2021 蓝帽杯 pwn slient

最新推荐文章于 2024-04-28 09:18:28 发布
最新推荐文章于 2024-04-28 09:18:28 发布
阅读量876 收藏 4
点赞数 1
分类专栏: wp 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51298357/article/details/116277134
版权
本文详细介绍了2021蓝帽杯pwn类题目slient的解题过程,涉及seccomp沙箱的限制与绕过策略。在限制模式下,仅允许read、write和_exit等系统调用。在尝试orw绕过失败后,作者学习了利用cmp指令爆破flag的方法。文章提供了exp实现,但指出由于每次只能爆破少量flag字符,可能需要多次尝试。
摘要由CSDN通过智能技术生成

2021 蓝帽杯 pwn slient

这道题不是第一个上的pwn题,第一道太难了,第二个一出来就去看第二个题了= =

一个沙箱绕过的题,以前没写过类似的,当场也没有写出来,于是复现一下。

前置知识

seccomp概述

  • restrict模式:SECCOMP_SET_MODE_STRICT

    • 白名单:read,write,_exit,sigreturn
    • 除了已经打开的文件描述符和允许的系统调用,如果发起其他系统调用,内核会使用SIGKILL或SIGSYS终止进程

  • filter模式:SECCOMP_SET_MODE_FILTER

    • Seccomp-Berkley Packet Filter
    • 允许用户使用可配置的策略过滤系统调用
    • 使用BPF规则自定义测量

    BPF定义了一个伪机器,可以执行代码

    • 可对任意系统调用及其参数进行过滤

  • seccomp-bpf.h设置sandbox:使用该头文件,内置宏定义可直接设定白名单

  • prctl设置sandbox流程:

    定义filter数组 -> 定义prog参数 -> prctl(PR_SET_SECCOMP,SECCOMP_MODE_FILTER,&prog)

  • libseccomp设置sandbox

常见绕过思路:orw

wp

刚看这个题的时候,没觉得难,寒假写过一个类似的,就打算orw了,但是没想到write也被ban了TAT。后来看了学长的exp(嗯,我已经菜到面向exp打题了。。。),得知了一种通过cmp指令爆破flag的方法,此外这个题也没什么别的了,记录一下这个题的正确流程吧

  • 先例行检查,保护全开
  • 题目里一开始有mmap函数,同时加上随题有个.txt文件说了flag的位置,想到了orw
  • 检查一下seccomp规则,白名单只有read和open,(连openat,readv,writev这些都用不了。。)

在这里插入图片描述

所以只能按照上面说的思路写

exp:

from pwn import *

EXCV = context.binary = './chall'
e = ELF(EXCV
最低0.47元/天 解锁文章
白日梦-想家
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第五届蓝帽杯_2021_chall
05-13
第五届蓝帽杯_2021_chall,沙盒机制的pwn题。
2021 蓝帽杯 PWN WP
qq_39119980的博客
04-29 933
蓝帽杯 pwn wp portable_rpg 描述 arm32架构的堆程序,漏洞点在create函数中,若角色类型没有存在,直接switch跳出返回了,这样就没有开辟name 的chunk,也没有对角色的chunk进行初始化,根据这一漏洞,我们可以伪造一个角色chunk,修改攻击力打败龙,然后再泄漏libc,前期我还以为远程没有开启alsr,瞎弄了半天的libc基址,后面就是采用double free进行劫持tcache fd为__free_hook,修改为system,再调用即可。 arch A
xyctf Pwn WP
最新发布
qq_74026216的博客
04-28 902
利用jmp 短跳转 连接shellcode,用3个pop rsi 把栈中的0x114514000赋值给rsi ,syscall调用read写入sh。libc-2.35 add 存在溢出,将堆指针放在下一个chunk的prev_size中 ,chunk_list 指针free后未置0。思路:伪造chunk 造成堆块重叠,tcache bin attack 分配chunk到gift为system(/bin/sh)静态链接 ,栈溢出 ,mprotect改权限,打shellcode。
蓝帽杯CTF2021 pwn
qq_39948058的博客
08-26 453
一、slient 一道原题,直接付出脚本进行打 from pwn import * EXCV = context.binary = './chall' e = ELF(EXCV) if args.I: context.log_level = 'debug' def pwn(p, index, ch): # open shellcode = "push 0x10032aaa; pop rdi; shr edi, 12; xor esi, esi; push 2; pop
蓝帽杯2021初赛 writeup+赛后复现(misc123+pwn2+web1)
mumuzi的博客
04-30 5255
蓝帽越来越离谱 争分夺秒,101分排到前70 Ball_sigin + slient + 冬奥会_is_coming + 复现I_will_but_not_quite + 嫌疑人x的硬盘整理(未完全复现) 1.web:Ball_sigin 纯玩游戏,会出现3个单词缺一个字母,分别吃到对应字母即可出flag 2.PWN:slient 既然是原题,就可以直接算杂项了吧(雾 直接参考这个:https://www.lintstar.top/2020/12/784edd2e的slient,改掉端口和ip即可,fla
蓝帽杯wp
qq_51425032的博客
05-12 573
冬奥会is coming 首先打开附件是一个吉祥物图片,用Binwalk分离出一个压缩包,解压压缩包可以得到一个音频,是一个冬奥宣传歌曲。拿去audacity分析没有什么东西,除了前面一段乱码,放winhex看,发现cipher后面接一串奇怪的编码,是十六进制的,hex解密后发现是emoji,用emoji-aes: https://aghorler.github.io/emoji-aes/ 但是解密需要密钥,尝试了加密,发现不使用{}时少了几种表情,所以猜测这里解密出来直接就是flag。对mp3文件进行
2020 蓝帽杯线下赛PWN WriteUp .pdf
09-05
本文主要涉及的是网络安全领域的Pwn(利用漏洞攻防)技术,具体是针对2020年蓝帽杯线下赛中的一个Pwn题目进行的WriteUp(解题报告)。Pwn类题目通常涉及到缓冲区溢出、格式字符串漏洞、整数溢出等,目标是通过编写...
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
2021莲城杯比赛题包.zip
10-12
2021莲城杯比赛题包.zip】是一个压缩包文件,包含了参与2021年莲城杯网络安全竞赛的相关题目和资料。这个比赛很可能是一个网络安全技术挑战赛,涉及了CTF(Capture The Flag)的形式,这是一种常见的网络安全竞赛...
HITCON Training Lab2 Writeup
博客
06-28 182
首先利用checksec查看文件 运行文件,将同一文件中的asm文件作为参数输入: $ ./orw.bin Give my your shellcode:./orw.asm Segmentation fault (core dumped) 利用IDA查看反编译的情况: 别的都可以理解,但是这个orw_seccomp要进去看一下: 这个prctl是什么意思? #include <sys/prctl.h> intprctl( intoption,u...
pwnable_orw-seccomp沙箱
个人笔记
04-11 724
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,题目orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);手动生成读取文件shellcode。
seccomp学习 (2)
CoLin的pwn小屋
11-03 1281
seccomp学习 (2)
绿盟科技 linux漏洞,Linux Kernel系统调用绕过安全限制漏洞
weixin_39883260的博客
05-16 134
Linux Kernel是开放源码操作系统Linux所使用的内核,存在seccomp系统调用绕过安全限制漏洞。受影响系统:Linux kernel 2.6.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 33948Linux Kernel是开放源码操作系统...
orw--libc
fuiifiuiii的博客
07-08 263
栈上的orw,十分易学,适合刚刚接触orw的小伙伴·
蓝帽杯2022年半决赛 writeup(附取证题目+解压密码+附件)
mumuzi的博客
08-05 8550
2021 天翼杯 pwn ezshell
yongbaoii的博客
09-24 1020
逻辑简单,开了一个可以rwx的页,我们输入一段shellcode,绕过一些检查,开了沙箱,最后执行它。 一点一点来,首先我们输入shellcode之后函数__ctype_b_loc函数是干嘛的? 我们去读源码,在ctype/ctype.h #ifndef _ISbit /* These are all the characteristics of characters. If there get to be more than 16 distinct characteristics, many.
2021第五届蓝帽杯初赛部分题目wp
qq_43678263的博客
04-29 5940
文章目录前言WEBBall_siginPWNslientMISC冬奥会_is_coming 前言 本次蓝帽杯初赛做出了三道解出人数最多的题,勉强混个线下。但不得不吐槽一下这届题目。冬奥会这题杂项套了100层娃,头都绕晕了;PWN题的slient是2020年蓝帽杯决赛原题。其他题没做出来,没有发言权。 WEB Ball_sigin 签到题,用手机打开,填补3次左上角空缺的单词,完成滑雪游戏即得到flag flag{3b2e48de-e328-4267-a8d6-8d17fb3c8889} PWN sl
UNCTF2021:Web与Pwn挑战解析
"UNCTF2021WP.pdf 包含了多个网络安全竞赛的解题攻略,涉及Web、Pwn等领域。" 在这个PDF文档中,详细介绍了UNCTF2021网络安全竞赛中的若干挑战及其解决方案。以下是根据提供的部分内容对各个知识点的详细说明: **...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值