LEVEL 2

seccomp

pwnable

1549

616

로그인 하고 문제 풀기

문제 정보
풀이 70
난이도 투표 42
질문 6
최근 풀이자 616
댓글 50

문제 설명

Description

이 문제는 서버에서 작동하고 있는 서비스(seccomp)의 바이너리와 소스 코드가 주어집니다.
프로그램의 취약점을 찾고 익스플로잇해 셸을 획득한 후, "flag" 파일을 읽으세요.
"flag" 파일의 내용을 워게임 사이트에 인증하면 점수를 획득할 수 있습니다.
플래그의 형식은 DH{...} 입니다.

Environment

Ubuntu 16.04
Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x400000)

Reference

Seccomp Filter Bypass

출제자 정보

대표 업적 없음

2020.05.11. 00:00:00

First Blood!

세계수

출제된 지 18시간 만에 풀이 완료!

난이도 투표 42

전체 투표 로그

해결사

LEVEL 2에 투표했습니다.

2일 전

주니어

LEVEL 2에 투표했습니다.

14일 전

대표 업적 없음

LEVEL 2에 투표했습니다.

2개월 전

대표 업적 없음

LEVEL 2에 투표했습니다.

4개월 전

사이보그

LEVEL 2에 투표했습니다.

6개월 전

질문 6

문제 풀이에 어려움이 있으신가요?

커뮤니티에서 문제에 대한 질문하고 답변 얻기

문제를 분석하는 도중 도저히 이해가 안가서 질문을 올리게 되었습니다. seccomp filter를 보면 strict mode로 되어있어서, read, write, exit, sigreturn만 사용이 가능한데, open을 사용하지 못하니 flag 파일을 열수도 없는데, sigreturn을 이용하는 문제인지, 3의 write address는 어떠한 용도로 쓰는지 도저히 감이 잡히지 않습니다...

로컬에서 seccomp filter가 작동하지 않는 경우

로컬에서 문제를 푸는 중 seccomp를 무시하고 execve를 사용하는 쉘코드를 실행시켜봤습니다. 그런데 seccomp filter가 작동하지 않아서 바로 쉘 실행이 되더군요..? 왜 이런 현상이 나타나는지 궁금합니다. from pwn import * p = process('./seccomp') context(arch='amd64', os='linux') p.sendlineafter('> ', '1') sc = asm(shellcraft.amd64.linux.sh()) p.sendafter('shellcode: ', sc) p.sendlineafter('> ', '2') p.interactive() `

제가 write syscall을 이용하여 stdout의 주소를 출력한 뒤 그것을 이용해서 libc base 주소를 구해 무언갈 하려고 했습니다. 그런데 write syscall을 하고 나니 처음엔 segmentation fault가 떴고 이를 leave와 ret을 추가해줌으로써 더이상 segmentation fault는 뜨지 않게 되었습니다. 그런데 leave ret을 추가해주고 난 후에는 그냥 SIGKILL이 뜨면서 프로그램이 종료되버리던데 제가 한 접근이 틀린건가요? 소정의 힌트라도 주시면 감사하겠습니다..

seccomp 코드 질문

struct sock_filter filter[] = { /* Validate architecture. */ BPF_STMT(BPF_LD+BPF_W+BPF_ABS, arch_nr), BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ARCH_NR, 1, 0), BPF_STMT(BPF_RET+BPF_K, SECCOMP_RET_KILL), /* Get system call number. */ BPF_STMT(BPF_LD+BPF_W+BPF_ABS, syscall_nr), }; struct sock_fprog prog = { .len = (unsigned short)(sizeof(filter)/sizeof(filter[0])), .filter = filter, }; if ( prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0) == -1 ) { perror("prctl(PR_SET_NO_NEW_PRIVS)\n"); return -1; } if ( prctl(PR_SET_SECCOMP, mode, &prog) == -1 ) { perror("Seccomp filter error\n"); return -1; } 드림핵 seccomp문제 코드중 .len = (unsigned short)(sizeof(filter)/sizeof(filter[0])), .filter = filter, .len의 .이 대체 뭔뜻인지 모르겠습니다 아예 저 코드 자체가 어떤것인지 설명해주실수 있나요?? BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ARCH_NR, 1, 0), . . .filter = filter, . . . 또한 마지막에 세미콜론인 ; 가 아닌 쉼표 , 가 와두 되는건가요??.. 무슨 뜻인거죠??..

왜 seg fault가 뜨는지 잘 모르겠습니다.

안녕하세요. 이 문제에서는 아래 vmmap 사진과 같이 0x7ffff7ff6000에 rwx 권한을 모두 주고 있는데요, image.png 또 소스코드에서 arbitrary address에 write할 수 있게 해주기 때문에 0x7ffff7ff6000 위치에 shellcode를 작성하고 실행해서 shell을 얻으려 했습니다. 아래에서 보시는 바와 같이 gdb를 켜고 0x7ffff7ff6000에 아무 값(0x12345)을 집어 넣으면 잘 들어가는 것도 확인할 수 있었고요. image.png 그런데 이상하게 gdb를 사용하지 않고 아래처럼 그냥 local 환경에서 executable을 실행해서 같은 input을 주면 segmentation fault가 발생합니다.. gdb랑 무슨 차이가 있어서 이렇게 다르게 작동하는건지 잘 이해가 되지 않아 질문을 올립니다. (140,737,354,096,640 = 0x7ffff7ff6000) image.png

seccomp-tools 사용법

이번 문제에서, seccomp-tools dump ./seccomp를 통해 규칙을 파악하려고 하면, 바이너리가 실행만 되고, dump 정보가 뜨지 않던데 혹시 다른 방법이 있을까요?

강의 수강: 1

24시간 전

해결사

2일 전

대표 업적 없음

2일 전

대표 업적 없음

2일 전

대표 업적 없음

3일 전

대표 업적 없음

5일 전

대표 업적 없음

7일 전

대표 업적 없음

10일 전

대표 업적 없음

11일 전

대표 업적 없음

11일 전

댓글 50

해결사

2일 전

3번은 왜 있는 것일까요? 세상에 불필요한 단서는 없습니다!

시스템 해킹 입문

1개월 전

코드를 위에서 부터 천천히 읽어보기

공부벌레

10개월 전

꺼진 불도 다시보자...!

해결사

1년 전

좋은 문제입니다~

대표 업적 없음

1년 전

good

공부벌레

1년 전

All you need to know about SECCOMP is just the amount of dust(it's important yet). X_X

워게임: 1

1년 전

정말 쉬운 문제인데 그 쉬운 생각을 하기 어려웠다..

Cloud 9

2년 전

이상한 곳에서 삽질

강의 수강: 1

2년 전

후....ㅋㅋ

대표 업적 없음

2년 전

어렵게 생각하면 끝도 없으나 쉽게 생각하면 정말 쉬운 문제...ㅎ