ciscn_2019_s_9
Shellcode 栈溢出
首先checksec一下,看一下大概内容:
IDA打开之后,发现有一个后门函数hint,逻辑如下:
使用此函数的时候,执行esp里面的内容(使用了jmp),我们不需要这些上面什么乱七八糟的东西,我们只需要.text里面的0x08048554的jmp esp就行了。先记下来这是我们可以利用的漏洞。
然后这里是程序唯一一个输入口,也就是说大概率这里有漏洞: 他首先可以让我输入32h的内容,不过通过伪C代码(其实汇编也能看到),这个字符串的长度只有24。也就是说可以构造栈溢出,这个就很简单了。那么我现在构造含有shellcode这样的一个payload:
所以说,大概代码如下:
1 | from pwn import* |
如果直接用shellcraft.sh()的话,生成出来的shellcode就太大了,会超过程序给我们的栈可用长度(38字节)
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Kanyo’s Blogs!
给我来杯咖啡
个人微信
相关推荐
2025-07-25
[NewStarCTF 2023 公开赛道]shell code revenge
特殊shellcode https://buuoj.cn/challenges#[NewStarCTF%202023%20%E5%85%AC%E5%BC%80%E8%B5%9B%E9%81%93]shellcode%20revenge 这道题有点像我之前做过的mrctf的shellcode的revenge。不过范围不一样。 大概看一下,把所有的大写字母和数字都排除在外了,意思是只要输入大写字母和数字就不会被break——跳出。 所以我们要创造一个只有大写字母和数字的shellcode? 然后我也懒得checksec了,而且用的是rsp——也就是64位。开了一些保护啥的,反正jumpout到的66660000h这个地址在上面的mmap里面写入了权限’7’(第三参数),也就是可读可写可执行。 整个代码的逻辑是:出现Show me your magic之后,进入一个for循环,for循环一开始会有一个read让我们输入数据,因为是一个char类型指针buf,每次读取一个值。然后下面的strncpy()会把我们一个一个输入的buf存到src里面的src复制到我们的0x6666000...
2025-07-25
mrctf2020_shellcode
类型:pwn、shellcode https://buuoj.cn/challenges#mrctf2020_shellcode 首先检查文件 大概了解情况之后,根据题目标题,我大概知道是shellcode,然后打开IDA查看一下代码长啥样。 一整个流程是这样的,然后F5也没有办法正常反编译成伪C。 整个使用流程大概如此。 再回到汇编,在输出之后可以让我读取值。因为call了read函数 123456#include <unistd.h>ssize_t read(int fd, void *buf, size_t count);//其中,fd是文件描述符//buf是指向数据将被读取的缓冲区的指针//而count是期望读取的字节数//当调用read函数时,它会尝试从fd指向的文件中读取count个字节的数据到buf所指向的内存中。如果读取成功,函数返回实际读取到的字节数;如果读取到文件末尾或没有可读取的数据,函数返回0;如果发生错误,则返回-1,并将错误代码存入errno中。 这边题目给了不少备注,在程序的一开始用了一个buf什么-410h,这个就是rb...
2025-07-25
mrctf2020_shellcode_revenge
类型:shellcode 字符审查 https://buuoj.cn/challenges#mrctf2020_shellcode 一如既往的checksec 打开ida之后我们发现图形化反汇编mian函数里面有很多的跳转。我们直接F5,会报错,说call rax这一行有问题。我们直接右键未定义即可。 看起来是一堆if字符检测,我们拿出离散数学的知识和ASCII码表对照一看就会快速发现这是一个把所有的非字母、非数字常规文本字符给去掉了。只有“qwertyuiopasdfghjklzxcvbnm QWERTYUIOPASDFGHJKLZXCV BNM 1234567890”这些字符。 然后原理和mrctf2020_shellcode一样,读入什么执行什么。 我们可以用alpha3工具来帮我们生成这个shellcode:alpha3.py ok了,然后我们就得到64位的shellcode字符串化的串为: 1Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2O2u2E0Z7m0n7m0R0b2x2o0Y102...
2025-07-25
pwnable_orw【有问题】
Shellcode、ORW https://buuoj.cn/challenges#pwnable_orw 首先checksec 32位系统下,栈可执行,有金丝雀。看一下代码: 代码相当简单,有一个seccomp的初始化,然后read了一个shellcode(字符串),然后以shellcode字符串的地址直接在栈上执行。根据题目叫做pwn able orw,也就是一道考察ORW syscall的题目。 查看一下seccomp启用呢? 启用了open、read、write和exit,还有一个什么sigreturn和rt_sigreturn,和一个架构。 之前写过类似的题目,详细记录在这:shellcode1_dahuan02 不过这个是32位系统的,我们按照32位做一个ORWshellcode就可以了 1234567891011121314151617181920212223242526272829303132333435from pwn import *# r = process("./orw")r = process('./orw...
2025-07-25
easy-shellcode
类型:shellcode、栈溢出 https://www.qsnctf.com/ 题目叫做:Easy_Shellcode 输入然后栈中执行,一开始的时候会输出v4的地址。 PIE每次会随机地址,但是按照人类逻辑的最前面三位不动。通过0x7ff将后面的值全部获取。再return到这里执行shellcode即可。 exp: 123456789101112131415161718192021222324from pwn import *context(log_level = 'debug', arch = 'amd64', os = 'linux')ip='challenge.qsnctf.com'port=34976file_addr = './easy-shellcode'p = remote(ip,port)# p = process(file_addr)elf = ELF(file_addr)v4_addr=int(p.recvline()[2:],16)print(...
2025-07-25
shellcode1_dahuan02
Shellcode、ORW 依旧是大欢老师给的shellcode题目。 checksec一下,里面大概是这样的。 一些保护其实可以通过逆向后的代码看出来。不过我们依旧按照正常流程走一遍就好了,也花不了什么时间,就是大概了解一下。 直接看代码: 我们在编译main函数的时候会触发一个问题,他说这个0x40133B这一行(也就是call rdx)这里有问题。我们先看一下这几句话吧。 这边大概可以看到,在read函数之后,程序有一个jle指令(jle是jump if less or equal,小于等于时候跳转),也就是跳转。跳转到下面之后会报一个stack_chk_fail的错误,也就是什么栈检测报错。反正我们就把它当作一个栈保护就行了,也就是说我们最好不要跳转。再回到上面报错的这一行,是一个call rdx…也就是执行rdx里面的内容。 怪不得报错呢,因为这一行直接执行相当于一个call指令,但是没有call任何的函数,而是一个寄存器,所以我们没有办法把他反编译成伪C里面的“调用了什么函数”如此这般的写法。 所以我们选中这一句call rdx,右键给他暂时不反编译就好了:...
