沙箱绕过

沙盒逃逸

prctl 函数

#include <sys/prctl.h>  
int prctl(int **option**, unsigned long arg2, unsigned long arg3, unsigned long arg4, unsigned long arg5);

CTF中一般只关注两种option：PR_SET_NO_NEW_PRIVS(38)和PR_SET_SECCOMP(22)：

prctl(38, 1LL, 0LL, 0LL, 0LL)表示禁用系统调用

option为22时，表示可以设置沙箱规则
如果arg2为SECCOMP_MODE_STRICT(1),则只允许调用read,write,_exit(not exit_group),sigreturn这几个syscall。

如果arg2为SECCOMP_MODE_FILTER(2) 则为过滤模式,其中对syscall的限制通过arg3的结构体，来自定义过滤规则。

seccomp 函数

基于prctl系统调用的机制不够灵活，这个库可以提供一些函数实现prctl类似的效果，库中封装了一些函数，可以不用了解BPF规则而实现过滤。

scmp_filter_ctx是过滤器的结构体类型

seccomp_init对结构体进行初始化
若参数为SCMP_ACT_ALLOW，过滤为黑名单模式，即没有匹配到规则的系统调用将被默认允许；
若参数为SCMP_ACT_KILL ，过滤为白名单模式，即没有匹配到规则的系统调用都会杀死进程，默认不允许所有的syscall。

seccomp_rule_add是添加一条规则。

查看规则

总而言之，无论通过何种办法实现的沙箱，都可以通过seccomp-tools来查看其规则

$ seccomp-tools dump ./rctf_2019_babyheap 
 line  CODE  JT   JF      K
=================================
 0000: 0x20 0x00 0x00 0x00000004  A = arch
 0001: 0x15 0x01 0x00 0xc000003e  if (A == ARCH_X86_64) goto 0003
 0002: 0x06 0x00 0x00 0x00000000  return KILL
 0003: 0x20 0x00 0x00 0x00000000  A = sys_number
 0004: 0x15 0x00 0x01 0x00000029  if (A != socket) goto 0006
 0005: 0x06 0x00 0x00 0x00000000  return KILL
 0006: 0x15 0x00 0x01 0x0000003b  if (A != execve) goto 0008
 0007: 0x06 0x00 0x00 0x00000000  return KILL
 0008: 0x15 0x00 0x01 0x00000039  if (A != fork) goto 0010
 0009: 0x06 0x00 0x00 0x00000000  return KILL
 0010: 0x15 0x00 0x01 0x0000009d  if (A != prctl) goto 0012
 0011: 0x06 0x00 0x00 0x00000000  return KILL
 0012: 0x15 0x00 0x01 0x0000003a  if (A != vfork) goto 0014
 0013: 0x06 0x00 0x00 0x00000000  return KILL
 0014: 0x15 0x00 0x01 0x00000065  if (A != ptrace) goto 0016
 0015: 0x06 0x00 0x00 0x00000000  return KILL
 0016: 0x15 0x00 0x01 0x0000003e  if (A != kill) goto 0018
 0017: 0x06 0x00 0x00 0x00000000  return KILL
 0018: 0x15 0x00 0x01 0x00000038  if (A != clone) goto 0020
 0019: 0x06 0x00 0x00 0x00000000  return KILL
 0020: 0x06 0x00 0x00 0x7fff0000  return ALLOW

绕过方式

1. 禁用了execve或者system

   通过 open read write 来读取flag
   example： 高校战疫的 lgd

2. 禁用了 open，write，read

   openat，所以直接 调用openat，然后除了 read，write，其实还有两个readv，和writev，这些就能绕过限制读取flag,有些连openat都禁用的可以 ptrace 修改syscall

   example： zer0pts CTF2020的sycall kit

3. 控制了 open，write，read的参数

   具体问题具体分析，参数肯定有可以绕过的方式

4. 如果没有 if (A != ARCH_X86_64) 这个可以同32位的shellcode绕过过，具体的可以参考下 SCTF2020里面的CoolCode ,利用 retfq 切换到32模式，来执行指令