CTF-IoT类题目环境部署方法

于 2024-05-26 11:02:03 发布
阅读量823 收藏 24
点赞数 15
文章标签: 网络 web安全 安全 网络安全 ctf 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81464130/article/details/139211449
版权

前言

CTF Pwn 静态/动态靶机模版互联网上已经有较为完善的教程文章,单个异构程序的 IoT 题目只需要在互联网已有模版基础上嵌套 qemu-user 即可解决,需要完整异架构系统的 IoT 题目环境部署方案尚存在空缺。本文针对这个问题,给出一套解决方案。

整体架构

宿主机运行 docker Ubuntu 等基础镜像,docker 内安装 qemu-system 运行完整异构系统,qemu 内运行题目相关服务程序。通过配置 qemu-system 实现动态靶机。

1672193609_63aba64919b85909aa05a.png!small?1672193609816

准备资源

所需要文件下载地址:Index of /~aurel32/qemu

部署不同环境所需要文件数量不一致,具体看后文,或下载站点 README 。

arm

  • vmlinuz :系统内核

  • initrd :启动镜像,启动相关的驱动模块

  • hda :磁盘镜像

三者固定搭配,挑选一种下载即可:

-kernel vmlinuz-2.6.32-5-versatile -initrd initrd.img-2.6.32-5-versatile -hda debian_squeeze_armel_standard.qcow2
-kernel vmlinuz-2.6.32-5-versatile -initrd initrd.img-2.6.32-5-versatile -hda debian_squeeze_armel_desktop.qcow2
-kernel vmlinuz-3.2.0-4-versatile -initrd initrd.img-3.2.0-4-versatile -hda debian_wheezy_armel_standard.qcow2
-kernel vmlinuz-3.2.0-4-versatile -initrd initrd.img-3.2.0-4-versatile -hda debian_wheezy_armel_desktop.qcow2

mips

  • vmlinuz :系统内核

  • hda :磁盘镜像

两者固定搭配,挑选一种下载即可:

-kernel vmlinux-2.6.32-5-4kc-malta -hda debian_squeeze_mips_standard.qcow2
-kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mips_standard.qcow2

powerpc

hda :磁盘镜像

固定搭配,挑选一种下载即可:

-hda debian_squeeze_powerpc_standard.qcow2
-hda debian_squeeze_powerpc_desktop.qcow2
-hda debian_wheezy_powerpc_standard.qcow2
-hda debian_wheezy_powerpc_desktop.qcow2

为了方便下面以 arm 为例子记录

出题环境&流程

以下为参考出题环境:

  • 本地 Ubuntu 虚拟机

    • docker/docker-compose :用于提供异构环境

      • Qemu-system

    • scp : 用于向 qemu 虚拟机传输文件

    • arm-linux-gnueabi-gcc :用于异架构程序编译(qemu 内默认没有编译环境)

  • 远程 VPS (可选):用于部署验证

以下为参考顺序,自行根据实际调整:

  1. 搭建一个能自启动 qemu 虚拟机,能转发 qemu 虚拟机的 ssh、gdbserver、challenge 等服务,自动挂载 flag 的 docker 镜像

  2. 不断重复的出题调试过程

    1. 编写源码

    2. 编译程序并用 scp 传输到 qemu 虚拟机

    3. gdbserver 调试分析并编写 exp

  3. 编译并上传最终版程序(去除符号表等操作),并删除 qemu 虚拟机内调试所产生(遗留)与解题无关文件

  4. 编写守护进程脚本,守护进程脚本自启动项

  5. 重启 qemu 虚拟机验证 flag、服务是否正常。在 docker kill qemu-system 进程,再运行 run.sh 启动 qemu 虚拟机,不能重启、重编译 docker,否则 qemu 虚拟机将被还原

  6. 最重要一步:在 docker 将 qemu 虚拟机磁盘文件(qcow2)拷贝出来并保存,以后靶机启动的就是这个磁盘文件,就能恢复好搭建完毕的环境

qemu网络配置

使用 qemu-system 的 user 网络模式(类似 vmware nat 模式),qemu 启动命令:

#!/bin/bash
qemu-system-arm -M versatilepb \
-kernel vmlinuz-3.2.0-4-versatile \
-initrd initrd.img-3.2.0-4-versatile \
-hda debian_wheezy_armel_standard.qcow2 \
-append "root=/dev/sda1 console=tty0" \
-net user,hostfwd=tcp::8888-:22,hostfwd=tcp::8080-:8080,hostfwd=tcp::1234-:1234,restrict=no \
-net nic \
-nographic

  • -net nic:让 qemu 自动配置一张满足最基础需求的虚拟网卡 eth0 ,ip 位置默认为 10.0.2.15

  • -net user,hostfwd=tcp::8888-:22,hostfwd=tcp::8080-:8080,hostfwd=tcp::1234-:1234

    • user指定使用 user 模式

    • hostfwd=tcp::8888-:22,hostfwd=tcp::8080-:8080,hostfwd=tcp::1234-:1234映射宿 docker 端口到 qemu 虚拟机中,多端口则按需添加

然后在 Dockerfile 开放对应端口:

# challenge
EXPOSE 8080 
# ssh
EXPOSE 8888
# gdbserver
EXPOSE 1234

docker-compose.yml 配置宿主机到 docker 的映射端口:

version: "2"
services:
game:
 build: .
 restart: unless-stopped
 ports:
   - "12000:8080"
   - "8877:8888"
   - "1234:1234"

至此,启动服务后,可以通过 <宿主机IP:12000>等端口访问 qemu 内对应服务。

动态flag实现

qemu-system 挂载目标需要是文件夹。各个竞赛平台实现动态 flag 传入方法不尽相同,但通常出题模版会给出 run.sh 文件(供作者在靶机开启后进行自定义操作),解决思路是:

  1. 在 Dockerfile 创建固定 flag 文件夹并做好权限管理:/home/ctf/flag

    COPY ./flag /home/ctf/flag/flag

  2. 在 run.sh 将竞赛平台 flag 写入 /home/ctf/flag/flag

Qemu 启动命令:

#!/bin/bash
qemu-system-arm -M versatilepb \
-kernel vmlinuz-3.2.0-4-versatile \
-initrd initrd.img-3.2.0-4-versatile \
-hda debian_wheezy_armel_standard.qcow2 \
-hdb fat:/home/ctf/flag \
-append "root=/dev/sda1 console=tty0" \
-net user,hostfwd=tcp::8888-:22,hostfwd=tcp::8080-:8080,hostfwd=tcp::1234-:1234,restrict=no \
-net nic \
-nographic

  • -hdb fat:/home/ctf/flag:将 /home/ctf/flag文件挂载,默认权限是只读

Qemu 开机后需要再虚拟机内挂载文件夹:

# 创建对应的挂载点
mkdir -p /home/ctf/flag
# 挂载
mount /dev/sdb1 /home/ctf/flag
创建开机事件自动挂载

因为 qemu 虚拟机会随靶机开关而开关,需要配置开机自动挂载 flag 。

在 /etc/init.d创建文件 mount-flag.sh写入以下内容:

#! /bin/sh
### BEGIN INIT INFO
# Provides:          SkYe231_mount-flag
# Required-Start:    $local_fs $network
# Required-Stop:     $local_fs
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Desc ription: mount service
# Desc ription:       mount docker flag
### END INIT INFO
mkdir -p /home/ctf/flag
mount /dev/sdb1 /home/ctf/flag

  • Provides :提供者,需要唯一不重复

  • 剩余配置项是启动时间等,有需要自己客制化

加上权限:

chmod +x mount-flag.sh

添加启动事件:

insserv -d mount-flag.sh

配置自启动qemu

测试网络连通转发、flag 挂载正常后,将 qemu 启动命令写入 run.sh ,配置 docker 开机自启动 qemu 方便后续出题工作。

  1. 将初步配置的 qemu 虚拟机磁盘镜像提取出来,替换下载的,后续启动的都是这个已配置的镜像

    docker cp xxx:/home/ctf/xxx.vmdk .

  2. run.sh 写入 qemu 启动命令:

    #!/bin/bash
qemu-system-arm -M versatilepb \
-kernel vmlinuz-3.2.0-4-versatile \
-initrd initrd.img-3.2.0-4-versatile \
-hda debian_wheezy_armel_standard.qcow2 \
-hdb fat:/home/ctf/flag \
-append "root=/dev/sda1 console=tty0" \
-net user,hostfwd=tcp::8888-:22,hostfwd=tcp::8080-:8080,hostfwd=tcp::1234-:1234,restrict=no \
-net nic \
-nographic

  3. Dockerfile 配置启动、暴露端口等:

    COPY ./run.sh /home/ctf
COPY debian_wheezy_armel_standard.qcow2 /home/ctf
COPY initrd.img-3.2.0-4-versatile /home/ctf
COPY vmlinuz-3.2.0-4-versatile /home/ctf
COPY ./flag /home/ctf/flag/flag

# 禁用QEMU音频配置
ENV QEMU_AUDIO_DRV=none

CMD exec /bin/bash -c "./run.sh; trap : TERM INT; sleep infinity & wait"

# challenge
EXPOSE 8080 
# ssh
EXPOSE 8888
# gdbserver
EXPOSE 8080

  4. docker-compose.yml 配置宿主机映射端口:

    version: "2"
services:
game:
build: .
restart: unless-stopped
ports:
- "12000:8080"
- "8888:8888"
- "1234:1234"

守护进程

确保靶机开启后,重复访问、重复攻击等原因导致服务进程崩溃退出后能自启动。

按照实际需要选择以下两种守护进程方法:

  • 每次访问启动全新环境:docker xintd 守护 qemu 虚拟机

  • 进程崩溃后恢复沿用此前环境:qemu 虚拟机内守护进程

xinted 守护 qemu

将 qemu 启动命令写入 run.sh 或者 start.sh 存储。每次建立链接会启动一个新的 qemu 虚拟机,断开连接则对应 qemu 虚拟机(进程)关闭,确保 qemu 虚拟机开机速度快,否则链接超时了还没有开启完毕。

#!/bin/bash
#ulimit -t 55 #max cpu using
#ulimit -m 524288 #max memory
#ulimit -u 1500 #max process
qemu-system-arm -M versatilepb \
-kernel vmlinuz-3.2.0-4-versatile \
-initrd initrd.img-3.2.0-4-versatile \
-hda debian_wheezy_armel_standard.qcow2 \
-hdb fat:/home/ctf/flag \
-append "root=/dev/sda1 console=tty0" \
-net user,hostfwd=tcp::8888-:22,hostfwd=tcp::8080-:8080,hostfwd=tcp::1234-:1234,restrict=no \
-net nic \
-nographic

将 xinted 守护程序替换为 run.sh 或者 start.sh :

service ctf
{
disable = no
socket_type = stream
protocol    = tcp
wait        = no
user        = root
type        = UNLISTED
port        = 8080
bind        = 0.0.0.0
server      = /usr/sbin/chroot
# replace helloworld to your program
server_args = --userspec=1000:1000 /home/ctf timeout 50 ./run.sh
banner_fail = /etc/banner_fail
# safety options
per_source	= 10 # the maximum instances of this service per source IP address
rlimit_cpu	= 60 # the maximum number of CPU seconds that the service may use
rlimit_as  = 1024M # the Address Space resource limit for the service
#access_times = 2:00-9:00 12:00-24:00

#Instances=20 #process limit
#per_source=5 #link ip limit

#log warning die
log_on_success = PID HOST EXIT DURATION
log_on_failure  =HOST ATTEMPT 
log_type =FILE /var/log/myservice.log 8388608 15728640

}

  • server_args:修改调整为 run.sh

  • 其他配置可以参考,根据需要客制化

qemu 内守护进程

使用 shell 脚本实现守护进程,配置为开机自启动项

/etc/init.d创建守护进程 shell 脚本 challenage-start-agent.sh,写入内容:

#!/bin/bash
PROGRAM=httpd

while true; do
RESULT=`ps aux | grep -w ${PROGRAM} | grep -v grep | wc -l`

if [ ${RESULT} = 0 ];then
# echo "${PROGRAM} was killed"
cd /var/www/html
./httpd 2>/dev/null 1>&2 &
fi

sleep 5s
done

  • 每 5s 检查 pid 是否存在指定进程,只要进程数等于 0 则重新启动

  • 守护进程脚本名与 ${PROGRAM}不应该存在相同,否则误判进程数

加上权限:

chmod +x challenage-start-agent.sh

/etc/init.d创建开机启动配置文件 challenage-start-agent,写入内容:

#!/bin/bash

### BEGIN INIT INFO
# Provides:          SkYe231_challenage-start-agent
# Required-Start:    $local_fs $syslog
# Required-Stop:     $local_fs $syslog
# Should-Start:      $portmap
# Should-Stop:       $portmap
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: challenage start agent
### END INIT INFO

cd /etc/init.d
nohup ./challenage-start-agent.sh &

  • Provides :提供者,需要唯一不重复

  • 剩余配置项是启动时间等,有需要自己客制化

加上权限:

chmod +x challenage-start-agent

添加启动事件:

insserv -d challenage-start-agent

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取

 读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

同时每个成长路线对应的板块都有配套的视频提供: 

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~ 

  读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

白帽安全-黑客4148
关注
CTF实战30 CTF题目练习和讲解五
Candour_0的博客
03-15 479
这一阶段我们将会接触题目等于因为一开始可能很多逆向的基础都不太好,毕竟我们重点不是啊哈哈哈所以这些题目也不会太难不会涉及什么或者绕过这些高级的东西复制结合了一小点的WEB但是还是看懂汇编,C语言是关键~
ESP32 IoT CTF 清华校赛版 Write Up
没有网络安全,就没有国家安全
10-16 1423
ESP32 IoT CTF 清华校赛版 Write Up
2022CTF培训(十)IOT 相关 CVE 漏洞分析
sky123博客
12-31 2052
这里选择的设备是一款家用路由器,型号为 D-Link DIR-850L(EOL)。由于该款路由器已停产,官网无法下载到固件,不过目前这个还能下载到相关的固件,当然附件中也会提供需要分析的固件。
从0-1的CTF比赛环境搭建过程
weixin_62257805的博客
08-17 3096
博主已经对CTFd v3.3.1官方源码进行了更换国内镜像源、添加CTFd-Whale子模块、配置frp网络、设置静态文件CDN加速等工作,可前往使用作者修改的版本进行安装部署。使用Xshll连接进行操作(根据个人习惯选择)此次仅记录了搭建成功的大概过程,也是再N次失败后的一次小小复盘,其中有很多过程在不同机器和系统版本中可能出现报错,其解决方法自行百度或科学上网查找。有时间会更新本地虚拟机详细搭建过程。............
2022CTF培训(十一)IOT 相关 CVE 漏洞分析
sky123博客
01-04 1460
是采用 qemu-user 对个别程序进行仿真,而对于完整的仿真需要使用 qemu-system。直接使用 qemu-system 仿真需要进行复杂的环境配置,而可以将这个过程自动化。是在 Firmadyne 的基础上开发的固件仿真框架,接下来会利用该框架尝试仿真 DIR823GA1_FW102B03。首先下载 firmware-analysis-toolkit 并运行初始化脚本。(由于要安装大量的环境依赖,如果对自己的网络没有信心的话建议拍个快照,安装失败的话可以恢复快照重新安装)之后配置。
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-all-in-one
01-30
ctf-all-in-one
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF比赛的常用工具,包括Web、RE、Misc、Crypto、PWN、IOT等方向
09-30
CTF比赛的常用工具,包括Web、RE、Misc、Crypto、PWN、IOT等方向,非常适合安全初学者。
含物联网协议modbus流量包pcap
05-30
含物联网协议modbus流量包pcap,可通过wireshark打开后,直接用modbus进行过滤。(注意使用新版wireshark)
2022CTF培训(十二)IOT 相关 CVE 漏洞分析
sky123博客
01-11 1029
版本存在 UPnP 栈溢出漏洞,该漏洞在后续版本中被修复,但是 UPnP 模块中还存在其它栈溢出漏洞。漏洞存在于 uhttpd 中,由于该功能比较独立,可以直接用 qemu user mode 仿真。可以看到之前的栈溢出已经修复,但是只要通过前面一些列的验证会调用 sub_248F8 函数。通过调试发现 v13 实际上是用户输入的密码,因此存在命令注入漏洞。sub_248F8 函数中 strncpy 中的长度参数可以通过。之间字符串长度控制,如果构造出过长的字符串就会造成栈溢出。
探索IoT CTF 2020: 一个智能设备安全挑战平台
gitblog_00077的博客
04-21 406
探索IoT CTF 2020: 一个智能设备安全挑战平台 项目地址:https://gitcode.com/DasSecurity-HatLab/IoT-CTF-2020 在数字化时代,物联网(IoT)的安全性越来越重要。而iot-ctf-2020是一个专为提高IoT安全意识和技能设计的项目,它提供了一套互动的学习环境,让参与者可以通过实际操作来了解和应对物联网设备的安全威胁。 项目简介 IoT...
CTF 这个看起来有点简单
樱缘之梦
05-11 4276
这个看起来有点简单分值:10 来源: 西普学院难度:易 很明显。过年过节不送礼,送礼就送这个 格式: 解题链接: http://ctf5.shiyanbar.com/8/index.php?id=1 解法: 1.手工注入   id=1' id=1 and 1=1 id=1 and 1=2                  
2024年网安最新CTF工控工业互联网(ISC)复现总结WP(超详细)_工控ctf
最新发布
2401_84297944的博客
05-03 1681
工厂车间流水线某工业控制设备遭到不明人员攻击,根据对攻击行为的溯源分析发现攻击者对设备进行了程序上传操作,请根据网络数据流量协助运维人员查找证据找到flag,flag格式为flag{}。我们在SCADA 工程中写入了flag字段,请获取该工程flag,flag形式为 flag{}。工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常点,并拿到FLAG,flag格式为 flag{}。工业网络中存在异常,尝试通过分析PCAP流量包,分析出流量数据中的异常点,并拿到FLAG。
2021-03-26记录centos8安装配置ftp,包括安装telnet服务和xinetd服务
ydl1988915的专栏
03-26 739
步骤一:检查是否安装vsftpd并安装 1.安装vsftpd # 首先要查看你是否安装vsftpd rpm -qa | grep vsftpd vsftpd-3.0.2-10.el7.x86_64 # 显示也就安装成功了!直接进入下一环节吧 # 安装vsftpd yum install -y vsftpd 2.运行以下命令设置FTP服务开机自启动。 systemctl enable vsftpd.service 3.运行以下命令启动FTP服务。 systemctl start vsft
IOT漏洞挖掘学习笔记(一)——堆基础及相关数据结构
weixin_43137410的博客
08-19 1574
1.CTF介绍 线上赛: 答题模式 线下赛: AWD(攻防模式) RealWorld(展示模式) 主要考查漏洞挖掘与利用能力 二进制安全: 栈溢出 栈溢出的防护绕过 堆溢出 堆溢出漏洞 格式化字符串 IOFILE RACE 命令注入 REAL WORLD: IOT漏洞挖掘 浏览器漏洞挖掘 虚拟机逃逸 js解析器 前置知识: 掌握任何一门编程语言 工具使用能力 2.堆溢出 在malloc(分配动态内存) fr
iot安全笔记·1
黑夜黎明
09-23 544
  目前攻击现状:通常通过设备弱口令或远程命令执行漏洞对IOT设备进行攻击,攻击者通过蠕虫感染或自主的批量攻击来控制批量目标设备,构建僵尸网络。路由器、摄像头、智能电视是被攻击频率最高的设备。   智能电视存在的安全隐患是ADB远程通过5555端口调试,存在被root、被植入木马的风险。   视频摄像头攻击主要是弱口令攻击和漏洞利用攻击。路由器攻击主要是漏洞攻击。   Iot设备在DDOS攻击受欢...
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf平台上,参与者可以通过解决各种型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值