seccomp的学习

最新推荐文章于 2025-02-19 22:54:53 发布
最新推荐文章于 2025-02-19 22:54:53 发布
阅读量8.6k 收藏 7
点赞数 1
分类专栏: Linux 文章标签: seccomp学习

文章转载自:http://blog.sina.com.cn/s/blog_53fdf1590102xtg3.html

做pwn,用seccomp做沙箱保护很常见。有时候seccomp后面会跟一个结构体,趁此机会学习一把。

1、 简介

seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序中禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了.

2、 使用seccomp

首先,调用seccomp的程序我们是能够直接运行的,但是我们不能直接编写调用seccomp的程序,因为我们缺少相应的头文件.通过apt安装

sudo apt install libseccomp-dev libseccomp2 seccomp

这样就有头文件了

#veritas @ ubuntu in /usr/include

$ find . -name seccomp.h

./seccomp.h

./linux/seccomp.h

先写一个简单的程序调用一下syscall,简单的输出后,会弹一个shell


//gcc -g simple_syscall.c -o simple_syscall

#include <stdio.h>

int main(void){

         char * filename = "/bin/sh";

         char * argv[] = {"/bin/sh",NULL};

         char * envp[] = {NULL};

         write(1,"i will give you a shell\n",24);

         syscall(59,filename,argv,envp);//execve

         return 0;

}

现在我们通过seccomp禁用掉execve的syscall
//gcc -g simple_syscall_seccomp.c -o simple_syscall_seccomp -lseccomp

#include <stdio.h>
#include <unisted.h>
#include <seccomp.h>

int main(void){

         scmp_filter_ctx ctx;

         ctx = seccomp_init(SCMP_ACT_ALLOW);

         seccomp_rule_add(ctx, SCMP_ACT_KILL, SCMP_SYS(execve), 0);

         seccomp_load(ctx);

         char * filename = "/bin/sh";

         char * argv[] = {"/bin/sh",NULL};

         char * envp[] = {NULL};

         write(1,"i will give you a shell\n",24);

         syscall(59,filename,argv,envp);//execve

         return 0;
}

运行结果:
在这里插入图片描述
稍微解释一下上面几个函数:
ctx是Filter context/handle,其中typedef void *scmp_filter_ctx;

seccomp_init是初始化的过滤状态,这里用的是SCMP_ACT_ALLOW,表示默认允许所有的syscacll.如果初始化状态为SCMP_ACT_KILL,则表示默认不允许所有的syscall

3、How to reverse

可以使用现成的工具
https://github.com/david942j/seccomp-tools
我们测测看雪2017CTF第9题 Silence_Server,用seccomp-tools得到以下结果
在这里插入图片描述

在arch_x86_64下,只允许read, open, close, stat, fstat, lstat, poll, lseek, brk, execve

SECCOMP
SHELLCODE_8BIT的博客
11-15 518
浅谈Linux SECCOMP安全机制在容器中的使用 - 腾讯云开发者社区-腾讯云 (tencent.com)
seccomp介绍
热门推荐
mashimiao的专栏
06-22 2万+
什么是seccomp seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,
fatal error: securec.h: No such file or directory问题解决
最新发布
2302_79277225的博客
02-19 282
改名为。
linux3.5 Seccomp
lhj893614438的博客
01-20 260
Seccomp (即“"secure computing”的别名)是2.6.12版本重新加入的简单沙盒机制,用来确保系统调用处于受限状态(仅允许对已打开的文件进行exit, sigreturn, read 和 write操作)。Seccomp现在又增加了新功能:不再是有限并且确定的系统调用,Seccomp现在已经成了一种过滤机制,用来管理一个系统调用是否被禁止(和Berkeley Packet F...
Seccomp
2301_80798825的博客
09-19 495
seccomp是内核中的一种安全机制,正常情况下(没有打开seccomp),程序是可以使用所有的syscall,这是不安全的。ptrctl 和 seccomp 的系统调用分别为157,317;然后要想进行orw,我们得知道open,read,write函数的地址,可以通过libc加上printf函数泄露的函数地址就可以得到libc_base。1.在SECCOMP_MODE_STRICT的模式下,进程只能使用read,write,_exit 和 sigreturn系统调用。seccomp可以通过系统调用。
Seccomp Tools:强大的Seccomp分析工具
gitblog_00438的博客
09-14 552
Seccomp Tools:强大的Seccomp分析工具 项目地址:https://gitcode.com/gh_mirrors/se/seccomp-tools 项目介绍 Seccomp Tools 是一个专注于 Seccomp(Secure Computing Mode)分析的开源项目。Seccomp 是 Linux 内核提供的一种安全机制,用于限制进程可以执行的系统调用。Seccomp To...
Linux Seccomp 简介_seccomp严格模式
m0_60226911的博客
04-28 695
return 0;
鸿蒙实战开发(5.0)Seccomp策略机制开发规范化
qazwsx957486的博客
09-24 1227
Seccomp策略以策略文件的形式存在。在编译构建时,首先相关脚本解析策略文件来生成含BPF指令策略的源文件,然后编译成策略动态库。最后,用户态进程启动过程中,使用Seccomp系统调用将BPF指令策略加载到内核中。
Sandbox的安全机制 —— 使用 seccomp
2401_85112749的博客
06-04 430
如何查看是否使用了seccomp通常有两种方法:利用的PR_GET_SECCOMP的参数获取当前进程的seccomp状态。返回值0表示没有使用seccomp;返回值2表示使用了seccomp并处于SECCOMP_MODE_FILTER模式;其他情况进程会被SIGKILL信号杀死。从Linux3.8开始,可以利用/proc/$pid/status中的Seccomp字段查看。如果没有seccomp字段,说明内核不支持seccomp。查看mysql服务的seccomp的状态,发现并没有进入安全限制模式。cat /
seccomp + ptrace hook系统调用demo
u013347872的博客
05-21 586
目前绝大部分app都会频繁的使用syscall去获取设备指纹和做一些反调试,使用常规方式过反调试已经非常困难了,使用内存搜索svc指令已经不能满足需求了,开始学习了一下通过ptrace/ptrace配合seccomp来解决svc反调试难定位难绕过等问题。
2024年Sandbox的安全机制 —— 使用 seccomp
2401_84253850的博客
05-01 542
seccomp_init的作用就是初始化 scmp_filter_ctx结构。需要注意的是,任何其他libseccomp中的函数调用,必须在seccomp_init之后。scmp_filter_ctx seccomp_init(uint32_t def_action);成功返回scmp_filter_ctx(过滤器上下文) ctx;失败返回NULLdef_action用于指定默认行为,有效动作值如下:(当线程调用了过滤规则中没有相关配置规则的系统调用时触发)线程将会被内核以SIGSYS信号终止;整个进程被终
seccomp-tools:提供用于seccomp分析的强大工具
04-06
Seccomp工具 提供用于seccomp分析的强大工具。 该项目旨在(但不限于)分析CTF pwn挑战中的seccomp沙箱。 某些功能可能是CTF特有的,但对于在实际情况下分析seccomp仍然有用。 特征 转储-自动从执行文件中转储seccomp-bpf。 Disasm-将bpf转换为人类可读的格式。 简单的反编译。 尽可能显示系统调用名称和参数。 丰富多彩的! Asm-编写seccomp规则是如此简单! mu-模拟seccomp规则。 支持多架构。 安装 在RubyGems.org上可用! $ gem install seccomp-tools 如果编译时失败,请尝试: sudo apt install gcc ruby-dev 并再次安装seccomp-tools。 命令行界面 seccomp工具 $ seccomp-tools --help # Usage:
探索安全的未来:Seccomp 工具
gitblog_00012的博客
05-16 468
探索安全的未来:Seccomp 工具 seccomp-tools Provide powerful tools for seccomp analysis 项目地址: https://gitcode.com/gh_mirrors/se/seccomp-tools ...
Linux seccomp机制
、moddemod
06-19 2089
简介 seccomp是一种内核中的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。通过seccomp我们可以在程序中禁用掉某些syscall,这就就算劫持了程序流也只能调用部分的syscall了 演示 正常的系统调用,可以使用所有系统调用 #include<unistd.h> #include<sys/syscall.h> int main() { char * filename =
CTF工具-seccomp-tools
am_03的博客
08-24 6227
seccomp-tools可以分析程序的seccomp状态,哪些被系统被禁用了安装 安装流程: sudo apt install gcc ruby-dev gem install seccomp-tools 之后便可直接分析程序的seccomp状态
【云安全系列】Seccomp—云安全syscall防护利器
Rethinking the Kernel
10-28 5473
本文从 Seccomp 机制出发,在 linux 内核层面介绍了 Seccomp 可以实现的安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景,通过使用 ebpf 的手段获取业务系统调用白名单,通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护,进而保证业务容器 syscall 层面的安全。
理解Seccomp
漫步量化
12-25 468
Seccomp seccomp (short for secure computing mode) is a computer security facility in the Linux kernel. seccomp allows a process to make a one-way transition into a “secure” state where it cannot make any system calls exit(), sigreturn(), read(), write() ..
应用沙盒seccomp的使用
鹅鹅鹅的博客
02-21 1280
android上如何配置、编译与使用seccomp
上手 seccomp
龙瑜的博客
01-21 2697
NAME seccomp - operate on Secure Computing state of the process SYNOPSIS #include <linux/seccomp.h> #include <linux/filter.h> #include <linux/audit.h> #include <linux/signal.h> #include <sys/ptrace.h> int seccomp(unsigned i
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值