CSAWCTF-2018-pwn-shellcode 题解

最新推荐文章于 2023-11-02 19:35:15 发布
最新推荐文章于 2023-11-02 19:35:15 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: pwn ctf 文章标签: 网络安全 pwn linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A951860555/article/details/110350773
版权
本文详细解析了2018年CSAW CTF比赛中pwn类型的shellcode题目,分析了程序的栈溢出、NX保护关闭等特征,并介绍了利用栈溢出和RWX段来构造shellcode的思路,通过printNode和goodbye函数的栈帧分析,揭示了利用fgets和getline函数限制输入长度的细节,最后给出了wp_shellcode.py求解脚本的一些关键点。
摘要由CSDN通过智能技术生成

Write Up

知识点关键字

栈溢出,shellcode拆分+组装

样本

shellcode样本下载
样本来自2018年CSAWCTF的pwn题目shellcode

运行

检查文件,发现有两个可以利用的点:
  栈溢出保护未开启;
  NX保护未开启,存在RWX段。

$ checksec CSAWCTF-2018-pwn
[*] '/home/fanxinli/pwnSample/CSAWCTF-2018/CSAWCTF-2018-pwn' 
    Arch:     amd64-64-little 
    RELRO:    Full RELRO 
    Stack:    No canary found 
    NX:       NX disabled 
    PIE:      PIE enabled 
    RWX:      Has RWX segments

在linux下启动运行样本程序:
  从程序提示和运行结果可以看出,能够获取输入的地方分为三个节点段:node1、node2和initials部分;好像node.next为node1的下一个节点,且地址为node.next部分对应的输出,node.buffer处打印了node1节点的值。

$ ./CSAWCTF-2018-pwn
Linked lists are great! 
They let you chain pieces of data together. 
 
(15 bytes) Text for node 1: 
a 
(15 bytes) Text for node 2: 
b 
node1: 
node.next: 0x7ffc8306ec30 
node.buffer: a 
 
What are your initials? 
c 
Thanks c

gdb调试:
  可以发现存在RWX段,且栈所在位置就是。
RWX

静态分析

main()
main

分析:
  一个puts函数打印内容,然后是nononode函数,没有明显的漏洞。

nononode() 和 readline()
nononodereadline
分析:
  这里是主要功能的实现点,有v1、v2、v3、v4四个变量,v3是指针类型,指向v1,也就是说v3的值是v1的地址。
  nononode函数中使用了两次readline函数:
  在readline函数中,第一个函数getline的第一个参数为NULL,所以该函数会由操作系统分配一个最大的缓冲区,至少1024吧。所以这里有栈溢出,但由于开启了PIE保护,当程序

最低0.47元/天 解锁文章
__lifanxin
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
利用rsp进行shellcode跳转&&缩短shellcode&&csaw2018_shell_code
azraelxuemo的博客
04-04 489
文章目录csaw2018_shell_code题目分析题目保护漏洞攻击第一块的shellcode栈溢出的shellcodeallpayload 最近做了挺多这种缩短shellcode的题目,其实大概思想就是要利用现有的寄存器条件缩短shellcode,当然还是有一些基础的缩短shellcode的方法,用push pop来替换mov csaw2018_shell_code csaw2018_shell_code 题目分析 题目保护 栈可执行 漏洞 这两个地方可以填入shellcode 这里有个告诉栈地址
[BUUCTF]PWN——ciscn_2019_s_9(汇编代码写shellcode
mcmuyanga的博客
01-28 1568
ciscn_2019_s_9 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行看一下程序大概的情况 32位ida载入,第10行的fgets,能够溢出0x32-0x20-0x4个字节 由于没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode,s在栈上,ida里有一个函数,为我们提供了跳转到栈上的指令jmp esp 现在就一个问题,s大小只有0x20,用下面的shellcode不懂能不能完全写入 context(log_level = 'debu
shellcode题总结
seaaseesa的博客
05-01 1252
shellcode题总结 有时shellcode受限,最好的方法一般就是勉强的凑出sys read系统调用来输入shellcode主体。下面从几个题来加深理解。 starctf_2019_babyshell 现在shellcode字节允许的范围在表内 我们直接用IDA强制转为汇编,我们发现pop rdx、pop rdi、syscall可以用。 而执行shellcode时,正好...
CTF-PWN笔记(一)-- 栈溢出 之 基础ROP
CK_0ff的博客
01-09 4422
文章目录栈linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 栈 栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
虎符CTF2022 —shellcode
qq_54894802的博客
09-21 297
我们进行动态调试,先准备手动脱壳的,脱的时候发现居然有反调试,准备动态调试将反调试的patch但是发现很难脱,脱了半天还在循环,可能太菜的原因(T _ T)。或者记下这个地址,我们使用IDA的附加调试,将IDA附加到程序上,因为程序运行到了打印字符 了,所以壳肯定是解开了。将程序放入X32DBGz中进行分析,我们按F9运行几次,我们就可以运行到我们的OPE之中了。进入之后,我们进行简单的分析可以发现,这个函数实现的是base64加密。看分析还是比较简单,就是将原本程序里面的两端提示,进行加密的。
[GDOUCTF 2023]Shellcode 全网最详细write up
最新发布
qq_41937545的博客
11-02 596
64 位 较短的 shellcode -> 23 字节 \x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f \x05】​。32 位 短字节 shellcode -> 21 字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80。并且没有后门没有system。
CTF-ECHO-200格式化字符串漏洞+shellcode
BadRer的博客
06-01 2283
很开心有成功做了一道格式化字符串,这题我也不清楚是哪次比赛上的,漏洞还是十分的明显,格式化加个shellcode直接搞定。就是这算的比较麻烦一点。 那么直接进入正题咯! 开干!! 首先拿checksec检查一遍(个人习惯哈) 可以看到,开了栈保护,但是NX disabled,说明堆栈可执行,直接上shellcode,也没有PIE。 先试试水。 应该有格式化漏洞。 IDA反汇
ctf编码总结
qq_42764617的博客
05-21 3917
CTF编码 1.ASCII编码: 2.Base64/32/16编码: 3.shellcode编码 4.Quoted-printable编码 5.XXencode编码: 6.UUencode编码: 7.URL编码: 8.Unicode编码: 9.Escape/Unescape编码 10.HTML实体编码: 11.敲击码 12.莫尔斯电码: 13.培根密码 14.MD5加密 16.当铺密码 18.栅栏密码 23.Hex: 1.ASCII编码: (America...
shellcode基本知识(PWN
weixin_51758733的博客
07-15 848
shellcode基本知识(PWN
BUUCTF WEB
qq_43633585的博客
09-28 406
warmup 题目描述 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_.
mrctf2020_shellcode详解
勿山几已
06-09 595
简单演示mrctf2020_shellcode解题步骤
二进制学习(pwn)-shellcode
liulanghouzi的博客
09-21 1589
帮助二进制安全爱好者入门~
强网杯2021CTF 强网先锋shellcode侧信道攻击复现
qq_39948058的博客
08-27 1372
前言:由于个别原因这个比赛忘记参加了,所以赛后挑选了一道测信道攻击的题来进行复现,这个题开启了沙盒,采用测信道爆破flag,大概思路:使用retf切换到32位open来进行open('./flag'),retfq再回到64位的write和read就可以了,此题禁用了open所以使用32位的open,如果禁用了write就使用32位的write,同理,具体代码分析,懂汇编就能看懂这里就不赘述了,参考了别的大佬的exp,大概就是这样写的,至于系统调用号可以参考前篇调用号文章 exp: from pwn i
CTF-PWN练习之执行Shellcode
ChuMeng1999的博客
01-05 1493
目录预备知识一、相关实验二、Shellcode三、执行Shellcode实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之返回地址覆盖》。 二、Shellcode Shellcode指缓冲区溢出攻击中植入进程的恶意代码,这段代码可以弹出一个消息框,也可以在目标机器上打开一个监听端口,甚至是删除目标机器上的重要文件等。 Shellcode通常需要使用汇编语言进
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值