PWN题[强网先锋]orw超详细讲解(多解法)

最新推荐文章于 2024-04-20 23:07:57 发布
最新推荐文章于 2024-04-20 23:07:57 发布
阅读量4.2k 收藏 14
点赞数 2
分类专栏: 2021年第五届强网杯 文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/am_03/article/details/120028954
版权

知识点

构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。

\x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00

x64函数调用规则
x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h、g。
保存完参数之后再把函数后面一条指令的地址入栈保存。

解题流程

查看文件类型:
在这里插入图片描述
查看保护机制:
在这里插入图片描述
因为不是FULL RELRO所以就考虑改got表为shellcode地址

IDA64位打开
Main查看伪码:
在这里插入图片描述
查看子程序
在这里插入图片描述
seccomp_init(0LL);
seccomp_rule_add(v1, 2147418112LL, 2LL, 0LL);
做pwn,用seccomp做沙箱保护很常见。有时候seccomp后面会跟一个结构体
seccomp是一类内核里的安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序里禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了。
seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一类安全机制。
在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被

最低0.47元/天 解锁文章
彬彬有礼am_03
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwnable_orw
BengDouLove的博客
04-12 510
这道又是一道seccomp,,这个orw_seccomp函数里面说的傻我看不懂。。。 反正根据套路肯定还是不能用system,,还是通过 open,read,write,来泄露flag文件 写这种shellcode写的方法一个是直接汇编 或者 可以用pwntools里面带的shellcraft pwntools官方文档 其他的没啥可说的,看一下代码 shellcraft: #cod...
PWN 强网杯2020siri
09-21
PWN 强网杯2020siri
强网杯2021 [强网先锋]orw
半岛铁盒的博客
06-29 787
orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 因为不是FULL RELRO所以就考虑改got表为shellcode地址就行了 漏洞点就在于以上两点 令index下标为负数时可以覆盖到其他函数的got表地址 这里选择覆盖掉exit的got表中的地址,因为沙盒的存在,所以需要构造orw的shellcode并覆盖exit的got地址为shellcode 覆盖堆块的申请位置选择在这里 计算一下偏移量 起始点 0x
PWN完整出流程(GCC编译ELF文件,搭建GZ:CTF平台,基于CTF-Xined部署目至GZ:CTF平台)
最新发布
流水不争先,争的是滔滔不绝
04-20 1407
GCC编译C源文件至ELF可执行文件,利用docker搭建开源GZ:CTF赛事平台,基于github开源项目CTF-xined部署pwn至GZ:CTF平台。一次完整实现从C源码开始到目部署平台的pwn全流程详解
pwnable_orw-seccomp沙箱
个人笔记
04-11 716
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);手动生成读取文件shellcode。
pwn中沙盒保护之orw绕过
wangxunyu6的博客
03-09 891
简单来说开启沙盒保护后execve被禁用,也就是说即使我们拿到shell也没有用。我们可以使用seccomp-tools dump指令进行查看。
pwnorw&rop --泄露libc基址,orw
question55的博客
12-04 187
我们先看看程序的保护的情况因为目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
Hgame-2023(前三周pwn解)
weixin_73290593的博客
02-01 1150
hgame,真好玩
做的第一道pwn
LL021101的博客
03-20 1229
步骤 一、使用Ubuntu,对pwn文件进行扫瞄; file语句主要用来看本文件是多少位的,是不是elf文件——ELF文件详解—初步认识_code&poetry的博客-CSDN博客_elf文件,(该链接详细介绍了elf文件的基本结构),图中显示64-bit,意思是64位的文件 checksec命令是用来查看该文件有哪些保护措施。 NX(DEP):数据执行防护 Canary(FS):栈溢出保护 RELRO(ASLR):(地址随机化) PIE(代码地址随机化)...
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1546
pwnable.tw—orw主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一start彻底搞会。 目分析: 照例: 就开了栈保护,虽然都没有什么用。 目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
强网杯2022 pwn解析.docx
12-18
强网杯2022 Pwn解析】 在网络安全竞赛“强网杯”中,Pwn类赛往往考验参赛者对内存安全漏洞利用的理解和技术应用。本涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
bugku pwnlibc
11-06
bugku pwnlibc,pwn3做时可在里面查找system、binsh等
PWN的逆向分析策略.docx
01-10
PWN的逆向分析策略.docx
warmup pwn入门
02-11
pwn入门
BUUCTF:pwnable_orw
qq_44768749的博客
08-27 1525
BUUCTF:pwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
BJD3rd(DASCTF) pwn部分目整理 (oj, stack_chk_fail, __libc_csu_fini, mprotect, init, orw,汇编)
carol2358的博客
05-26 1491
TaQiniOJ-0 #include “/home/ctf/fl ag”@Y Memory Monster I 有canary,利用触发canary时的__stack_chk_fail和目的任意地址任意写,改写__stack_chk_fail为backdoor exp: from pwn import * from LibcSearcher import * local_file = './Memory_Monster_I' local_libc = '/lib/x86_64-li...
orwpwnable_orw和[V&N2020 公开赛]warmup)和 picoctf_2018_rop chain 记录笔记
carol2358的博客
05-21 1347
学到一种新的做法,orw(open,read,write),可以用在system,fork syscall(不能打开子进程,需要在当前进程里读入flag并输出) 和execve被禁的情况下打印出flag,还有seccomp 虽然还不太懂,但先记录一下目前的理解 seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。 著作权归作者所有。商业转
[BUUCTF-pwn]——pwnable_orw   (ORW
Y_peak的博客
03-16 1123
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
pwn解第一道
bluestar628的博客
03-24 1823
今天听说了一个网站pwnable.kr。很适合初学者,就试着做了一道目。 第一道目,按照网页上给的链接,使用putty链接工具联入。 输入ls命令查看文件内容。 很开心的看到了flag文件,于是直接打开,果然不出所料,我是没有权限打开的。然后查看了一下fd.c的代码。 #include #include #include char buf[32]; int main(in

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值