某大学信息安全竞赛——shellcode1 绕过strlen检查,绕过沙箱检查,执行orw shellcode拿到flag

已于 2023-05-15 17:48:11 修改
阅读量1.1k 收藏 6
点赞数 2
文章标签: 安全 pwn 沙箱 orw shellcode
于 2023-05-14 23:59:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/130674399
版权

题目自取:

链接:https://pan.baidu.com/s/1HrMqh-lX-mkfueVeLzoEJg 
提取码:oyel

介绍下这可恶的沙箱机制

这是一道非常让人蛋疼的题目,之前我只听说过沙箱,但是并没有自己实际接触过沙箱这个保护机制,大概作用就是开了沙箱之后,会禁用掉某些函数,一旦我们使用了这个函数,比如我们在栈溢出构造ROP,或者写入shellcode执行时,只要含有这些函数,这个程序就会崩掉,这题目就开了沙箱。

之前我有个疑问,这里明明没有exevce函数的引用,为什么我用pwntools工具写的 shellcode = asm(shellcraft.sh())或者网上抄来的execve(binsh)都不能打通呢??

这非常让人恼火,难道seccomp-tools错了???

后来问了学长才知道,原来是因为seccomp-tools这玩意它会显出所有可以用的,但是貌似不能用的不会完全显现,所以我们这里可以看到,这里只允许了orw的使用,其实很明显了,就是要写orw的shellcode去把flag拿出来。

反编译看看

ok,我们开始,首先放到IDA看看咋回事

 沙箱之前我们已经分析过了,这里就不细说了,就是主函数的思路也非常简单,就是拿一块内存buf,然后让你输入shellcode,然后判断长度,如果小于等于5字节,就执行shellcode,否则报错gameover。

显然5字节的shellcode玩个毛,几个基本的汇编指令就已经不止5字节了,很明显我们要绕过这个strlen检测,然后我在网上冲浪的时候发现了一个好文,这里贴一下

我想过绕过strlen函数,但是我都是在shellcode前面直接加\x00\x00的,发现这是行不通的,就很淦也让我产生疑问,这究竟是为什么呢??

我们来调试下
这是填入\x00\x00的情况
 

很明显它call了个寂寞,里面没指令,所以报错了
但是如果我们换成了 asm('xor eax,0x4141' 的话,我们可以看看啥情况。

 可以看到,这个414135即为指令xor eax,0x4141,这就做到了两点,一是绕过了strlen检测,二是call rdx的时候是有指令的,不会导致程序崩溃.

那由于沙箱把我们的execve函数禁用了,所以我们用pwntools生成的 asm(shellcraft.sh())或者网上抄来的execve(binsh)都不能打通,因为它们本质上都是调用exevce函数。

所以我们只能用orw shellcode去拿flag了,这种shellcode虽然不能拿到shell,但是可以打开flag文件,然后输出里面的内容,具体咋写这种shellcode呢?我们还是可以利用pwntools自带的功能,这里推荐一篇博客(3条消息) orw_shellcode_模板_orw的shellcode_huzai9527的博客-CSDN博客

#pwntools
shellcode = ''
shellcode += shellcraft.open('./flag')
shellcode += shellcraft.read(3,'rsp',0x100)
shellcode += shellcraft.write(1,'rsp',0x100)
payload1 = asm(shellcode)

 但是注意注意!!!这里不是'esp',而是‘rsp’,而且read的系统调用号是3,
修改一下就可以拿到shell啦

cccsl_
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
通过用shellcode获取shell
bestpotato的博客
10-08 830
通过用shellcode获取shell 题目来源 题目要求:用pwntools生成shellcode进而获取shell权限夺得flag 题目解题大概思路 下载题目文件 在终端运行程序,查看题目文件类型和保护机制 用对应位数的IDA来打开题目文件 看题目的条件和内容 写python文件 运行python文件得到flag 1.终端运行程序,查看题目文件类型和保护机制 运行文件(好像不能输入数据) 度娘一下: 出现段错误简单来说就是访问到了不该访问的内存 这些内存不属于用户态的权限范围 查看文
Bugku ——ereg正则截断 真•小白理解 与strlen函数问题
Shen__Kong的博客
09-24 978
Bugku ——ereg函数绕过strlen函数问题 题目地址:http://123.206.87.240:9009/5.php 注:本人认为strlen函数&&逻辑符号哪里有问题。 这题很简单不过很有意思的,它做了很多条件判断,首先要知道在PHP语言中有很多内置判断的函数遇到“数组”时会返回NULL。 说点PHP小知识点:关于PHP对逻辑判断符号“”,当它遇到: nullfal...
[0CTF 2016]piapiapia 反序列化逃逸/数组逃脱strlen
qq_54929891的博客
03-16 237
打开后就是一个登录框界面,不过我直接dirsearch扫一下后台,我怀疑它想混淆视野,其实根本不是注入 扫到一个www.zip,下载下来看一下 根据看函数的功能,可以知道重要文件是class.php,profile.php,update.php,config.php这四个文件 //config.php <?php $config['hostname'] = '127.0.0.1'; $config['username'] = 'root'; $config['password']..
[BUUCTF]PWN——starctf_2019_babyshell(有限制的shellcode)
mcmuyanga的博客
03-23 869
starctf_2019_babyshell 例行检查,64位程序,开启了nx main函数,往buf里写入shellcode,然后程序会执行shellcod sub_400786(),这个函数会对我们输入的shellcode进行检查 检查的时候*i即可退出,可以使用\x00来绕过。 ...
md5加密相等绕过
weixin_30950887的博客
06-25 3155
1、题目地址 2、点击题目地址 3、这里会让你输入变量a 我们输入?a=s1091221200a 按回车 4、成功得到flag 原理: PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0, 所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。 ...
JsLoader:js免杀shellcode绕过杀毒添加自启
05-05
【JsLoader:js免杀shellcode绕过杀毒添加自启】 JsLoader是一种恶意软件技术,它利用JavaScript代码来加载和执行恶意payload,目的是在用户计算机上绕过反病毒软件的检测并实现持久化。JavaScript由于其普遍存在...
加密shellcode绕过AV.zip
03-23
因此,“加密shellcode绕过AV”成为了一个重要的技术手段,以提高恶意软件的生存能力和隐蔽性。 加密shellcode的主要目的是混淆其原始内容,使其在传输和存储时难以被AV引擎识别。这一过程通常包括以下几个步骤:...
DripLoader:用于绕过基于事件的注入检测 (PoC) 的 Evasive shellcode 加载程序
07-24
(这里的清理版本: : )DripLoader (PoC) 用于绕过基于事件的注入检测的 Evasive shellcode 加载器,而不必抑制事件收集。 该项目旨在突出事件驱动注入识别的局限性,并表明 EDR 中需要更高级的内存扫描和更智能的...
记一次绕过火绒安全提权实战案例1
08-03
绕过火绒安全提权实战案例1 绕过火绒安全提权实战案例1是指在 Windows 2008 R2 服务器上,绕过火绒安全软件的限制,获取服务器权限的实战案例。该案例中,服务器上安装了多种安全防护软件,包括火绒、护卫神、安全...
基于python pyd的shellcode免杀绕过+源代码+文档说明
最新发布
12-01
根据目前的测试效果,可以绕过360和火绒。 -------- 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! <项目介绍> 1、该资源内项目代码都经过测试...
php绕过
qq_74071644的博客
11-29 910
PHP中==是判断值是否相等,若两个变量的类型不相等,则会转化为相同类型后再进行比较。当MD5加密后以0E开头的字符他们==判断相等。
PHP弱类型及绕过方式(二)
qidiandexiaowu
05-04 1579
继续!!! 目录: 0×01.md5加密相等绕过 0×02.十六进制与数字比较 0×03.ereg正则%00截断 0×04.strpos数组绕过 0×01.md5加密相等绕过 <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' &&am...
Pwn_BUUCTF
Trick的博客
11-08 674
Pwn_BUUCTF1.test_your_nc2.ripIDA查看写脚本 1.test_your_nc 直接 nc cat flag 直接出flag,白给题 2.rip IDA查看 拉文件进 IDA 看main: 直接进 gets 找 s 发现偏移:0xF + 8 写exp paylode=a*(0xF+8) 回到 IDA 看到 “/bin/sh” 的地址 :40118A 写脚本 完整exp from pwn import * p=remote('node3.buuoj
【无标题】
qq_60518252的博客
02-09 266
13.open_basedir()绕过 1,open_basedir可将用户访问文件的活动范围限制在指定的区域,通常是其家目录的路径,也 可用符号"."来代表当前目录。 2,注意用open_basedir指定的限制实际上是前缀,而不是目录名。 举例来说: 若"open_basedir = /dir/user", 那么目录 "/dir/user" 和 "/dir/user1"都是 可以访问的。 3,所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。例如设置成: ,"open_basedir =.
模拟实现strlen、strcpy、strcat、strcmp长度不受限制的字符串函数
cottonrose_orange的博客
08-08 887
模拟实现strlen函数 模拟实现strcpy函数 模拟实现strcat函数 模拟实现strcmp函数 模拟实现strlen函数 实现strlen函数有三种方法:递归实现、非递归实现、指针-指针实现。 int my_strlen(const char *str) my_strlen函数有一个参数类型为const char*的形参,作为接收要计算的...
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1513
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
buuctf刷题记录(一)
qq_43571856的博客
08-03 365
vn_pwn_warmup 开了nx和pie 这里给了puts的地址,可以得到libc的基地址 只有这里有个溢出点能溢出0x10个字节 原本的想法是直接用one_gadget来获得shell 但是一直都打不通,由于开了pie也没法本地调试 后来看了大佬的题解,才知道这个题禁用了execve。现在也不知道从哪里看出来的。 对于这种禁用execve或者没法使用system直接getshell的题。 我们可以使用orw来做。 可以把paylaod写到这里 然后在跳到这里执行 但是这个题没法用题目文件里的r
PHP函数绕过
慎铭的博客
02-17 523
md5()   md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。如需计算文件的 MD5 散列,请使用 md5_file() 函数。 语法 md5(string, raw) - string 不可缺省。规定要计算的字符串 - raw 可缺省。规定十六进制或二进制的输出格式: - TRUE - 原始 16 字符二进制格式 - FALSE - 默认。32 字符十六进制数 - 返回值 如果成功则返回已计算的 MD5 散列,如果失败则返回 FA
SHCTF 2023 [WEEK 2] PWN
Xzzzz911的博客
11-01 509
第二周对比第一周难度提高了些,开始要熟悉做pwn的技巧手法了,有些东西不是很好理解,其他佬的WP也没有详细的解释,都默认是常识,弄得我云里雾里,还得多做题目,自己总结,加油加油!!!
网络安全基础:从 HelloWorld 到 Shellcode 分析
"网络安全课程ppt全套,第一章 网络安全概述,由计算机科学与技术学院的陈兵赵彦超主讲,涵盖了网络安全的基本概念和相关编程示例。" 网络安全是信息技术领域的一个核心组成部分,它涉及到保护网络系统、数据和用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值