안녕하세요. 이 문제에서는 아래 vmmap 사진과 같이 0x7ffff7ff6000에 rwx 권한을 모두 주고 있는데요, image.png 또 소스코드에서 arbitrary address에 write할 수 있게 해주기 때문에 0x7ffff7ff6000 위치에 shellcode를 작성하고 실행해서 shell을 얻으려 했습니다. 아래에서 보시는 바와 같이 gdb를 켜고 0x7ffff7ff6000에 아무 값(0x12345)을 집어 넣으면 잘 들어가는 것도 확인할 수 있었고요. image.png 그런데 이상하게 gdb를 사용하지 않고 아래처럼 그냥 local 환경에서 executable을 실행해서 같은 input을 주면 segmentation fault가 발생합니다.. gdb랑 무슨 차이가 있어서 이렇게 다르게 작동하는건지 잘 이해가 되지 않아 질문을 올립니다. (140,737,354,096,640 = 0x7ffff7ff6000) image.png

제가 write syscall을 이용하여 stdout의 주소를 출력한 뒤 그것을 이용해서 libc base 주소를 구해 무언갈 하려고 했습니다. 그런데 write syscall을 하고 나니 처음엔 segmentation fault가 떴고 이를 leave와 ret을 추가해줌으로써 더이상 segmentation fault는 뜨지 않게 되었습니다. 그런데 leave ret을 추가해주고 난 후에는 그냥 SIGKILL이 뜨면서 프로그램이 종료되버리던데 제가 한 접근이 틀린건가요? 소정의 힌트라도 주시면 감사하겠습니다..

struct sock_filter filter[] = { /* Validate architecture. */ BPF_STMT(BPF_LD+BPF_W+BPF_ABS, arch_nr), BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ARCH_NR, 1, 0), BPF_STMT(BPF_RET+BPF_K, SECCOMP_RET_KILL), /* Get system call number. */ BPF_STMT(BPF_LD+BPF_W+BPF_ABS, syscall_nr), }; struct sock_fprog prog = { .len = (unsigned short)(sizeof(filter)/sizeof(filter[0])), .filter = filter, }; if ( prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0) == -1 ) { perror("prctl(PR_SET_NO_NEW_PRIVS)\n"); return -1; } if ( prctl(PR_SET_SECCOMP, mode, &prog) == -1 ) { perror("Seccomp filter error\n"); return -1; } 드림핵 seccomp문제 코드중 .len = (unsigned short)(sizeof(filter)/sizeof(filter[0])), .filter = filter, .len의 .이 대체 뭔뜻인지 모르겠습니다 아예 저 코드 자체가 어떤것인지 설명해주실수 있나요?? BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ARCH_NR, 1, 0), . . .filter = filter, . . . 또한 마지막에 세미콜론인 ; 가 아닌 쉼표 , 가 와두 되는건가요??.. 무슨 뜻인거죠??..

문제를 분석하는 도중 도저히 이해가 안가서 질문을 올리게 되었습니다. seccomp filter를 보면 strict mode로 되어있어서, read, write, exit, sigreturn만 사용이 가능한데, open을 사용하지 못하니 flag 파일을 열수도 없는데, sigreturn을 이용하는 문제인지, 3의 write address는 어떠한 용도로 쓰는지 도저히 감이 잡히지 않습니다...

이번 문제에서, seccomp-tools dump ./seccomp를 통해 규칙을 파악하려고 하면, 바이너리가 실행만 되고, dump 정보가 뜨지 않던데 혹시 다른 방법이 있을까요?

로컬에서 문제를 푸는 중 seccomp를 무시하고 execve를 사용하는 쉘코드를 실행시켜봤습니다. 그런데 seccomp filter가 작동하지 않아서 바로 쉘 실행이 되더군요..? 왜 이런 현상이 나타나는지 궁금합니다. from pwn import * p = process('./seccomp') context(arch='amd64', os='linux') p.sendlineafter('> ', '1') sc = asm(shellcraft.amd64.linux.sh()) p.sendafter('shellcode: ', sc) p.sendlineafter('> ', '2') p.interactive() `