终端对抗一直是红队研究的重点内容，本文主要通过前面已有的研究来解开Windows Defender的ASR规则的神秘面纱，由于国内可供参考资料很有限，多以国外会议和议题参考为主

Extended Berkeley Packet Filter（eBPF）是一种内核技术（从 Linux 4.x 开始），它允许程序在无需更改内核源代码，或添加额外模块的情况下运行。你可以将其视为 Linux 内核中的轻量级沙箱虚拟机（VM），程序员可以在其中运行 BPF 字节码，从而利用特定的内核资源，近几年eBPF的发展越来越火热，对应的，他的安全问题也是一项不可忽视的关注点

书接上回《CVE-2022-34918 netfilter 分析笔记》。

在上一篇文章中，我将360在blackhat asia 2022上提出的USMA利用方式实践于 CVE-2022-34918的利用过程中，取得了不错的利用效果，即绕过了内核诸多的防御措施。

但唯一的缺点是，上次的利用脚本需要攻击者预先知道内核中的目标函数偏移，而这往往是实际利用中最难获得的。这也正是DirtyCow，DirtyPipe这些逻辑类漏洞相比于内存损坏类漏洞最大的优势。

这篇文章我们再以CVE-2022-34918为模板，尝试让USMA在利用过程中不再依赖内核中的地址偏移，从而内存损坏型漏洞的exp能够和逻辑类漏洞一样具有普适性。

今年年初的时候，我挖掘到了一枚 Gogs 中因为未对用户可控的目录路径进行检测，从而导致后续路径拼接可以导致目录穿越的漏洞（CVE-2022-0415）。
攻击者能上传覆盖环境中的任意文件，在覆盖任意文件后，我使用的是之前 CVE-2019-11229 中提到的方法，覆盖一个 Git 仓库中 .git/config 文件，设置 core.sshCommand 参数从而达到远程任意命令执行。

在Finding and exploiting CVE-2018-7445这篇文章中，作者使用Mutiny Fuzzer，将对SMB服务发送的初始化数据包进行dumb变异，发现崩溃进行调试后完成漏洞利用。刚好之前对RouterOS逆向分析过一段时间，本文就针对6.38.4的版本复现利用，并对一些文章中没有提到的点略作探究。

引言：本文介绍了iOS和macOS中使用的内存管理单元zone的基本知识。以及通过zone的一些特性，来攻击最新版iOS和macOS内核的技巧。

之前我们深入了解了glibc malloc的运行机制（文章链接请看文末▼），下面就让我们开始真正的堆溢出漏洞利用学习吧。说实话，写这类文章，我是比较怂的，因为我当前从事的工作跟漏洞挖掘完全无关，学习这部分知识也纯粹是个人爱好，于周末无聊时打发下时间，甚至我最初的目标也仅仅是能快速看懂、复现各种漏洞利用POC而已…鉴于此，后续的文章大致会由两种内容构成：1)各种相关文章的总结，再提炼；2)某些好文章的翻译及拓展。本文两者皆有，主要参考文献见这里。

在上一篇文章中，详细介绍了堆内存管理中涉及到的基本概念以及相互关系，同时也着重介绍了堆中chunk分配和释放策略中使用到的隐式链表技术。通过前面的介绍，我们知道使用隐式链表来管理内存chunk总会涉及到内存的遍历，效率极低。对此glibc malloc引入了显示链表技术来提高堆内存分配和释放的效率。

5月16日阿里云盾攻防对抗团队从外部渠道获知CouchDB数据库存在未授权访问漏洞（在配置不正确的情况下）。经过测试，云盾团队率先发现利用该未授权访问漏洞不仅会造成数据的丢失和泄露，甚至可执行任意系统命令。云盾安全专家团队第一时间完成了漏洞上报、安全评级，并通知了所有可能受影响的用户。下面将对该漏洞的出处和技术细节做详细解释。

前段时间偶然学习了这篇文章：

https://sploitfun.wordpress.com/2015/02/10/understanding-glibc-malloc/comment-page-1/

在本文中，我们研究了如何利用安卓系统上最臭名昭著的漏洞之一Stagefright。在此之前，我们一直认为这个漏洞是很难被利用的。在研究中，我们大量参考了Google公布的文章-exploit-38226和研究报告Google Project Zero: Stagefrightened。

Java反序列化漏洞由来已久，在WebLogic和JBoss等著名服务器上都曝出存在此漏洞。FoxGlove Security安全团队的breenmachine给出了详细的分析，但没有给出更近一步的利用方式。前段时间rebeyond在不需要连接公网的情况下使用RMI的方式在WebLogic上实现了文本文件上传和命令执行，但没有实现二进制文件上传。我通过使用Socket的方式实现了二进制文件上传和命令执行，同时也实现了RMI方式的二进制文件。

ROP的全称为Return-oriented programming（返回导向编程），这是一种高级的内存攻击技术，可以用来绕过现代操作系统的各种通用防御（比如内存不可执行和代码签名等）。之前我们主要讨论了linux上的ROP攻击：

阅读完前面的文章（链接：http://drops.wooyun.org/tips/9948），我们来到这里。

我们将使用曾经使用过的代码：