LEVEL 2

seccomp

pwnable

1896

754

2020.05.11. 00:00:00

로그인 하고 문제 풀기

문제 정보
풀이 79
난이도 투표 96
질문 6
최근 풀이자 754
댓글 53

문제 설명

Description

이 문제는 서버에서 작동하고 있는 서비스(seccomp)의 바이너리와 소스 코드가 주어집니다.
프로그램의 취약점을 찾고 익스플로잇해 셸을 획득한 후, "flag" 파일을 읽으세요.
"flag" 파일의 내용을 워게임 사이트에 인증하면 점수를 획득할 수 있습니다.
플래그의 형식은 DH{...} 입니다.

Environment

Ubuntu 16.04
Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x400000)

Reference

Seccomp Filter Bypass

난이도 투표 96

전체 투표 로그

시스템 해킹 전문가

LEVEL 2에 투표했습니다.

1일 전

대표 업적 없음

LEVEL 2에 투표했습니다.

9일 전

워게임: 20

LEVEL 2에 투표했습니다.

15일 전

대표 업적 없음

LEVEL 1에 투표했습니다.

16일 전

대표 업적 없음

LEVEL 3에 투표했습니다.

22일 전

질문 6

문제 풀이에 어려움이 있으신가요?

커뮤니티에서 문제에 대한 질문하고 답변 얻기

왜 seg fault가 뜨는지 잘 모르겠습니다.

안녕하세요. 이 문제에서는 아래 vmmap 사진과 같이 0x7ffff7ff6000에 rwx 권한을 모두 주고 있는데요, image.png 또 소스코드에서 arbitrary address에 write할 수 있게 해주기 때문에 0x7ffff7ff6000 위치에 shellcode를 작성하고 실행해서 shell을 얻으려 했습니다. 아래에서 보시는 바와 같이 gdb를 켜고 0x7ffff7ff6000에 아무 값(0x12345)을 집어 넣으면 잘 들어가는 것도 확인할 수 있었고요. image.png 그런데 이상하게 gdb를 사용하지 않고 아래처럼 그냥 local 환경에서 executable을 실행해서 같은 input을 주면 segmentation fault가 발생합니다.. gdb랑 무슨 차이가 있어서 이렇게 다르게 작동하는건지 잘 이해가 되지 않아 질문을 올립니다. (140,737,354,096,640 = 0x7ffff7ff6000) image.png

제가 write syscall을 이용하여 stdout의 주소를 출력한 뒤 그것을 이용해서 libc base 주소를 구해 무언갈 하려고 했습니다. 그런데 write syscall을 하고 나니 처음엔 segmentation fault가 떴고 이를 leave와 ret을 추가해줌으로써 더이상 segmentation fault는 뜨지 않게 되었습니다. 그런데 leave ret을 추가해주고 난 후에는 그냥 SIGKILL이 뜨면서 프로그램이 종료되버리던데 제가 한 접근이 틀린건가요? 소정의 힌트라도 주시면 감사하겠습니다..

struct sock_filter filter[] = { /* Validate architecture. */ BPF_STMT(BPF_LD+BPF_W+BPF_ABS, arch_nr), BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ARCH_NR, 1, 0), BPF_STMT(BPF_RET+BPF_K, SECCOMP_RET_KILL), /* Get system call number. */ BPF_STMT(BPF_LD+BPF_W+BPF_ABS, syscall_nr), }; struct sock_fprog prog = { .len = (unsigned short)(sizeof(filter)/sizeof(filter[0])), .filter = filter, }; if ( prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0) == -1 ) { perror("prctl(PR_SET_NO_NEW_PRIVS)\n"); return -1; } if ( prctl(PR_SET_SECCOMP, mode, &prog) == -1 ) { perror("Seccomp filter error\n"); return -1; } 드림핵 seccomp문제 코드중 .len = (unsigned short)(sizeof(filter)/sizeof(filter[0])), .filter = filter, .len의 .이 대체 뭔뜻인지 모르겠습니다 아예 저 코드 자체가 어떤것인지 설명해주실수 있나요?? BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ARCH_NR, 1, 0), . . .filter = filter, . . . 또한 마지막에 세미콜론인 ; 가 아닌 쉼표 , 가 와두 되는건가요??.. 무슨 뜻인거죠??..

문제를 분석하는 도중 도저히 이해가 안가서 질문을 올리게 되었습니다. seccomp filter를 보면 strict mode로 되어있어서, read, write, exit, sigreturn만 사용이 가능한데, open을 사용하지 못하니 flag 파일을 열수도 없는데, sigreturn을 이용하는 문제인지, 3의 write address는 어떠한 용도로 쓰는지 도저히 감이 잡히지 않습니다...

이번 문제에서, seccomp-tools dump ./seccomp를 통해 규칙을 파악하려고 하면, 바이너리가 실행만 되고, dump 정보가 뜨지 않던데 혹시 다른 방법이 있을까요?

답변 1

추천 0

8개월 전

로컬에서 seccomp filter가 작동하지 않는 경우

로컬에서 문제를 푸는 중 seccomp를 무시하고 execve를 사용하는 쉘코드를 실행시켜봤습니다. 그런데 seccomp filter가 작동하지 않아서 바로 쉘 실행이 되더군요..? 왜 이런 현상이 나타나는지 궁금합니다. from pwn import * p = process('./seccomp') context(arch='amd64', os='linux') p.sendlineafter('> ', '1') sc = asm(shellcraft.amd64.linux.sh()) p.sendafter('shellcode: ', sc) p.sendlineafter('> ', '2') p.interactive() `

LEVEL 2

seccomp

pwnable

1896

754

2020.05.11. 00:00:00

로그인 하고 문제 풀기

출제자 정보

대표 업적 없음

Dreamhack official account

First Blood!

세계수

출제된 지 18시간 만에 풀이 완료!

시스템 해킹 전문가

1일 전

대표 업적 없음

3일 전

대표 업적 없음

5일 전

대표 업적 없음

9일 전

웹해킹 중급자

9일 전

워게임: 20

15일 전

대표 업적 없음

16일 전

대표 업적 없음

18일 전

대표 업적 없음

18일 전

대표 업적 없음

20일 전

워게임: 20

15일 전

어... 변수 하나를 조심하라고?

대표 업적 없음

23일 전

셸 획득할 필요도 사실 없는;;

강의 수강: 1

3개월 전

최대한 단순하게 생각하기

대표 업적 없음

5개월 전

쉘을 실행시키려면 어떻게든 SECCOMP을 우회해야 할텐데 어떻게 해야 우회 할 수 있을까? 코드를 처음부터 끝까지 살펴보기

바탈리온

8개월 전

3번은 왜 있는 것일까요? 세상에 불필요한 단서는 없습니다!

.HACK 2025 참가자

9개월 전

코드를 위에서 부터 천천히 읽어보기

공부벌레

1년 전

꺼진 불도 다시보자...!

소통요정

2년 전

좋은 문제입니다~

대표 업적 없음

2년 전

good

공부벌레

2년 전

All you need to know about SECCOMP is just the amount of dust(it's important yet). X_X

seccomp

문제 설명

Description

Environment

Reference

난이도 투표 96

질문 6

seccomp

출제자 정보

First Blood!

최근 풀이자 754

댓글 53