BUUCTF之Sandbox-bad

原创 已于 2024-10-17 18:37:30 修改 · 876 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全 #python #linux

于 2024-10-17 18:34:42 首次发布

BUUCTF之Sandbox-bad

首先针对sandbox,我们需要有一个大概的认知,他是在一个代码执行环境下,脱离种种过滤和限制,最终成功拿到shell权限的过程,通常我们采用orw的方式来获取flag.orw全称only read write,只使用read write函数将flag读取并且打印,shellcode分为三个步骤

  1. 使用open函数打开flag
  2. 使用read函数将flag读到buf
  3. 使用write函数将buf中的值输出

简化为三句伪代码如下,主要需要将这三句C语言变成汇编代码

fd = open(``"./flag"``, O_RDONLY);``read(fd, buf, 0x100)``write(1, buf, 0x100)

对于函数的限制,只要通过两种方式来实现,第一种是采用prctl函数调用,第二种是使用seccomp库函数。对于这类限制,我们可以使用seccomp-tools轻松发现他禁用的一些函数,由于他设置了这些黑名单,所以我们一下就可以发现这是一类sandbox的题型了。

32-bits

32-bits下的系统调用号

三个函数的系统调用编号

系统调用号 函数名 入口点
3 read sys_read
4 write sys_write
5 open sys_open
shellcode编写

32位系统调用汇编寄存器传递参数顺序依次是ebx, ecx, edx, esi;eax用于存放系统调用号

;32-bit shellcode
; open flag file
mov eax, 5 
mov ebx, filepath
mov ecx, 0
int 80h
; read flag
mov ebx, eax
mov eax, 3
mov ecx, buf
mov edx, 100h
int 80h  //相当于64位的syscall
; write flag
mov eax, 4
mov ebx, 1
mov ecx, buf
mov edx, 100h
int 80h
ret

64-bits

64-bits下的系统调用号
%rax System call %rdi %rsi %rdx %r10 %r8 %r9
0 sys_read unsigned int fd char *buf size_t count
1 sys_write unsigned int fd const char *bu
最低0.47元/天 解锁文章
CTF】paradigm-CTF babysandbox
HBohan的博客
08-31 5202
前言:找Ver????想复现下qwb final的区块链。Ver????给我发了这个比赛下面的一道题,发现这个比赛里面有很多高质量的智能合约题。从这里开始写一些不错的题目。 babysandbox 看到题目名字就知道了题目考点: 沙盒 给出合约 BabySandbox.sol pragma solidity 0.7.0; contract BabySandbox { function run(address code) external payable { assembly {
BUUCTF-PWN-pwnable_asm-Sandbox
Rt1Text的博客
07-21 432
检查允许的系统调用orw是允许的,用open()打开flag文件,通过read()和write()读取并输出。
渗透学习-CTF-web-ctfhub
qq_43696276的博客
09-29 2019
随着学习的不断深入,为了防止自己忘记之前所学的内容,于是我决定再不断的向下学习的同时做一些ctf的题来唤醒自己的记忆!!
zctf-2017-pwn-sandbox
weixin_30907935的博客
03-12 571
才接触二进制不久,第一次写博客,萌新一只,zctf被表哥们虐得体无完肤,只能坐等writeup,最近参考flappypig的writeup研究sandbox这道题目,用了三天,记录一下。 ps:基础太渣,可能有理解错误的地方,大佬莫笑,麻烦大佬在评论中指出。。。 接下来进入正题 这道题有两个二进制文件:sandbox和vul。用sandbox运行vul程序,其中vul程序存在栈溢出...
ctf php沙箱,Python 沙盒
weixin_42631411的博客
03-16 684
Python 沙盒¶所谓的 Python 沙盒,即以一定的方法模拟 Python 终端,实现用户对 Python 的使用。Python 沙箱逃逸的一些方法¶我们通常所说的 Python 沙箱逃逸就是绕过模拟的 Python 终端,最终实现命令执行。导入模块¶在 Python 的内建函数中,有一些函数可以帮助我们实现任意命令执行:os.system() os.popen()commands.gets...
精选资源
jvm-sandbox-repeater:基于JVM-Sandbox的Java服务器端记录和回放解决方案
05-13
是生态体系下的重要模块,它具备了JVM-Sandbox的所有特点,插件式设计便于快速适配各种中间件,封装请求录制/回放基础协议,也提供了通用可扩展的各种丰富API。 目标人群 - 面向测试开发工程师 线上有个用户请求一直...
基于jvm-sandbox-repeater重新开发的一款流量回放平台产品
03-17
Moonbox(月光宝盒)是JVM-Sandbox生态下的,基于jvm-sandbox-repeater重新开发的一款流量回放平台产品。在jvm-sandbox-repeater基础上提供了更加丰富功能,同时便于线上部署和使用,更多对比参考。 使用场景 你...
lucene-sandbox-7.2.1-API文档-中文版.zip
07-12
赠送jar包:lucene-sandbox-7.2.1.jar; 赠送原API文档:lucene-sandbox-7.2.1-javadoc.jar; 赠送源代码:lucene-sandbox-7.2.1-sources.jar; 赠送Maven依赖信息文件:lucene-sandbox-7.2.1.pom; 包含翻译后的API...
nepctf2023 部分web复现
weixin_63231007的博客
09-01 1571
我们需要写一个plugin进去,但是不能直接写进去,因为plugin目录没权限写但是由于当前我们有root权限的数据库用户,我们可以使用select into dumpfile的形式写入:当以 root 用户身份执行 SELECT INTO DUMPFILE 查询时,它将绕过文件权限检查,并允许将查询结果写入任何有效的文件路径中,即使该路径对 mysql 用户是无法写入的。请注意,使用 root 用户执行此操作需要格外小心,因为它会绕过一些安全限制。
一天一道ctf 第54天(GET open任意执行漏洞)
scrawman的博客
08-16 460
[HITCON 2017]SSRFme <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $s
PolarCTF春季个人挑战赛 2024 WEB
konpure的博客
03-27 1737
又是反序列化的题目,入口应该是Polar类中的__wakeup()魔术方法,反序列化过程中如果没有改变O的个数该方法会被优先调用,同时该方法中调用了一个不存在的方法hacker(),由此就会触发Night类中的__call类魔术方法,同时该方法中的echo语句又可实现将类当成字符串调用,以此触发__toString()魔术方法,由于该方法中将flag替换成了空,我们可以尝试使用双写绕过,具体POC如下。方法,形成变量覆盖,具体的poc如下。好好好,又是折腾半天没弄出来的,摆了,日后再补上。
CTF-PWN-沙箱逃脱-【seccomp和prtcl-1】
llovewuzhengzi的博客
01-08 1772
code为0x20是BDF_LD(0x00)|BDF_ABS(0X20)|BOF_W的结果,就是将一个字的值通过固定偏移量复制到累加器中,此时k对应为偏移量4,即seccomp_data偏移量为4的位置正好是arch的结构。此时code 15是BPF_JMP(0x05)|BPF_JEQ(0x10)的结果,此时是相等跳转指令,相等则跳转到下一条指令,不相等则跳转到下条指令+0x19的位置,将累加器与k的值做对比,此时累加器的值是之前取的arch。,但每个头文件的这个“标识”都应该是唯一的。
【Web】记录Polar靶场<简单>难度题一遍过(全)
uuzeray的博客
04-01 6001
明天XYCTF开始,今天干啥也不是,过过签到八股吧。
[ctf.show pwn] 新手杯,七夕杯
weixin_52640415的博客
01-05 722
ctf.show pwn 新手杯 七夕杯
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 2086
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
pwn学习笔记(8)--初识Pwn沙箱
qq_66013948的博客
08-06 1822
​ 沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。​ 安全计算模式seccomp(Secure Computing Mode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和黑名单。seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。​ 在ctf中主要通过两种方
CTF-PWN-沙箱逃脱-【seccomp和prtcl-2】
llovewuzhengzi的博客
01-08 2068
ret的gadget的地址。直到通过该得到的栈地址-231*8可得到数组的起始地址,然后输入open的第一个参数在此位置即./flag,注意此时由于函数此时是整数输入,输入的字节会逆序排放到内存中,而调用open时是字符串参数,会从低地址到高地址一个一个转换,所以此时我们需要逆序输入./flag的字节即按galf/.字节输入。接下来就构造ROP链即可,首先是open(数组的初始地址,0,2) rax=2,此时构造的rdx不会对函数有影响,只是使得第二个参数和rax的值一样得以成功调用系统调用。
BUUCTF [极客大挑战 2019]Not Bad
最新发布
2401_85052854的博客
03-29 536
我们直接open根目录下的flag,然后把flag的内容读入到mmap中,再用write打印处mmap的值,这里解释一下为什么fd为3,因为我们是打开文件进行读入,0,1,2分别是标准输出,标准输入,标准错误,所以3之后才是打开文件的顺序,所以我们写上3.以下是完整的exp。在main看到这两个比较有用的函数,第一个函数一眼看过去就发现是有沙箱保护的,第二个函数就是正常的栈溢出函数,我们先看看程序开了什么保护。也是第一次做到沙箱的题,也熟练了一点orw的攻击方式。拿到题目放入ida,看看有什么函数。
Sandbox-Topology 0.3.0 Grasshopper 参数化拓扑工具
Sandbox-Topology0.3.0 是一个基于 ...总之,Sandbox-Topology0.3.0 代表了一种将工程仿真深度融入创意设计流程的趋势,推动了“形式追随性能”这一设计哲学的实践落地,是数字建造时代不可或缺的技术工具之一。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值