【pwnable.kr】 asm seccomp sadbox & 64位shellcode 读 flag

最新推荐文章于 2023-11-13 17:51:02 发布
最新推荐文章于 2023-11-13 17:51:02 发布
阅读量715 收藏 2
点赞数 1
分类专栏: pwnable.kr pwnable.kr 文章标签: pwnable.kr asm seccomp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/think_ycx/article/details/84337784
版权

image-20181122132244133

题目信息

nc之后查看信息如下。根据readme提示,本关是要求登陆服务器后,nc 9026端口连接asm程序来读flag。flag文件名很长。

image-20181122131906999

看了源码发现程序做了如下操作。mmap了一块内存读取shellcode并执行,开启了seccomp沙箱[1],限制只能使用open read write exit exit_group系统调用。因此本关就是利用这些系统调用来写64位下读flag的shellcode。

可以通过cat /proc/self/status |grep -i seccomp查看当前系统是否打开了seccomp沙箱。

image-20181122131821074

exp

读取flag的shellcode思路如下:

image-20181122132001925

x64的部分系统调用参考[2]。本来自己手写汇编,push 字符串到栈上,再调用pwntools的asm生成机器码。遇到了两个问题:

  • 第一个问题:即使设置了arch为amd64,pwntools asm(push number),number如果超过4字节会报错。用mov再push解决 。
  • 第二个问题:64位下调用系统调用需要用syscall而不是int 0x80。

部分exploit:

image-20181122132047995

image-20181122131444774

PS:这题之前没有调试,间隔了很久才写了wp,感兴趣的可以去做做pwnable.tw上的orw,一个是32位,一个64位,利用思路一样。

此外,以后代码或者输出准备尽量用图片了,虽然占用一点空间,但是读起来舒服一点。

参考

  1. seccomp https://blog.csdn.net/mashimiao/article/details/73607485
  2. syscall x64 http://www.csyssec.org/20161231/systemcall64list/
think_ycx
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.krasm
Jason_ZhouYetao的博客
07-23 551
这题我认为主要考察的知识点一个是沙箱中可用函数还有就是shellcode这个大头问题。 首先看看这道题目的代码: root@kali:~# ssh asm@pwnable.kr -p2222 asm@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | ...
求解一题“获取SHELL并拿到根目录下的Flag
CKT_GOD的博客
04-07 474
Welcome To This Game!目标:获取SHELL并拿到根目录下的Flag
pwnable.krasm
Bill
04-30 2116
一个真正的高手应该学会写shellcode. 首先查看c代码:#include <stdio.h> #include <string.h> #include <stdlib.h> #include <sys/mman.h> #include <seccomp.h> #include <sys/prctl.h> #include <fcntl.h> #include <unistd.h>#defin
pwnableasm
pwd_3的博客
09-27 644
问题描述Welcome to shellcoding practice challenge. In this challenge, you can run your x64 shellcode under SECCOMP sandbox. Try to make shellcode that spits flag using open()/read()/write() systemcalls onl
铁三测评——shellcode
weixin_40980428的博客
03-26 296
打开题目链接出现了一串十六进制字符串(一开始并不知道,然后百度的)这题属于逆向,如果懂逆向和PWN,会写shellcode,可能会顺着它的思路,顺手就写个shellcode出来了。但是写完之后,会发现没法运行,直接崩溃。但是对于我这个小萌新来说,只能从其他思路下手了,既然是十六进制,那就先把他放进十六进制编辑器(这里我用的是010editor),但是需要去除转义字符\x,拷贝后打开HxD,新建一个...
cglib-2.2.jar asm-tree.jar asm-commons.jar asm.jar
06-27
【标题】"cglib-2.2.jar asm-tree.jar asm-commons.jar asm.jar" 提供的是一组用于Java编程的库,它们主要用于实现动态代理和字节码操作。 【描述】"cglib动态代理模式jar包 cglib-2.2.jar asm-tree.jar asm-...
linux安装oracle 11.2.0.4 asm单实例
最新发布
02-05
linux安装oracle 11.2.0.4 asm单实例
Caused by: java.lang.ClassNotFoundException: org.objectweb.asm.Type异常
09-16
在这个特定的场景中,异常堆栈跟踪显示 `Caused by: java.lang.ClassNotFoundException: org.objectweb.asm.Type`,这表明在运行时,系统无法找到`org.objectweb.asm.Type`这个类。`org.objectweb.asm` 是一个用于...
lcd.asm.rar_lcd.asm
09-21
标题中的“lcd.asm.rar_lcd.asm”表明这是一个与液晶显示屏(LCD)编程相关的资源,其中包含一个名为“lcd.asm”的汇编语言源代码文件。汇编语言是计算机编程的基础语言之一,它将机器指令以人类可的形式表示出来...
QD73BV.asm.rar_.asm
09-24
【标题】"QD73BV.asm.rar_.asm" 提供的是一个自动衣物处理设备的遥控系统的程序代码,它以汇编语言编写。汇编语言是计算机编程的基础语言之一,直接对应于机器指令,每条汇编语句几乎都能转换为特定的机器码,对于...
最短shellcode提取方法和测试【原创】
12-13
这是一个windows弹出对话框的shellcode,38个字节 在windows xp sp3下测试 已在vc++6,mingw,cygwin下编译测试
利器!schelper151_shellcode转为64位汇编32位汇编(包密码为123)
02-10
schelper151 包的密码为123,为了防被杀。 shellcode转为64位汇编32位汇编 也可以将64位汇编32位汇编转为各种类型的shellcode,利器!! 例如我要将C语言数组类型的shellcode转化为64位汇编,命令为: schelper.exe -i c.txt -s 0 -d 27 -dp x64 其中把shellcode写到文件c.txt
PWN任务(二)
weixin_44120526的博客
01-02 166
攻防世界String. 首先是检查 可以看到开启了三重保护,是个64位ELF文件。把它放进IDA里反编译看看。 这是主函数,点开它调用的函数会发现这些函数都是一层一层的在调用 具体的都是以上以sub开头的函数,然后我们一个一个函数分析发现在sub_400BB9中有一个格式化字符串漏洞 但不知道有什么用,于是继续往后看可以发现在函数sub_400CA6中,有命令执行的语句,可以直接执行外部输入的命令。 这意味着我们可以让这个语句执行我们的shellcode,然后获取flag.思路就逐渐清晰了,利用格式
Linux x86_64 shellcode的编写
小立仔
07-06 1274
Linux x86_64 shellcode的编写
64位Shellcode方式注入DLL
IT男也疯狂
07-18 731
挟持NTDLL的API进行的远程注入DLL,支持主动启动进程方式加载
64位 SRDI DLL 转换 ShellCode 执行时不加载问题
SugarAndSalt的博客
11-13 210
于是使用 x64dbg 调试看问题到底出在了哪里,经调试发现,程序在运行到 ShellcodeRDI.c 427行时执行了 pSleep 函数,进入睡眠了。执行test.cpp,在命令行得到输出的目标字符串,复制 "Formatted content: " 后面的字符串,粘贴到 Native/Loader.cpp 中 LPSTR rdiShellcode64 = 后面,替换原来的,同时将 test.cpp 中 size= 输出的大小替换 源代码中rdiShellcode64Length的值。
一篇文章彻底清楚shellcode(精品)
weixin_51055545的博客
03-08 8954
shellcode 类题目 文章目录shellcode 类题目1.没开沙箱(此时我们可以系统调用get shell)picoctf_2018_shellcodemrctf2020_shellcode2.开启沙箱(orwflag)gwctf_2019_shellcode 1.没开沙箱(此时我们可以系统调用get shell) (一)32位程序系统调用 32位程序有别于64位程序,32位通过栈传参,我们常用的寄存器有4个数据寄存器(eax,ebx,ecx,edx),2个变址寄存器(esi,edi),2个指针寄
shellcode初步成就
weixin_33742618的博客
01-08 71
    最近一直在学习linux下shellcode的编写,迷茫了很久。因为在实践看书上例子的时候,遇到了难题。一直运行不出结果。前两天突然找出了问题的所在,原来是栈保护机制的问题。GCC编译器、Linux操作系统提供了一些机制来防止缓冲区溢出这种攻击方法对系统产生危害。在Ubuntu和其他基于Linux内核的系统中,目前都采用内存地址随机化的机制来初始化堆栈,这将会使得猜测具体的内存地址变得十分...
linux x64 shellcode,栈溢出攻击系列:shellcode在linux x86 64位攻击获得root权限(二)shellcode...
weixin_42386033的博客
05-12 512
shellcode 是一组指令opcode, 是可以被程序运行,因为shellcode是要直接操作寄存器和函数,所以opcode 必须是十六进制的形式。既然是攻击,那shellcode 主要的目的是调用系统函数,而在x86下 在linux下有两种方式。第一种是通过直接调用中断 int 0x80进入内核态,从而达到调用目的。第二种是通过调用libc里syscall(64位)和sysenter(32位...
ctf pwn题怎么生成64位shellcode
03-25
64位Linux:nasm -f elf64 -o shellcode.o shellcode.asm && ld -o shellcode shellcode.o 64位Windows:nasm -f win64 -o shellcode.obj shellcode.asm && ld -o shellcode.exe shellcode.obj 3. 将机器码转换...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值