首先了解一下ptrace函数
ptrace即process tracer(进程跟踪),ptrace系统调用是 Linux 提供的一个调试进程的工具,其提供了一种可以观察和控制另一个进程(tracee)的方法,并检查和更改tracee的存储器和跟踪器,主要用于实施断点调试和系统调用跟踪,linux下常见的调试工具GDB原理就是基于ptrace。
ptrace的使用场景如下 编写动态分析工具,如gdb,strace 反追踪,一个进程只能被一个进程追踪(注:一个进程能同时追踪多个进程),若此进程已被追踪,其他基于ptrace的追踪器将无法再追踪此进程,更进一步可以实现子母进程双线执行动态解密代码等更高级的反分析技术 代码注入,往其他进程里注入代码。 不退出进程,进行在线升级
参数1决定了ptrace执行的指令,常见的指令如下
这个结构体里包括了64位架构下的常见寄存器
64位下寄存器的偏移,可以用这个偏移查看相应内存中寄存器的值
详见ptrace使用与调试
有了上面的知识后,我们来解决这道题就不难了
程序很简单,首先获取了当前进程的进程号,然后输出进程号。mmap了一段地址为0x401000、大小为0x1000的可读可写可执行内存并读入shellcode,接着开启沙箱,并关闭了标准输入、标准输出、标准错误,然后执行shellcode 沙箱禁用了socket、connect、bind、listen等系统调用,防止用户向vps服务器上发送flag
本题中最特殊的地方在于给出了进程号pid,然后观察docker可以发现有这么一句
ptrace_scope是一种安全机制,防止用户访问当前正在运行的进程的内存和状态,这种安全机制可以防止一定的安全问题,如恶意附加进程、读取和修改程序内存等。 而上述语句则允许了这种情况,相当于我们可以用ptrace附加到其他进程上,然后实现代码注入,结合本题泄露pid的特点,我们可以在一个程序中启一个ptrace附加调试到一个卡在read系统调用的进程上,然后修改寄存器或内存,使得另一个在读完shellcode之后没有去执行close(0) close(1) close(2),而是直接按照我们设定的路径去getshell,那么就可以轻松拿到flag了
在编写shellcode的过程中,由于一个被附加调试中的进程不能再度被附加调试,我们可以通过获取寄存器的值到某一内存地址,然后通过查看内存地址的相关偏移得到某一寄存器的值,来查看程序的执行情况。
首先attach上对应的进程,控制子进程使得子进程在SYSCALL的入口或出口停下来,wait4等待子进程执行;之后子进程SYSCALL的时候会获取寄存器的值,判断rax是否为0,如果为0则进入下一次循环,这样是为了防止read读取shellcode的过程被破坏;如果不为0,则控制子进程rip为0x401000,使其跳转到0x401000的shellcode上,这样没有执行三个close,直接system("/bin/sh"),然后就可以拿flag了
long
ptrace(enum __ptrace_request request, pid_t pid, void
*
addr,void
*
data);
1
). enum __ptrace_request request:参数执行的行为
2
). pid_t pid: ptrace要跟踪的进程号。
3
). void
*
addr: 存放数据的地址。
4
). void
*
data: 存放读取出的或者要写入的数据。
long
ptrace(enum __ptrace_request request, pid_t pid, void
*
addr,void
*
data);
1
). enum __ptrace_request request:参数执行的行为
2
). pid_t pid: ptrace要跟踪的进程号。
3
). void
*
addr: 存放数据的地址。
4
). void
*
data: 存放读取出的或者要写入的数据。
enum __ptrace_request
{
PTRACE_TRACEME
=
0
,
/
/
被调试进程调用
PTRACE_PEEKTEXT
=
1
,
/
/
从内存addr处读取一个字节
PTRACE_PEEKDATA
=
2
,
/
/
查看内存addr处的一个字节
PTRACE_PEEKUSER
=
3
,
/
/
查看struct user 结构体的值
PTRACE_POKETEXT
=
4
,
/
/
查看内存addr处一个字大小的内存(
4
字节)
PTRACE_POKEDATA
=
5
,
/
/
修改内存addr处一个字大小的内存(
4
字节)
PTRACE_POKEUSER
=
6
,
/
/
修改struct user结构体的值
PTRACE_CONT
=
7
,
/
/
被调试进程pid继续
PTRACE_SINGLESTEP
=
9
,
/
/
被调试进程pid执行一条汇编指令
PTRACE_GETREGS
=
12
,
/
/
获取寄存器(struct user_regs_struct)到内存data中
PTRACE_SETREGS
=
13
,
/
/
设置内存data上的数据为寄存器(struct user_regs_struct)
PTRACE_ATTACH
=
16
,
/
/
附加进程pid
PTRACE_DETACH
=
17
,
/
/
解除附加进程pid
PTRACE_SYSCALL
=
24
,
/
/
让被调试进程pid在系统调用入口或出口停止
};
long
int
ptrace (enum __ptrace_request __request, ...)
enum __ptrace_request
{
PTRACE_TRACEME
=
0
,
/
/
被调试进程调用
PTRACE_PEEKTEXT
=
1
,
/
/
从内存addr处读取一个字节
PTRACE_PEEKDATA
=
2
,
/
/
查看内存addr处的一个字节
PTRACE_PEEKUSER
=
3
,
/
/
查看struct user 结构体的值
PTRACE_POKETEXT
=
4
,
/
/
查看内存addr处一个字大小的内存(
4
字节)
PTRACE_POKEDATA
=
5
,
/
/
修改内存addr处一个字大小的内存(
4
字节)
PTRACE_POKEUSER
=
6
,
/
/
修改struct user结构体的值
PTRACE_CONT
=
7
,
/
/
被调试进程pid继续
PTRACE_SINGLESTEP
=
9
,
/
/
被调试进程pid执行一条汇编指令
PTRACE_GETREGS
=
12
,
/
/
获取寄存器(struct user_regs_struct)到内存data中
PTRACE_SETREGS
=
13
,
/
/
设置内存data上的数据为寄存器(struct user_regs_struct)
PTRACE_ATTACH
=
16
,
/
/
附加进程pid
PTRACE_DETACH
=
17
,
/
/
解除附加进程pid
PTRACE_SYSCALL
=
24
,
/
/
让被调试进程pid在系统调用入口或出口停止
};
long
int
ptrace (enum __ptrace_request __request, ...)
struct user_regs_struct
{
__extension__ unsigned
long
long
int
r15;
__extension__ unsigned
long
long
int
r14;
__extension__ unsigned
long
long
int
r13;
__extension__ unsigned
long
long
int
r12;
__extension__ unsigned
long
long
int
rbp;
__extension__ unsigned
long
long
int
rbx;
__extension__ unsigned
long
long
int
r11;
__extension__ unsigned
long
long
int
r10;
__extension__ unsigned
long
long
int
r9;
__extension__ unsigned
long
long
int
r8;
__extension__ unsigned
long
long
int
rax;
__extension__ unsigned
long
long
int
rcx;
__extension__ unsigned
long
long
int
rdx;
__extension__ unsigned
long
long
int
rsi;
__extension__ unsigned
long
long
int
rdi;
__extension__ unsigned
long
long
int
orig_rax;
__extension__ unsigned
long
long
int
rip;
__extension__ unsigned
long
long
int
cs;
__extension__ unsigned
long
long
int
eflags;
__extension__ unsigned
long
long
int
rsp;
__extension__ unsigned
long
long
int
ss;
__extension__ unsigned
long
long
int
fs_base;
__extension__ unsigned
long
long
int
gs_base;
__extension__ unsigned
long
long
int
ds;
__extension__ unsigned
long
long
int
es;
__extension__ unsigned
long
long
int
fs;
__extension__ unsigned
long
long
int
gs;
};
struct user_regs_struct
{
__extension__ unsigned
long
long
int
r15;
__extension__ unsigned
long
long
int
r14;
__extension__ unsigned
long
long
int
r13;
__extension__ unsigned
long
long
int
r12;
__extension__ unsigned
long
long
int
rbp;
__extension__ unsigned
long
long
int
rbx;
__extension__ unsigned
long
long
int
r11;
__extension__ unsigned
long
long
int
r10;
__extension__ unsigned
long
long
int
r9;
__extension__ unsigned
long
long
int
r8;
__extension__ unsigned
long
long
int
rax;
__extension__ unsigned
long
long
int
rcx;
__extension__ unsigned
long
long
int
rdx;
__extension__ unsigned
long
long
int
rsi;
__extension__ unsigned
long
long
int
rdi;
__extension__ unsigned
long
long
int
orig_rax;
__extension__ unsigned
long
long
int
rip;
__extension__ unsigned
long
long
int
cs;
__extension__ unsigned
long
long
int
eflags;
__extension__ unsigned
long
long
int
rsp;
__extension__ unsigned
long
long
int
ss;
__extension__ unsigned
long
long
int
fs_base;
__extension__ unsigned
long
long
int
gs_base;
__extension__ unsigned
long
long
int
ds;
__extension__ unsigned
long
long
int
es;
__extension__ unsigned
long
long
int
fs;
__extension__ unsigned
long
long
int
gs;
};
/
*
These regs are callee
-
clobbered. Always saved on kernel entry.
*
/
/
*
*
On syscall entry, this
is
syscall
*
On hw interrupt, it's IRQ number:
*
/
/
*
Return frame
for
iretq
*
/
/
*
top of stack page
*
/
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2023-1-5 15:02
被CatF1y编辑
,原因: 添加附件
上传的附件: