PWN -特殊情况下 Sandbox 的 Bypass

于 2024-11-19 19:55:01 发布
阅读量607 收藏 6
点赞数 15
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_57836225/article/details/143894001
版权

目录

《PWN 学习之第 16 节:特殊情况下 Sandbox 的 Bypass》

一、特殊情况下 Sandbox 的 Bypass 概述

二、利用内核漏洞绕过 Sandbox

三、通过资源耗尽攻击绕过 Sandbox

四、利用共享内存问题绕过 Sandbox

在 PWN 的深入学习过程中,第 16 节聚焦于特殊情况下 Sandbox 的 Bypass,这是在理解了 Sandbox 基本概念、原理及其在安全防护中的作用(如第 15 节所述)之后,进一步探讨其可能被突破的特殊情形。

一、特殊情况下 Sandbox 的 Bypass 概述

Sandbox 虽然是一种强大的安全机制,但在某些特殊情况下,仍然可能被攻击者绕过其限制。这通常需要攻击者利用系统或 Sandbox 自身的漏洞、配置错误或者设计缺陷等。理解这些特殊情况对于全面评估系统安全以及进行有效的安全防御至关重要。

二、利用内核漏洞绕过 Sandbox

  1. 原理
    • 操作系统内核是整个系统的核心,负责管理系统资源、进程调度等重要任务。如果内核存在漏洞,攻击者可以通过精心构造的输入触发这些漏洞,从而获取更高权限或者突破 Sandbox 的限制。例如,在内核中处理系统调用的部分,如果对参数验证不严格,攻击者可能构造恶意的系统调用参数,使内核执行意外的操作。
    • 一些内核漏洞可能影响到内存管理机制。比如,存在漏洞的内核在处理内存分配和释放时,可能导致内存越界写入或读取。攻击者可以利用这种内存错误,修改 Sandbox 相关的数据结构,如权限标志位,从而提升自己在 Sandbox 中的权限,使其能够执行原本被禁止的操作。
  2. 示例(仅作原理性说明,实际情况复杂得多)
    • 假设存在一个内核漏洞,在处理特定文件系统操作的系统调用时,没有正确验证用户提供的文件名长度。攻击者可以构造一个超长的文件名,包含恶意的汇编指令序列(Shellcode)。当这个文件名被传递给有漏洞的系统调用时,可能导致内核将 Shellcode 写入到可执行内存区域,并且在后续的执行流程中意外执行该 Shellcode。这个 Shellcode 可以包含用于提升权限或者突破 Sandbox 限制的代码,例如修改进程的权限掩码,使其能够访问更多系统资源。

三、通过资源耗尽攻击绕过 Sandbox

  1. 原理
    • Sandbox 通常会对程序使用的资源进行限制,如文件描述符数量、进程数量、内存使用量等。攻击者可以尝试通过消耗这些资源来达到绕过 Sandbox 的目的。当 Sandbox 的资源管理机制在处理资源耗尽情况时存在漏洞或者设计缺陷时,攻击者可能利用这种情况使 Sandbox 进入异常状态。
    • 例如,在文件描述符耗尽方面,攻击者可以不断打开文件(即使在 Sandbox 限制下只能打开有限数量的文件),直到 Sandbox 无法再打开新的文件。在某些情况下,这可能导致 Sandbox 内部的文件处理逻辑出现错误,从而使攻击者能够执行一些未被授权的文件操作,如读取或写入受保护的文件。
  2. 示例(简单模拟资源耗尽情况)
    • 在 Linux 系统中,假设 Sandbox 限制一个进程最多只能打开 100 个文件描述符。攻击者可以编写一个简单的程序,不断地打开文件:

#include <stdio.h>
#include <fcntl.h>

int main() {
    int i;
    int fd[1000]; // 尝试打开更多文件,超过Sandbox限制
    for (i = 0; i < 1000; i++) {
        fd[i] = open("/tmp/testfile", O_RDONLY);
        if (fd[i] == -1) {
            perror("open");
            break;
        }
    }
    return 0;
}

当这个程序在 Sandbox 中运行时,如果 Sandbox 的文件描述符管理机制不够健壮,可能会在文件描述符耗尽时出现异常行为,如内存泄漏、错误的文件关闭操作或者权限检查失效等,攻击者可以进一步利用这些异常来突破 Sandbox 的限制。

四、利用共享内存问题绕过 Sandbox

  1. 原理
    • 如果 Sandbox 没有正确隔离共享内存区域,攻击者可以利用共享内存进行信息泄露或者代码注入。在多进程环境中,共享内存通常用于进程间通信。如果 Sandbox 在共享内存的权限设置或者隔离方面存在漏洞,攻击者可以通过一个进程向共享内存写入恶意数据,然后诱导另一个具有更高权限或者在 Sandbox 内执行关键操作的进程读取并执行这些恶意数据。
    • 例如,攻击者可以利用共享内存中的未初始化数据或者可写内存区域,植入恶意的函数指针或者代码片段。当合法进程访问共享内存中的这些数据并将其作为函数指针调用时,就会执行攻击者的恶意代码,从而可能突破 Sandbox 的限制。
  2. 示例(假设存在共享内存漏洞的情况)
    • 假设有两个进程 A 和 B,它们共享一块内存区域。进程 A 是一个普通的 Sandbox 内进程,进程 B 是一个具有更高权限或者能够执行关键操作(如系统调用)的进程。攻击者在进程 A 中找到共享内存中的一个可写位置,写入恶意的 Shellcode:

#include <stdio.h>
#include <sys/types.h>
#include <sys/ipc.h>
#include <sys/shm.h>

int main() {
    key_t key = ftok(".", 'a');
    int shmid = shmget(key, 1024, IPC_CREAT | 0666);
    void *shmaddr = shmat(shmid, NULL, 0);
    // 写入恶意的Shellcode(这里简单用一个无效指令作为示例,实际会是复杂的攻击代码)
    *(char *)shmaddr = 0xCC; 
    shmdt(shmaddr);
    return 0;
}

然后,攻击者通过某种方式诱导进程 B 访问共享内存中的这个位置并执行其中的数据(例如,通过修改进程 B 中的一个函数指针,使其指向共享内存中的恶意代码)。如果 Sandbox 没有正确保护共享内存,进程 B 就可能执行攻击者的恶意代码,从而导致 Sandbox 被绕过。

需要再次强调的是,研究 Sandbox 的 Bypass 技术应该仅用于合法的安全研究和测试目的,以帮助系统管理员和安全专家发现系统中的潜在安全风险并进行修复,而不应该被用于非法的攻击活动。

BUUCTF-PWN-pwnable_asm-Sandbox
Rt1Text的博客
07-21 378
检查允许的系统调用orw是允许的,用open()打开flag文件,通过read()和write()读取并输出。
PWN · ret2shellcode | sandbox-bypass | 格式化字符串】[2024CISCN · 华东北赛区]pwn1_
Mr_Fmnwon的博客
07-06 911
ret2shellcode,已经不是简单的放到栈上、ret这样一个简单的过程。套一层seccomp的沙箱,打ORW又遇到open受限等等,考虑的蛮多。过程中收获最多的可以说是汇编shellcode手动编写时的一些心得,还是跟着返璞归真师傅的wp做的时候这不会那不会,做完之后写博客,感觉很多都没必要写。。。菜就多练。
PWN-Sandbox 介绍
m0_57836225的博客
11-19 894
利用内核漏洞如果操作系统内核存在漏洞,攻击者可能利用这些漏洞突破 Sandbox 的限制。例如,在某些情况下,内核中的权限检查代码可能存在逻辑错误,攻击者可以通过精心构造的输入触发该漏洞,从而提升在 Sandbox 中的权限,使其能够访问更多系统资源或者执行被禁止的操作。资源耗尽攻击针对 Sandbox 对资源的限制,攻击者可能尝试进行资源耗尽攻击。
pwn——沙箱机制
djhtdjdywgjc的博客
11-20 2359
pwn沙箱
祥云杯2022 pwn - sandboxheap
z1r0的博客
11-02 513
上了sandbox,需要逆一下,在0x2710这里的功能就是允许mport和orw,所以在上面第一次exp的基础上还要再加上一个。下面的exp是笔者第一次直接打sandboxheap的,可以实现orw,然后第二个exp是打题目的,因为题目上了sandbox。这里笔者没有使用SigreturnFrame,直接看的setcontext + 53的汇编然后自己写了一下布局。其实就是一个2.27下的orw,直接拿板子套,直接参考的这位。在上一个heap基础上加了一个沙箱。的2.27下的orw。
pwn中沙盒保护之orw绕过
wangxunyu6的博客
03-09 1939
简单来说开启沙盒保护后execve被禁用,也就是说即使我们拿到shell也没有用。我们可以使用seccomp-tools dump指令进行查看。
i春秋2020新春公益赛WEB复现Writeup
A_dmin的博客
02-24 3473
Day1 简单的招聘系统 ezupload babyphp 盲注 Day2 blacklist Ezsqli easysqli_copy Day3 Flaskapp easy_thinking ezExpress node_game
【学习笔记】CTF PWN选手的养成(三)
prettyX的博客
12-04 1357
atum大佬视频的总结 第三章 课时2 堆漏洞的利用技巧 0X01 基础知识 1、操作系统中的内存布局(Linux) 内核空间&用户空间,堆、栈等;cat /proc/pid/maps 要了解ELF文件结构 2、什么是堆? 数据结构:父节点总大于/小于子节点的特殊的完全二叉树 操作系统:程序在运行时动态申请和释放的内存空间(malloc,realloc,free,new,d...
红队武器库-网络安全人员必备
anquanzushiye的博客
02-20 5898
包含内容:侦察武器化投递命令与控制横向移动建立立足点提权数据传输杂项内容很不错,建议转发朋友圈作为存档。侦察主动情报收集EyeWitnessis designed to take sc...
python沙箱逃逸总结
weixin_44576725的博客
04-14 4285
python沙箱逃逸总结 让用户提交 Python 代码并在服务器上执行,是一些 OJ、量化网站重要的服务,很多 CTF 也有类似的题。为了不让恶意用户执行任意的 Python 代码,就需要确保 Python 运行在沙箱中。沙箱经常会禁用一些敏感的函数,例如 os,研究怎么逃逸、防护这类沙箱还是蛮有意思的。 前言 Python 的沙箱逃逸的最终目标就是执行系统任意命令,次一点的写文件,再次一点的读文件。 顺便安利一本书:《流畅的 Python》。这本书有很多中高阶知识点,很全面而且讲的很清楚,如果你看过,相
linux kernel pwn学习之堆漏洞利用+bypass smap、smep
seaaseesa的博客
03-01 5479
Linux kernel Heap exploit Linux内核使用的是slab/slub分配器,与glibc下的ptmalloc有许多类似的地方。比如kfree后,原来的用户数据区的前8字节会有指向下一个空闲块的指针。如果用户请求的大小在空闲的堆块里有满足要求的,则直接取出。 通过调试,可以发现,被释放的堆的数据域前8字节正好指向下一个空闲堆的数据域 与glibc下的ptmalloc...
Pwn之Canary绕过的五种方法
Rinko233的博客
11-11 2907
Canary 的意思是金丝雀🦜,英国矿井工人们每次下井都会带上一只金丝雀,如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。我们知道,通常栈溢出的利用方式是通过,从而让多出来的数据等,从而达到目的。当启用栈溢出保护后,函数开始执行的时候会先往栈底,当函数真正返回的时候会,如果不合法就停止程序运行 (栈溢出发生)。攻击者在覆盖返回地址的时候往往也会将 cookie 信息给覆盖掉,导致栈保护检查失败而阻止 shellcode 的执行,避免漏洞利用成功。
pwn学习笔记(8)--初识Pwn沙箱
qq_66013948的博客
08-06 1431
​ 沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。​ 安全计算模式seccomp(Secure Computing Mode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和黑名单。seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。​ 在ctf中主要通过两种方
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6706
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
pwnablekr-asm-seccomp-sandbox
Starr
03-21 1762
文章目录1. 基本信息反汇编流程梳理2. 相关知识seccomp3. exp4. 源码5. 参考文章 1. 基本信息 file: $ file asm asm: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=d7401f94b1d6bf6a5afe4b
Kernel pwn 基础教程之 ret2usr 与 bypass_smep
dzqxwzoe的博客
08-11 198
在我们的pwn学习过程中,能够很明显的感觉到开发人员们为了阻止某些利用手段而增加的保护机制,往往这些保护机制又会引发出新的bypass技巧,像是我们非常熟悉的Shellcode与NX,NX与ROP。而当我们将视角从用户态放到内核态的时候,便是笔者今天想与大家分享的两个利用手段:ret2usr与bypass_smep。
zctf-2017-pwn-sandbox
weixin_30907935的博客
03-12 542
才接触二进制不久,第一次写博客,萌新一只,zctf被表哥们虐得体无完肤,只能坐等writeup,最近参考flappypig的writeup研究sandbox这道题目,用了三天,记录一下。 ps:基础太渣,可能有理解错误的地方,大佬莫笑,麻烦大佬在评论中指出。。。 接下来进入正题 这道题有两个二进制文件:sandbox和vul。用sandbox运行vul程序,其中vul程序存在栈溢出...
简单说说容器/沙盒(Sandbox)以及Linux seccomp
热门推荐
TCP/IP
07-20 1万+
如果应用程序逻辑有误,会造成操作系统崩溃… 这句话其实不对。如果一个应用程序都能让一个操作系统崩溃了,那这一定是这个系统在设计上或者实现上的BUG!再次重申,我不知道谭浩强的C语言教材现在是怎么讲的,但是至少在15年前,很多老师都会说访问空指针会造成操作系统崩溃,这在32位虚拟内存的系统中是错误的。 虽然一个应用程序不能让一个正常的现代操作系统崩溃,但是它却可以对操作系统的运行环境造成巨大...
pwn学习之三
weixin_30877181的博客
10-27 269
whctf2017的一道pwnsandbox,这道题提供了两个可执行文件加一个libc,两个可执行文件是一个vuln,一个sandbox,这是一道通过沙盒去保护vuln不被攻击的题目。 用ida打开vuln: 进入80485CB函数: 这里s给的空间是48但是输入是直到换行停止,这里就存在了栈溢出。但是这道题目开了CANARY,所以不能直接覆盖到返回地址。注意到这题,s的空间下面就...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值