Pwnable.tw WP

最新推荐文章于 2023-09-22 09:54:04 发布
最新推荐文章于 2023-09-22 09:54:04 发布
阅读量853 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AlexYoung28/article/details/81805835
版权

Pwnable.tw start

我们分析上图程序的汇编代码:

上图中的第一个方框,其实是将 : Let's start the CTF:  这句字符串压进栈;

第二个方框:其实是 system_write()函数, 参数中 fd =1, 说明是标准输出,也就是将 字符串打印输出在屏幕上;

第三个方框: 其实 标准输入函数,允许输入的长度是 3ch 也就是 60个字节; 但是buffer的长度却只有 14h 也就是20, 所以这里存在明显的 栈溢出漏洞,我们可以通过覆盖返回地址劫持程序流程。

接下来我们的思路,其实就是将我们的shellcode输入栈中,更改返回地址为我们的shellcode的首地址,执行我们的shellcode。

我们首先执行程序,输入20个字节,查看栈的变化:

从上图中,我们可以看到我们输入 12345678901234567890   20个字节后,此20个字节的后面的位置就是返回地址的位置,而返回地址下面一个地址是什么呢?我们查看程序 ret 后的指令是 pop esp, 也就是 esp 的地址。

那么我们输入的格式如下: 20*a + shellcode首地址 + 4*a+shellcode

那么接下来,我们的目的是获得shellcode的首地址,我们再看上图中的程序:

此处是,标准输出函数,我们发现输出buffer的首地址是 ecx = esp, 也就是 输出首地址是esp, 如果我们将返回地址更改为此处地址,再次执行标准输出函数,那么我们就能将esp的地址打印出来,然后我们就可以通过计算偏移,获得shellcode的首地址。

exp如下:

calc

此题算是目前为止,我做的非常有难度的题了,谁让我菜呢?看了别人的wp,来加强一下自己的理解。

程序的主函数,十分好理解,我们来看一下这个calc() 函数。

calc函数中主要的四个函数的功能分别如下:

bzero()函数对 s 初始化为0, s 的大小是 0x400h 即1024字节。

get_expr()函数对输入的 表达式进行读取,其中将非法字符进行了过滤,只保留了数字和运算符,内部如何实现我们不关心。

init_pool()函数,也是一个初始化函数,对v1进行初始化,v1的作用我们接下来会讲解。

parse_expr()函数,是本程序的关键,主要是对读入的算式进行计算,我们跟进查看一下。

parse_expr()函数首先是一个大循环对读入的数据以此进行判断处理。

先对输入的每个字符 - 48与9比较,主要是为了判断是否是 运算符,若不是进入if。 然后判断输入的是否为0,若是,程序退出。

若不是,

就将当前输入存储在另一个buffer中,此处我将名字更改为num。记住这个num 将会存储每次输入的数字,并且由count计存储了多少个。存储的规则如下:  num[0] = count,  每多读入一个数值,那么 就根据 count ++ , num[count] = 数值。     如我们输入  3+2, 则num 中 num[0]就会存储count的值为2, num[1] 存储3, num[2]存储2。  若我们输入  1+2+3, 则 num[0] 存储count的值为3,num[1] 为1, num[2] 为2,num[3] 为3。

当我们读入当前输入符为运算符时,判断他的下一个是否是运算符,若是则报错。

此处当我们读入了两个运算符就要先将前面的计算一次了。其中 num为存储的 数字,  s中存储的是 运算符。  如我们 输入 1+2+3, 读完1+2, 在读到+时, 程序就会先计算1+2, 之后再继续读取后面的符号。

我们跟进eval()中查看一下。

从上图中,我们可以很简单的知道他的运算逻辑,我们唯一需要注意的是,在这里,他将每一次运算的结果都存储在了 num[1]的位置。 我们知道这几个运算符都是二目运算符,也就是 num[0] 中count的值将会永远为2, 那么 num[num[0] - 1] = num [2 - 1 ]= num[num[0] - 1] + num[ num[0] ] = num[2-1] + num[2]

这里就存在一个程序漏洞。 

试想,如果我们可以将num[0] 的值更改, 那么 我们是不是就可以 将 运算得到的值 存储在 栈中 任意的位置上。

那么我们接下来,来看一下 num[0] 的值,是怎么来的。

我们看到这里,当我们输入的第一个操作数是数值时,那么 count 也就是 num[0] 的值就会开始 +1 。 那么如果我们从刚开始输入的第一个操作数不是数值,那么  count的 值就仍然为0。 

如果我们输入+350,那么程序读入之后 num中存储的值分别是:  num[0] = 1,  num[1] =350

那么: num[ num[0] - 1] = num[0] = num[ num[0] -1] + num[ num[0]] = num[0]+ num[1] = 1 + 350 = 351

由于程序最终输出 是 根据:  num[ num[0] - 1]来输出的, 也就是程序最终会输出 num[ 351 -1] = num[350]的值。

这样我们是不是 就实现了,查看栈 的内容。 那么接下来是进行写:

如果我们输入:  + 350 +20 那么进行第二次运算 +20  时:

num[ num[0] - 1] = num [ 350] =   num[ num[0] -1] + num[ num[0] ] = num[ 350] + num [ 351] = num[350] +20 

那么我们就成功对任意地址处进行了写入。但是我们这里需要注意,由于我们栈中存储数值的缓冲区和 存储 运算符的缓冲区, 程序没进行一次运算之后,都会进行一次初始化清零, 所以我们如果在这两个缓冲区内写入的化,会被清零,所以我们要寻找各位的缓冲区。

此处从 5A0h 开始为 num的缓冲区 1024大小 到  0ch 处为 运算符的缓冲区大小,同时因为程序开启了 canary,所以我们得绕过canary保护,直接写入返回地址。

(5A0h) / 4 =  360, 所以返回地址在 num[361]处。

然后接下来,由于我们只能写入一些数字,所以我们的方法只有ROP了。

寻找 godget的方法类似如下:

我们通过ROP,来执行execve()函数。需要写入的寄存器如下:

 

 

 

 

然后,有关于如何计算得到 /bin/sh 在栈上地址的方法,我目前还有一些疑惑,所以就不班门弄斧了。

然后poc,就简单了,不写了。

A1exxx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Assassins.Creed.III.TW.THETA.RIP.torrent
07-20
Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME.Assassins.Creed.III.TW.THETA.RIP.torrent3DMGAME....
pwnable.kr-fix
r00tnb的博客
02-28 842
前言 看似简单的改代码,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include <stdio.h> // 23byte shellcode from http://shell-storm...
pwnable.tw【start】
weixin_51055545的博客
04-22 333
检查程序 任何保护都没开, 放到IDA中分析: 逆向分析 很简单的一个程序,只有start和exit两个函数,通过分析汇编,我们知道,程序先write出欢迎的语句,然后系统调用read(),来让我们输入,我们输入的栈上是可读可写可执行的,所以我们leak出stack地址,然后控制程序返回到我们构造好的shellcode即可, 思路 1.通过构造write()来leak出栈地址 2.通过控制返回地址,来执行我们的shellcode,从而达到getshell的目的. exp分析: io.recvuntil(
pwnable.tw】start
最新发布
qq_61670993的博客
09-22 69
对栈布局的分析
pwnable.tw--->start 01
程序员晓老九
10-18 170
pwnable.tw 01 前提--->链接 PWNABLE.TW 02 Challenges 01 start IDA似乎看不出啥来 扔到peda里反汇编看一看,因为是x86(file可知),先写再读。 就知道这么点信息,没啥头绪,猜测是shellcode解。 write的长度是0x14,read的长度是0x3c,明显读的比写的长 覆盖_exit的offset是20,两种方法 1 在_start的ret处下断点--->到退出是20,32位对...
pwnable_hacknote_WP
weixin_56434818的博客
03-01 722
pwnable_hacknote_WP 文章目录pwnable_hacknote_WP检查保护分析ELFAdd noteDelete notePrint note利用思路exp 检查保护 ​ i386架构,RELRO半开,开了Canary和NX,没开PIE。 分析ELF 先跑一下 类似菜单的程序,有增、删、查的操作。 IDA反编译后发现主函数主要就是根据选项选择菜单内相应功能的作用,若输入范围之外的数字则会出现错误提示并重新选择。(因为主函数逻辑不是很复杂所以这里就不贴反编译出来的代码了) Add no
rate.bot.com.tw:台湾银行黄金价格抓取程式
06-11
台湾银行黄金价格抓取程式 序 此程式以语言撰写,以日期为参数抓取台湾银行。... GET http://rate.bot.com.tw/Pages/UIP005/UIP00511.aspx?whom=GB0030001000&afterOrNot=0&curcd=TWD&date=20000101 只需变换date参数。
ha2.tw
03-28
ha2.tw 项目设置 npm install 编译和热重装以进行开发 npm run serve 编译并最小化生产 npm run build 整理和修复文件 npm run lint 自定义配置 请参阅。
hackathon.tw-website
06-03
鲍尔 $ npm install -g bower$ bower i吞咽 $ npm install -g gulp$ npm install -g less$ npm i用法 $ gulp less
docs.roy4801.tw
02-12
docs.roy4801.tw
pwnable.tw wp - Start
fa1c4的blog
06-28 187
ret2shellcode
PWNABLE.TW(1)
njh18790816639的博客
12-30 224
Start from pwn import * context(log_level='debug',os='linux',arch='i386') binary = './start' r = remote('chall.pwnable.tw', 10000) #r = process(binary) elf = ELF(binary) def db(): gdb.attach(r) leak_esp = 0x08048087 shellcode = asm("xor ecx,ecx;\
pwnable.tw-start
qq_35661990的博客
10-05 897
参考了好多文章才能大致理解shellcode 这开始就有一个大坑 可以看到不同的checksec查看start文件会有不同的结果,就结果而言,GDB-PEDA的checksec很不靠谱。。我根本没有s命名的文件。。 所以,start是一个32位没有开启NX的程序,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行...
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 556
攻防世界中这道pwnable.tw上面的原,虽然在攻防世界上难度为7星,不过实际上这不算难,只需要利用UAF就可以完成。 目分析 目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
Pwnable.tw start [Writeup]
柷敔的博客
02-18 843
Pwnable.tw start [Writeup] 源 https://pwnable.tw/challenge/#1 解 先看一下安全保护情况 再dump一下源码 拖到IDA里一看,也就是内联汇编写的代码(此处略去)。毕竟是入门第一,都是用的简单的汇编指令。简单注释一下: [line 1]08048060 <_start>: [line 2] 8048060: 54 push %esp ; 泄露了栈地
pwnable.tw start,orw学习
weixin_46521144的博客
07-06 196
暑假开始刷pwnable.tw start 这个反编译出来一开始看蒙了,不知道在干啥。后来仔细看看字节码,发现是系统调用write输出的stack上的内容。 后面是read函数,观察修改的寄存器内容 发现是read系统调用,输入数据大小为0x3c 然而buffer大小为0x14,这就产生了栈溢出。这里是把一个shellcode放到返回地址,那就需要知道返回的栈地址,这里比较巧妙。注意到 这里将打印esp地址中的数据,只要返回ret的时候调用,就可以输出esp地址,在下一次放在re
pwnable.tw第一start
计算机小白的博客
08-09 5495
这应该是我做的第一道pwn的了(虽然也是看了很多别人的WriteUp),想了两天,才终于弄清楚了,在这里记录一下。拿到手以后发现是一个ELF文件,就放进kali虚拟机里面运行一下先: 程序启动以后打印一段话,然后让你输入,就完事了。 再放入IDA中,观察: 检测栈有点问,不能够F5,强行看汇编。。。 5个push是打印出来的那句话, Let’s start the CTF: 下面一句
pwnable.tw - orw
不急不躁
07-09 3000
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
pwnable.tw - start
不急不躁
07-08 4117
首先安装 pwntools,在执行pip install --upgrade pwntools时出错 cannot import name main 要修改 /usr/bin/pip from pip import main 为 from pip import __main__ sys.exit(__main__._main()) 再次执行即可 安装 peda git cl...
net.ipv4.tcp_tw_recycle
03-16
net.ipv4.tcp_tw_recycle是 Linux 下用于重用 TIME_WAIT 状态的套接字,可以设置为 0 或 1,其中 0 表示禁用,1 表示启用。net.ipv4.tcp_tw_recycle是一个Linux内核参数,用于控制TCP连接的回收行为。如果该参数被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值