妈呀普天同庆，终于过了啊啊啊啊啊【尖叫】【阴暗爬行】orw原理就是有两个函数可以控制函数禁用prtcl()和seccomp()prctl#include<sys/prctl.h>intprctl(intoption,unsignedlongarg2,unsignedlongarg3,unsignedlongarg4,unsignedlongarg5);//主要关注prctl()

open(file,oflag)file要读取的文件名（通常是“flag”或“flag.txt”）（还有'/flag'和'./flag'????）oflag何种方式打开文件（通常设置为0，即以默认方式打开，一般来说都是只读）返回值一个文件描述符read&write(fd,buf,n_bytes)fd文件描述符，决定函数操作read(3,buf,n_byte

我们先看看程序的保护的情况因为题目提示了orw，我们可以沙箱检测一下可以发现是禁用的execve函数的，接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址，先确定一下参数位置可以发现参数是在第六个位置，接下来就是构造ROP，调用read函数读取shellcode到mmap开辟的

还是先查一下程序保护情况然后看一下代码逻辑可以发现这里的代码还是挺多的，这里讲一下几个关键部分，首先是开头的addr=(__int64)mmap(0LL,0x1000uLL,7,34,-1,0LL);将addr这个地址开始的地方变成rwx权限，我们看一下这个地址是哪里发现addr位于bss段中，接着看一下menu函数

先查看程序的保护状态可以看到，保护全开，拖进ida看主函数的逻辑可以看到有个mmap函数：mmap()函数是Unix和类Unix操作系统中的一个系统调用，用于在进程的地址空间中映射文件或者其它对象。这样做的好处是可以让文件直接映射到内存中，从而避免了频繁的文件I/O操作，提高了文件的读

tcachestashingunlinkattack实现的效果和unsortedbinattack有点相似，可以向任意地址写一个较大的数如果构造合理，还可以实现任意地址分配chunkmalloc.c:line3635if(in_smallbin_range(nb)){idx=smallbin_index(nb);bin=bin_at(av,idx);

houmt最近没有什么时就想着复现一下winnt师傅的awdp，不得不说winnt师傅真强，大一出的题就这么难泄露地址这个show中打印规则每次打印一个字节且是经过两次异或后的及结果，也可以是看作一次异或，因为第二次异或是和0异或，第一次异或是和下一个字节，也就是说如果heap中存放的数据是0

GLIBC2.36中利用obstack去劫持执行流作者没有起名字，可能就是跟houseofapple太相似了，就是roderick师傅提出的houseofapple中没有发现的一个链，个人感觉就是houseofapple跟houseofbanana的一个结合(说实话这两个我已经快忘了怎么用的了所以会将这个攻击封装成几个函数以应

orw（沙箱逃逸）现在有很多程序在运行时禁用了系统函数，均采用了沙箱技术开启了沙箱保护，我们不能正常的getshell，只能用ROP链来调用其他的函数，例如read，write来把flag打印出来。

在以下界面进入root密码破解界面mount-orw,remount/sysrootchroot/sysrootecho123|passwd--stdinroottouch/.autorelabelexitexit

前言：下面的rdx就是read(1,buf,n)中的n，这个值太大或者太小都没办法正常读。所以分两种大情况：orw：（64bit，34字节，针对需要调整rdx的情况：）shellcode=asm('''movedx,0x6761