r1ru

826 posts

r1ru

r1ru

@ri5255

low-level programming, CTF(pwn), and program verification

Beigetreten Ekim 2021
317 Folgt1.9K Follower
Angehefteter Tweet
r1ru
r1ru@ri5255·
I've released a blog series about modern Linux kernel exploitation, where you can learn some advanced techniques used in real-world kernel exploits. Enjoy! r1ru.github.io/categories/lin…
r1ru tweet media
English
4
267
989
45.8K
r1ru
r1ru@ri5255·
@mk3uswh0l3 No. Because the cpu_entry_area is not randomized on a vulnerable kernel.
English
0
0
0
63
ムワー
ムワー@mk3uswh0l3·
@ri5255 did you also use prefetch to bypass kaslr ?
English
1
0
0
101
r1ru
r1ru@ri5255·
I finally succeeded in reproducing CVE-2022-42703. This vulnerability was great for practicing cross-cache attack and ret2hbp. I will write a blog post about it later! projectzero.google/2022/12/exploi…
r1ru tweet media
English
5
22
243
10.7K
r1ru
r1ru@ri5255·
@natelnwza007 I plan to cover it in the heap part, but I haven't decided which techniques to cover yet, because there are so many “House of *” attacks🤣
English
0
0
1
330
xcn nate 🏮🏮
xcn nate 🏮🏮@natelnwza007·
@ri5255 How about FSOP. Would it be interesting to include this in the guide as well?
English
1
0
0
469
r1ru
r1ru@ri5255·
I have released the first half of "Binary Exploitation 101", a beginner-friendly guide to binary exploitation. You can learn from classic buffer overflow to ret2dlresolve through CTF-like challenges. I am working on the second half now. Stay tuned🔥 r1ru.github.io/categories/bin…
r1ru tweet mediar1ru tweet media
English
13
307
1.4K
61.9K
r1ru
r1ru@ri5255·
@HeyAm84664 Just a little knowledge of computer architecture. I tried to make it as self-contained as possible, but let me know if anything is hard to follow.
English
0
0
1
235
r1ru
r1ru@ri5255·
@0xPossumSec Yes. I plan to cover it in the Intel CET chapter, since JOP serves as a motivating example for IBT.
English
0
0
0
229
r1ru
r1ru@ri5255·
@3CUT1711 You could, but if your question is about the blog content, I’d prefer that you post it as a comment or open an issue.
English
1
0
1
935
m1kasha
m1kasha@3CUT1711·
@ri5255 hi thanks for the sharing, it's helpful, I do learn binary exploitation now, and I have a lot of confusion, can I dm you if I have a question about binary exploitation? thanks
English
1
0
1
1.3K
r1ru retweetet
ptr-yudai
ptr-yudai@ptrYudai·
Here's my writeup for kinc from BlackHat MEA 2025 Quals. It introduces Dirty Pageflags, a new exploitation technique inspired by Dirty Pagetable. Big thanks to Dronex for the great discussions! ptr-yudai.hatenablog.com/entry/2025/09/…
English
2
53
251
17.7K
r1ru
r1ru@ri5255·
@hhc0null はい、その通りでした! (fllesystemでASLRの挙動が変わるの知りませんでした) x.com/ri5255/status/…
r1ru@ri5255

@shojin_comp @iwashiira 丁寧に回答していただき、ありがとうございます! 結論から言うと、まさにその例外が今回のケースでした。tmpfsにファイルをコピーして実行すると、offsetは一定になりました🎉コンテナでoffsetが一定になったのは、コンテナがoverlayfsを使うからでした(ホストはext4)

日本語
1
0
1
172
自称中間管理職
自称中間管理職@hhc0null·
@ri5255 私の環境でも変わってました。コンテナ環境だと下位000で、ホストだと00000で2MiB単位でした(コンテナ内でもvolume使用時等も含む)。状況的にHuge Page周りの話かなーと予測しています
日本語
1
0
0
116
自称中間管理職
自称中間管理職@hhc0null·
週末はImaginaryCTF 2025にチームで出てPwnのaddition、babybof、cascadeを解きました。 「秋のセキュリティ祭り」をラジオ代わりにじっくり取り組むつもりが、気づいたら「ハイパバイザもくもく勉強会」でRIKEN-RCCS/MilvusVisorを読んでました。 なお、twowriteは方針も立たず普通に落としました。。
日本語
1
0
14
2.1K
r1ru
r1ru@ri5255·
@iwancof_weakptr はい、その通りでした! (filesystemでASLRの挙動が変わるの知らなかった) x.com/ri5255/status/…
r1ru@ri5255

@shojin_comp @iwashiira 丁寧に回答していただき、ありがとうございます! 結論から言うと、まさにその例外が今回のケースでした。tmpfsにファイルをコピーして実行すると、offsetは一定になりました🎉コンテナでoffsetが一定になったのは、コンテナがoverlayfsを使うからでした(ホストはext4)

日本語
0
0
1
315
🆗
🆗@iwancof_weakptr·
あ、btrfsとかext4にlibcを置くと下位アドレスが固定されちゃう問題かも...
r1ru@ri5255

@iwashiira localではlibcのbase addressの下位が00000になっていて、コンテナでは000になっているので、これが原因かなと思うのですが、この違いがどこから来るのか分からず... (5/n)

日本語
2
1
10
2.3K
r1ru
r1ru@ri5255·
@shojin_comp @iwashiira 丁寧に回答していただき、ありがとうございます! 結論から言うと、まさにその例外が今回のケースでした。tmpfsにファイルをコピーして実行すると、offsetは一定になりました🎉コンテナでoffsetが一定になったのは、コンテナがoverlayfsを使うからでした(ホストはext4)
日本語
3
0
2
876
小池悠生
小池悠生@shojin_comp·
@ri5255 @iwashiira ああ、一応なんかこういうのとかもあったりするので、例外は多少考えられますが、まあ十中八九ロードされてるバイナリ全部と、ld.so.cache合わせてないとかかなという気がします。あとはulimit -sとかも影響する。
keymoon​@kymn_

手元環境のASLRがブッ壊れてるのいい加減治そうと思ってるんだけど、libcが置かれているファイルシステムに依存する問題らしく思ったより根が深そう(Docker内だとASLRが回復する理由もわかった) zolutal.github.io/aslrnt/

日本語
1
2
4
1.8K
r1ru
r1ru@ri5255·
ASLR有効なのに$fs_baseとlibc baseのoffsetが一定なのなんでだ...
日本語
1
0
3
1.7K
r1ru
r1ru@ri5255·
@shojin_comp @iwashiira なるほど、ありがとうございます! 2つ質問があります: 1. パラメータを調整することで、ホスト上でコンテナと同じメモリレイアウトを再現することはできますか? 2. 「libcのアドレスが分かる⇒TLSのアドレスが分かる」は常に正しいのでしょうか?メモリレイアウトによっては正しいのでしょうか?
日本語
4
0
0
474
小池悠生
小池悠生@shojin_comp·
@iwashiira @ri5255 map layoutが決まる要因として色々パラメータはあるんですが、例えばld.so.cacheのサイズでずれたりします
日本語
1
0
1
397
r1ru
r1ru@ri5255·
@iwashiira そんな... 自分はWSL2 (Ubuntu 24.04)なんですが、libcの上に来なくて、毎回offset変わっちゃうんですよね。VMwareのUbuntu 24.04 VMで試しても同じ結果です。コンテナの中だけ上にくる🤪
日本語
1
0
0
360
イワシイラ
イワシイラ@iwashiira·
@ri5255 22.04だと実機でも隣接してるように見えており。分からず。
日本語
1
0
0
364
r1ru
r1ru@ri5255·
@hhc0null ありがとうございます。自分もoffsetが固定だと思ってなかったので、TLSを書き換える方針は最初の方に捨てていました。ちなみにそちらの環境でもoffsetは変わりました? 自分の環境のせいなのか分からず...
日本語
1
0
0
124
自称中間管理職
自称中間管理職@hhc0null·
同じく競技中に「なんで…?」となっていましたが、改めて手元で試してみたところ、少なくともLD_PRELOAD/LD_LIBRARY_PATHでlibcを指定すると下位が00000になることは確認できました(TLSを書き換える発想が出ないわけだ…) x.com/ri5255/status/…
r1ru@ri5255

@iwashiira localではlibcのbase addressの下位が00000になっていて、コンテナでは000になっているので、これが原因かなと思うのですが、この違いがどこから来るのか分からず... (5/n)

日本語
1
0
2
434
r1ru
r1ru@ri5255·
@iwashiira localではlibcのbase addressの下位が00000になっていて、コンテナでは000になっているので、これが原因かなと思うのですが、この違いがどこから来るのか分からず... (5/n)
日本語
1
0
0
3.2K
r1ru
r1ru@ri5255·
@iwashiira コンテナで動かした場合の例 (4/n): ``` 0x753bc9cee000 0x753bc9cf1000 rw-p 3000 0 [anon_753bc9cee] 0x753bc9cf1000 0x753bc9d19000 r--p 28000 0 /usr/lib/x86_64-linux-gnu/libc.so.6 ```
日本語
1
0
0
511

Entdecken

@mk3uswh0l3 @natelnwza007 @0xPossumSec @3CUT1711 @hhc0null @iwancof_weakptr @shojin_comp @iwashiira