1. 沙盒逃逸
    1. 漏洞挖掘
      1. 文件系统沙盒FSSB存在逃逸:未对SYS_fork做ptrace劫持,导致沙盒的子进程的子进程逃逸。非常简单的洞,就不交了。
      2. 在测试sandboxie对Windows下syscall的过滤机制。目前发现 RtlCloneUserProcess受限,应该是建立了进程树进行统一的管理。[长期推进]
    2. 方法论学习
      1. 基于docker的runC逃逸漏洞CVE-2019-5736原理(以沙盒内root身份凭借/proc/self/exe去篡改容器外的runtime binary)产生了一系列类似的漏洞,firejaillxc等沙盒/容器均存在类似漏洞。[等待复现]
      2. 单独存在的syscall黑名单缺陷常常导致逃逸,但是对系统调用过滤机制的关注多见于UNIX系统中,Windows中通过系统调用实现隔离较为罕见,应当作为之后的关注点之一。
  2. CTF
    1. 上周末的高校战“疫”网络安全分享赛收获颇丰(此处无视一些垃圾题目比如unicorn_sandbox),看到X1cT34m参赛人数多起来,忽然觉得这届学弟做到了我们曾经没有做到的事情,希望X1cT34m在2020年能摆脱第20名的诅咒,早日跻身全国高校强队中。
    2. 笔者单独做了个musl-libc的unlink,题目本身难度不高,关键在于快速摸清堆管理机制。除了size域的inuse位需要注意一下,musl-libc整体堆管理策略大概就是阉割了fastbin和tcache的ptmalloc。
    3. 和cx一起看的hw打得过于复杂,不过两种打法都有借鉴意义:
      1. 学习了下2.29的IO_FILE;
      2. .got.plt段相对低地址处暗藏野指针可作为跳板使用
  3. 接下来
    1. 入门函数式编程
    2. 继续手测sandboxie
    3. Windows系统调用实践
    4. 复现经典的容器/沙盒逃逸