Sandboxing
观看pwn.college中sandboxing模块的讲解视频所做的笔记
Modern Technologies about Sandboxing
Seccomp
通过设置系统调用的禁用和允许规则来达到目的
Namespace
创建一个类似于docker的独立命名空间
unshare命令:Run a program with some namespaces unshared from the parent
其创建了一个新的命名空间,其与父进程独立。(注:fork系统调用为完全共享,clone系统调用可以指定共享内容)
unshare后创建的新进程仍然可以访问原本的目录(如/),因为还没有mount和unmount。(附:使用mount将根目录下的目录,例如/bin等重新mount到新进程下,就可以在新进程下看到,这就是docker container使用的技巧。注意,在外部系统中是看不到mount的目录的,因为unshare不共享mount namespace)
mount命令:挂载文件或设备到指定的文件系统
其中/dev代表挂载的设备文件,/sys代表内核相关的内容
unshare -m -p -n –mount-proc –fork /bin/bash
此命令可以类似于docker创建一个新的进程,进程在一个新的命名空间中,但是仍然可以查看外部文件系统
创建独立的文件系统
使用mount将/bin等目录挂载到当前目录,并且chroot。
但是chroot不安全,因此应该有更安全的方法:使用命名空间pivot_root
使用pivot_root,先创建一个old文件夹存放根目录,然后unmount,rmdir。即可实现容器化。
docker额外实现的机制:
- docker还另外实现了对资源的限制,例如内存用量,使用ulimit命令
- 对用户的限制,使在容器内为root,但在容器外为普通用户
- seccomp限制特定命令,例如unshare,避免其逃逸
可以使用nsenter从外部进入已有命名空间eg:nsenter –mount=/proc/xxxx/ns/mnt [file]
(与setns系统调用有关)
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Small Utopia!
相关推荐
.jpg)
2023-10-23
BUUCTF 第五空间PWN5
考点 格式化字符串漏洞 解题过程 首先使用checksec工具查看基本信息 为32位,canary,dep防护 使用ida工具进行静态分析。 main main函数主要代码如上图所示,可以看见print((int)v7)存在格式化字符串输出漏洞,因此可以考虑进行利用(注:由于输入read限制了输入长度,导致无法通过泄漏canary方法来进行栈溢出攻击。) 构造python脚本如下,主要思路为修改printf的got表plt地址为要执行的代码地址(若开启full relro则无法使用),然后再代码执行到下一次调用printf函数时会转去执行目标代码。获得shell。 1234567891011121314151617181920from pwn import *context(arch="i386", log_level="debug")# p = process("./pwn")p = remote("node4.buuoj.cn", 29338)elf =...
.jpg)
2023-10-25
【SEED Lab2.0】缓冲区溢出实验报告
stack_overflow(setuid)环境配置配置环境,关闭ASLR地址随机化,将/bin/sh链接到/bin/zsh(/bin/dash以及/bin/bash都实现了一种安全对策, 防止自己在Set-UID进程中执行。 基本上,如果它们检测到它们是在一个Set-UID进程中执行的, 它们会立即将有效的用户ID更改为该进程的真实用户ID, 基本上会放弃特权 ) 123❯ sudo sysctl -w kernel.randomize_va_space=0 kernel.randomize_va_space = 0❯ sudo ln -sf /bin/zsh /bin/sh Task1: 熟悉shellcodeshellcode C代码实现: 12345678#include <stddef.h>void main(){ char *name[2]; name[0] = "/bin/sh"; name[1] = NULL; ...
.jpg)
2023-11-10
get_started_3dsctf_2016 WriteUp
考点 对栈溢出函数带参数的溢出理解 解题内容 使用checksec工具查看基本信息: 1234567❯ ~/.local/bin/checksec ./get_started_3dsctf_2016[*] '/home/bronya/Documents/ctf/pwn/get_started_3dsctf_2016/get_started_3dsctf_2016' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE...
.jpg)
2023-11-20
【SEED Lab2.0】Return_to_Libc实验报告
Task1:Finding out the Addresses of libc Functions 获取system函数和exit函数地址 gdb批处理命令,新建文件peda-session-retlib.txt,进行批处理操作 Task2:Putting the shell string in the memory 编写getprt.c来获取环境变量地址 getprt.c: 12345678#include<stdlib.h>#include<stdio.h>void main(){char* shell = getenv("MYSHELL");if (shell) printf("%x\n", (unsigned int)shell);} 设置/bin/sh的环境变量,获得地址: 将代码加入到retlib.c中,获取到地址,可以发现地址与getprt的地址相同。(如果开启aslr或者两文件名长度不同则会不同) Task 3: Launching the...
.jpg)
2023-12-11
【SeedLab】格式化字符串实验报告
1 Overviewprintf函数用于根据指定格式打印出字符串,第一个参数诶格式化字符串format string,格式化字符串中使用了%来作为占位符。如果不使用%占位符而是直接将变量放入格式化字符串,则存在格式化字符串漏洞,可能被恶意利用。 2 Environment Setup2.1 Turning of Countermeasure关闭ASLR 12❯ sudo sysctl -w kernel.randomize_va_space=0kernel.randomize_va_space = 0 2.2 The Vulnerable Program漏洞程序如下 format.c:myprintf存在漏洞printf(msg); 1234567891011121314151617181920212223242526void myprintf(char *msg){#if __x86_64__ unsigned long int *framep; // Save the rbp value into framep asm("movq...
.jpg)
2024-10-22
2024 ZJUCTF WriteUp
本次校赛题目质量不错,难度设置比较合适,属于是看到感觉可以试一试的程度。其中*A口算很有趣!强烈推荐!!! MISC小A口算该题目会随机生成20以内的数字比较,可以构造脚本在1分钟内刷够足够分数,从而获取flag exp 123456789101112131415161718192021222324252627282930from pwn import *context(arch='amd64', log_level='debug')# p = process('./arithmetic')p = remote('127.0.0.1', 38981)p.recvuntil("Input your choice:")p.sendline('1')p.recvuntil('Try your best to answer questions as much as possible!\n')for i in range(150): ...
评论