LEVEL 2

seccomp

pwnable
1620
652
로그인 하고 문제 풀기
  • 문제 정보
  • 풀이 74
  • 난이도 투표 53
  • 질문 6
  • 최근 풀이자 652
  • 댓글 49

문제 설명

Description

이 문제는 서버에서 작동하고 있는 서비스(seccomp)의 바이너리와 소스 코드가 주어집니다.
프로그램의 취약점을 찾고 익스플로잇해 셸을 획득한 후, "flag" 파일을 읽으세요.
"flag" 파일의 내용을 워게임 사이트에 인증하면 점수를 획득할 수 있습니다.
플래그의 형식은 DH{...} 입니다.

Environment
Ubuntu 16.04
Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x400000)
Reference

Seccomp Filter Bypass

출제자 정보

avatar
Dreamhack
대표 업적 없음
2020.05.11. 00:00:00

First Blood!

avatar
shpik
세계수
출제된 지 18시간 만에 풀이 완료!

난이도 투표 53

질문 6

문제 풀이에 어려움이 있으신가요?
커뮤니티에서 문제에 대한 질문하고 답변 얻기
왜 seg fault가 뜨는지 잘 모르겠습니다.
안녕하세요. 이 문제에서는 아래 vmmap 사진과 같이 0x7ffff7ff6000에 rwx 권한을 모두 주고 있는데요, image.png 또 소스코드에서 arbitrary address에 write할 수 있게 해주기 때문에 0x7ffff7ff6000 위치에 shellcode를 작성하고 실행해서 shell을 얻으려 했습니다. 아래에서 보시는 바와 같이 gdb를 켜고 0x7ffff7ff6000에 아무 값(0x12345)을 집어 넣으면 잘 들어가는 것도 확인할 수 있었고요. image.png 그런데 이상하게 gdb를 사용하지 않고 아래처럼 그냥 local 환경에서 executable을 실행해서 같은 input을 주면 segmentation fault가 발생합니다.. gdb랑 무슨 차이가 있어서 이렇게 다르게 작동하는건지 잘 이해가 되지 않아 질문을 올립니다. (140,737,354,096,640 = 0x7ffff7ff6000) image.png
cw00h
답변 1
추천 0
3년 전
접근 방법
제가 write syscall을 이용하여 stdout의 주소를 출력한 뒤 그것을 이용해서 libc base 주소를 구해 무언갈 하려고 했습니다. 그런데 write syscall을 하고 나니 처음엔 segmentation fault가 떴고 이를 leave와 ret을 추가해줌으로써 더이상 segmentation fault는 뜨지 않게 되었습니다. 그런데 leave ret을 추가해주고 난 후에는 그냥 SIGKILL이 뜨면서 프로그램이 종료되버리던데 제가 한 접근이 틀린건가요? 소정의 힌트라도 주시면 감사하겠습니다..
4zur
답변 2
추천 0
4년 전
seccomp 코드 질문
struct sock_filter filter[] = { /* Validate architecture. */ BPF_STMT(BPF_LD+BPF_W+BPF_ABS, arch_nr), BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ARCH_NR, 1, 0), BPF_STMT(BPF_RET+BPF_K, SECCOMP_RET_KILL), /* Get system call number. */ BPF_STMT(BPF_LD+BPF_W+BPF_ABS, syscall_nr), }; struct sock_fprog prog = { .len = (unsigned short)(sizeof(filter)/sizeof(filter[0])), .filter = filter, }; if ( prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0) == -1 ) { perror("prctl(PR_SET_NO_NEW_PRIVS)\n"); return -1; } if ( prctl(PR_SET_SECCOMP, mode, &prog) == -1 ) { perror("Seccomp filter error\n"); return -1; } 드림핵 seccomp문제 코드중 .len = (unsigned short)(sizeof(filter)/sizeof(filter[0])), .filter = filter, .len의 .이 대체 뭔뜻인지 모르겠습니다 아예 저 코드 자체가 어떤것인지 설명해주실수 있나요?? BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, ARCH_NR, 1, 0), . . .filter = filter, . . . 또한 마지막에 세미콜론인 ; 가 아닌 쉼표 , 가 와두 되는건가요??.. 무슨 뜻인거죠??..
avatar 비누스
답변 1
추천 0
1년 전
푸는 로직
문제를 분석하는 도중 도저히 이해가 안가서 질문을 올리게 되었습니다. seccomp filter를 보면 strict mode로 되어있어서, read, write, exit, sigreturn만 사용이 가능한데, open을 사용하지 못하니 flag 파일을 열수도 없는데, sigreturn을 이용하는 문제인지, 3의 write address는 어떠한 용도로 쓰는지 도저히 감이 잡히지 않습니다...
avatar Rasser
답변 1
추천 0
4년 전
seccomp-tools 사용법
이번 문제에서, seccomp-tools dump ./seccomp를 통해 규칙을 파악하려고 하면, 바이너리가 실행만 되고, dump 정보가 뜨지 않던데 혹시 다른 방법이 있을까요?
ro
답변 1
추천 0
2개월 전
로컬에서 seccomp filter가 작동하지 않는 경우
로컬에서 문제를 푸는 중 seccomp를 무시하고 execve를 사용하는 쉘코드를 실행시켜봤습니다. 그런데 seccomp filter가 작동하지 않아서 바로 쉘 실행이 되더군요..? 왜 이런 현상이 나타나는지 궁금합니다. from pwn import * p = process('./seccomp') context(arch='amd64', os='linux') p.sendlineafter('> ', '1') sc = asm(shellcraft.amd64.linux.sh()) p.sendafter('shellcode: ', sc) p.sendlineafter('> ', '2') p.interactive() `
king114
답변 1
추천 0
3년 전

최근 풀이자 652

shpark1104
Perfect 10
8시간 전
Shine1
Lucky 7
9시간 전
leak
대표 업적 없음
1일 전
t0uch3
대표 업적 없음
1일 전
yoona1a
대표 업적 없음
2일 전
GEONWOOHAN
대표 업적 없음
6일 전
avatar
A_dawn
컴퍼니
7일 전
spypsy
워게임: 1
10일 전
arago
대표 업적 없음
10일 전
avatar
R4mbb
Open Beta Tester
13일 전

댓글 49

avatar
Rootsquare
해결사
2개월 전
3번은 왜 있는 것일까요? 세상에 불필요한 단서는 없습니다!
c0met
시스템 해킹 입문
3개월 전
코드를 위에서 부터 천천히 읽어보기
avatar
연어초밥
공부벌레
1년 전
꺼진 불도 다시보자...!
avatar
사용자
해결사
1년 전
좋은 문제입니다~
O_F
대표 업적 없음
2년 전
good
avatar
KnightChaser
공부벌레
2년 전
All you need to know about SECCOMP is just the amount of dust(it's important yet). X_X
avatar
is07king
워게임: 1
2년 전
정말 쉬운 문제인데 그 쉬운 생각을 하기 어려웠다..
avatar
착한 범고래
Cloud 9
2년 전
이상한 곳에서 삽질
0I0Hackyy
강의 수강: 1
2년 전
후....ㅋㅋ
whoamiii
대표 업적 없음
2년 전
어렵게 생각하면 끝도 없으나 쉽게 생각하면 정말 쉬운 문제...ㅎ