截, 但是当时测试下来由于我的 burp 不会被拦截, 所以就没有太在意. 现在回想起来有点在意为什么会出现这种检测上的选择性, 于是刚好学习一下相关方法了解原因.

最近发现在打开 IDEA, VSCode 项目时候, 都增加了 “信任此项目的提示”. 结合这些 IDE 的特点, 确实可能存在在打开项目时产生 RCE 的风险, 特别是进行代码审计的安全人员, 会经常打开未知的项目. 正常人肯定不会贸然的执行未知的代码, 但是对于打开项目时这个弹出的框框, 可能并不会特别在意. 接下来分析一些通过这些配置来进行 RCE 的方法.

题目简介

在刚结束的 hxpCTF 中出现了一题跟 🍊 的 One line php challenge 一样短小精悍但非常有趣的题目. 长度只有五行,

一共 6 题 WEB, 我一个人拿了 4 个一血, 还有一题全场 0 解. 然而没有 pwn 爷爷依旧被吊打, 而且题目质量是真的差, 明年再打国赛我是傻逼.

今年改了赛制, 可以两人组队, 我觉得改的还是不错的, 终于不用现场表演学习逆向和 pwn 了, 成功和 Ary 师傅打到了第三 233

又是一年 0CTF, 这次一个人一队单刷一次, 做出了两题 WEB, 可惜只输出了一天, 第二天还要赶 ddl, 还是太蔡了 orz

以此祭奠找 gadgets 逝去的青春, orz

首先需要解决的就是上次留下的问题, 添加自定义的 taint track.
在自带的 tests 中就有示例, 可以参考 ql/python/ql/test/library-tests/taint/extensions/ExtensionsLib.qll

安装

入口: https://help.semmle.com/codeql/codeql-cli/procedures/get-started.html
下载地址: https://github.com/github/codeql-cli-binaries/releases
license: https://securitylab.github.com/tools/codeql/license