alarm函数在pwn中的一些利用

于 2022-03-19 18:00:43 发布
阅读量581 收藏
点赞数
分类专栏: pwn学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/123599223
版权

文本整理了alarm函数在pwn中的一些应用

利用alarm函数获取syscall

在一些题目里,可以利用alarm直接获取到syscall的地址
找个libc文件,然后反汇编看一下alarm的汇编代码

/ (fcn) sym.alarm 33
|   sym.alarm ();
|           ; XREFS(26)
|           0x000cc200      b825000000     mov eax, 0x25               ; '%'
|           0x000cc205      0f05           syscall										 ; syscall = sym.alarm + 0x5
|           0x000cc207      483d01f0ffff   cmp rax, -0xfff
|       ,=< 0x000cc20d      7301           jae 0xcc210
|       |   0x000cc20f      c3             ret
|       |   ; CODE XREF from sym.alarm @ 0xcc20d
|       `-> 0x000cc210      488b0d617c2f.  mov rcx, qword [0x003c3e78] ; [0x3c3e78:8]=0
|           0x000cc217      f7d8           neg eax
|           0x000cc219      648901         mov dword fs:[rcx], eax
|           0x000cc21c      4883c8ff       or rax, 0xffffffffffffffff
\           0x000cc220      c3             ret

​ 发现alarm中就有一个syscall指令,而syscall和alarm的偏移地址是0x000cc205 - 0x000cc200 = 0x5。因此我们可以得到syscall的实际地址 = alarm的实际地址 + 0x5

利用题目可以参考XCTF-008-Recho

利用alarm给eax赋值

alarm()用来设置信号SIGALRM 在经过参数seconds 指定的秒数后传送给目前的进程. 如果参数seconds 为0, 则之前设置的闹钟会被取消, 并将剩下的时间返回。利用这个特性,我们可以给eax赋值,例如第一次调用时alarm(10),隔了五秒后调用alarm(0)时,就会返回5,即给eax赋值5。之后可以利用int80的gadgets调用fopen函数。

利用的题目可以参考2016 CTF warmup

Morphy_Amo
关注
专栏目录
ctf - pwn题之alarm函数
lifanxin的博客
12-15 2412
目录什么是alarm()为啥要使用alarm()关闭alarm()总结 什么是alarm()   如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0xAu)函数alarm函数的参数0xAu是十六进制无符号数,即十进制对应10,所以该函数的作用是在程序运行10秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。所以运行此样本10秒后的截图如下所示,程序结束时提示Alarm clock: 为啥要使用alarm()   知道什么是alarm(),那么为啥要设
Pwn
bluestar628的博客
07-11 2490
Pwn1拿到程序IDA分析发现就是一个输入字符串,长度大于0x500就直接执行cat flag。虽然溢出了,但是和溢出没有太大关系所以利用代码如下:from pwn import * p = remote ("139.224.220.67" ,30004) payload = 'a'*0x501 p.sendline(payload) p.interactive()Pwn2打开IDA分析,是一个经...
pwn移除alarm函数
educat0r的博客
04-12 416
pwn移除alarm函数 # 将程序名为ProgrammNamealarm替换为isnan > sed -i s/alarm/isnan/g ./ProgrammName 采用的是替换alarm函数,isnan不会影响程序的流程,然后就没有alarm函数影响调试了
攻防世界 pwn string
N1rvana的博客
11-15 4028
攻防世界string应该是新手区数一数二的难题,难点在理解程序流程。 先观察主函数: alarm函数 什么是alarm函数? 如上图所示,在做一些pwn题的时候,我们有时会遇到alarm(0x3Cu)函数alarm函数的参数0x3Cu是十六进制无符号数,即十进制对应60,所以该函数的作用是在程序运行60秒后,给进程发送SIGALRM信号,如果不另编写程序接受处理此信号,则默认结束此程序。 为什么要使用alarm函数? 一是比赛常要远程连接服务器解题,官方不希望有队伍长时间解不出来题浪费服务器资源 二
alarm()函数的使用总结
weixin_30379973的博客
10-15 1025
alarm()函数说明 1.引用头文件:#include <unistd.h>; 2.函数标准式:unsigned int alarm(unsigned int seconds); 3.功能与作用:alarm()函数的主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()...
攻防世界PWN之Recho题解
seaaseesa的博客
11-09 2498
Recho 首先,还是查看一下程序的保护机制。看起来不错。 然后用IDA分析 看起来是一个很简单的溢出,然而,这题的难点在于这个循环如何结束。read一直都是真,如果是在linux终端上直接运行,我们可以用Ctrl+D,然而,pwn远程,就无法处理这种信号。幸运的是pwntools提供了一个shutdown功能,该功能可以关闭流,如果我们关闭输入流,这个循环就结束了。但是我们别想再次...
pwn学习(1)
空舟的博客
11-30 639
pwn简介 ”Pwn”是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵了
pwn(三)
小明的小书包Ya
10-04 2454
pwn(三) 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss段,然后用elf.bss()来获取bss段地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
CTF Blind pwn题型学习笔记
lifanxin的博客
08-31 2055
Blind pwn概述如何辨别漏洞类型逻辑漏洞盲打格式化字符串盲打原理阐述例题讲解axb_2019_fmt32栈溢出盲打堆盲打总结 概述   所谓Blind pwn,即是在无法获得二进制程序文件的情况下对题目进行漏洞利用。这篇博客主要是将见到过的盲打pwn题做一个总结,大概可以分为以下几类盲打pwn题:逻辑漏洞盲打、格式化字符串盲打、栈溢出盲打、堆盲打。 如何辨别漏洞类型   对于盲打题,首先第一步应该是判断属于哪种类型的盲打,判断的步骤也很简单,nc连上后,直接看程序提供的菜单功能。   一般来说,需要逻
攻防世界pwn题:Recho.doc
07-13
可以通过查看alarm函数,找到syscall指令的位置,然后使用gadget将alarm.got的值加5,达到泄露libc的目的。 6. gadget 在泄露libc的版本时,需要使用gadget。可以使用add [rdi],al指令,先让rdi=got[‘alarm’],...
PWN学习笔记(1)
Jason_ZhouYetao的博客
07-16 2882
首先来说说pwn,这个水还是很深的,不过我学习pwn的原因是我觉得pwn是最接近黑客的东西,当然web也是我考虑的一个方向,但是pwn更加偏向于对代码这方面的知识,所以我也就选择了pwn这个方向。 0x1 首先pwn的最基本的东西就是c语言,一般的pwn题目都是以c代码来出的题目,所以学好c是做pwn的前提,之后还需要一定的Linux命令的基础和各种插件的使用(比如在溢出这块还是以gdb的pe...
Pwn_9 作业讲解
weixin_30415113的博客
03-07 326
pwn1针对Alarm clock进行处理修改程序的16进制数值 Hook函数alarm函数替换掉在linux下使用命令 sed -i s/alarm/isnan/g ./pwn1 检查保护机制checksec --file ./pwn1NX 数据保护权限 可写的不可执行查看编译file ./pwn1./pwn1: ELF 32-bit LSB executable, Intel 8038...
绿盟杯NSCTF(CCTF)2017 pwn writeup
jmp esp
07-22 6078
前言比赛有无数值得吐槽的地方,其最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。pwn1分析mainint __cdecl main() { alarm(0x1u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
pwn bof 两题
think_ycx的专栏
04-03 2019
pwn1thoughtcarter学长给的bof题目,题目比较奇葩= =。IDA能分析个大概:int sub_8048582() { alarm(0x3Cu); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); dword_804A160 = sub_804856D; printf("C'mon pwn me :
攻防世界(pwn)Recho(XCTF 3rd-RCTF-2017) writeup
xidoo1234的博客
02-27 1298
深感本题扩充了本人的知识面,遂作文记录下来
SniperOJ pwn100-bof writeup
0_Re5et
04-27 2477
在大佬的指导下拿到了人生第一个pwn flag。感觉pwn真的帅的飞天了!在此简单记录一下思路。因为还没有补相关的基础知识,哪里不对的话还请各位大佬指出~比心~1. 首先查看文件版本命令 file filename 可以看到程序是64bit,linux平台下的 在这里补充一下查看本机操作系统位数的命令: getconf LONG-BIT 然后就去对应的系统下就ok了2. 查看源代码或运
ctf-pwn的一些小技巧
钞sir的博客
11-09 5126
当我们在写exp的时候有些需要去复制粘贴某些函数在plt表,got表的地址,或者找ROP的地址,有些时候复制粘贴不方便且不方便阅读,这样时候我们就可以用pwntools提供的一些函数; 以32位程序的exp为例: ROPgadget: 0x0804872f : pop ebp ; ret 0x0804872c : pop ebx ; pop esi ; pop edi ; pop ebp...
关于alarm函数
edmond999的专栏
07-19 900
alarm(设置信号传送闹钟) 相关函数 signal,sleep表头文件 #include定义函数 unsigned int alarm(unsigned int seconds);函数说明 alarm()用来设置信号SIGALRM在经过参数seconds指定的秒数后传送给目前的进程。如果参数seconds 为0,则之前设置的闹钟会被取消,并将剩下的时间返回。返回值 返回之前闹钟的剩余秒数,如果
0CTF_2016_warmup(alarm函数在rop里的妙用)
seaaseesa的博客
04-17 741
0CTF_2016_warmup 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 漏洞很简单,存在一个栈溢出漏洞。难点就在于NX保护开启,不然我们可以布置shellcode。这个程序不依靠glibc,并且栈溢出尺寸太小,并且gadgets少的可怜。几乎不能造出execve的系统调用。查看程序,发现已经有read、write可以使用,如果我们再整出个open系统调用,就能读取...
pwnaoti函数
最新发布
10-31
aoti函数是C语言的一个函数,用于将字符串转换为整数。它的原型为int atoi(const char *nptr),其nptr是指向要转换的字符串的指针。该函数会扫描字符串,跳过前面的空格字符,直到遇到数字或正负号才开始转换。如果遇到非数字或字符串结束符'\0',则停止转换。如果字符串的第一个非空格字符不是数字或正负号,则返回0。如果转换后的结果超出了int类型的范围,则返回INT_MAX或INT_MIN。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值