pwnable 笔记 Toddler's Bottle - leg

最新推荐文章于 2024-05-08 09:38:19 发布
最新推荐文章于 2024-05-08 09:38:19 发布
阅读量1.5k 收藏 1
点赞数 2
分类专栏: pwn pwnable.kr 题解 文章标签: arm 汇编 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SmalOSnail/article/details/53203570
版权

考察基本的 ARM 汇编指令
leg

题目源码

main函数

main

key1函数

key1

key2函数

key2

key3函数

key3

题目分析

main()中:

   0x00008d84 <+72>:    add r2, r4, r3
   0x00008d88 <+76>:    ldr r3, [r11, #-16]
-> 0x00008d8c <+80>:    cmp r2, r3
 x 0x00008d90 <+84>:    bne 0x8da8 <main+108>
   0x00008d94 <+88>:    ldr r0, [pc, #44]   ; 0x8dc8 <main+140>
   0x00008d98 <+92>:    bl  0x1050c <puts>
   0x00008d9c <+96>:    ldr r0, [pc, #40]   ; 0x8dcc <main+144>
-> 0x00008da0 <+100>:   bl  0xf89c <system>

0x00008d84这里计算了r2r3r4,三个寄存器中数值的和,把结果赋给r2。然后把r11-16h赋给r3,最后比较r2r3是否相等。如果相等的话0x00008d90处的bne(非0则跳)将不会发生,程序会继续进行下去,一直到0x00008da0 <+100>调用system()打印flag

通过分析可以发现r11-16h的值是0x00008d64处程序调用scanf得到的我们所输入的值。

继续分析三个寄存器中的数值是从哪里来的:

   0x00008d68 <+44>:    bl  0x8cd4 <key1>
-> 0x00008d6c <+48>:    mov r4, r0
   0x00008d70 <+52>:    bl  0x8cf0 <key2>
-> 0x00008d74 <+56>:    mov r3, r0
   0x00008d78 <+60>:    add r4, r4, r3
   0x00008d7c <+64>:    bl  0x8d20 <key3>
-> 0x00008d80 <+68>:    mov r3, r0
   0x00008d84 <+72>:    add r2, r4, r3

main()中可以看到这三个寄存器中的数值来自key1()key2()key3()被调用后,寄存器r0中的值。

所以当我们输入的数值等于key1key2key3三个函数执行后寄存器r0的值的总和,即可以得到flag

解题过程

   0x00008cd4 <+0>:     push    {r11}       ; (str r11, [sp, #-4]!)
   0x00008cd8 <+4>:     add r11, sp, #0
-> 0x00008cdc <+8>:     mov r3, pc
-> 0x00008ce0 <+12>:    mov r0, r3
   0x00008ce4 <+16>:    sub sp, r11, #0
   0x00008ce8 <+20>:    pop {r11}       ; (ldr r11, [sp], #4)
   0x00008cec <+24>:    bx  lr

key1()r3 = pc , r0 = r3
arm中程序计数器pc指向下两条指令的地址)

最终 r0 = pc = 0x8cdc + 0x8 

   0x00008cf0 <+0>:     push    {r11}       ; (str r11, [sp, #-4]!)
   0x00008cf4 <+4>:     add r11, sp, #0
   0x00008cf8 <+8>:     push    {r6}        ; (str r6, [sp, #-4]!)
   0x00008cfc <+12>:    add r6, pc, #1
   0x00008d00 <+16>:    bx  r6
-> 0x00008d04 <+20>:    mov r3, pc
*  0x00008d06 <+22>:    adds    r3, #4
   0x00008d08 <+24>:    push    {r3}
   0x00008d0a <+26>:    pop {pc}
   0x00008d0c <+28>:    pop {r6}        ; (ldr r6, [sp], #4)
-> 0x00008d10 <+32>:    mov r0, r3
   0x00008d14 <+36>:    sub sp, r11, #0
   0x00008d18 <+40>:    pop {r11}       ; (ldr r11, [sp], #4)
   0x00008d1c <+44>:    bx  lr

key2()r3 = pc , r0 = r3

这里有一条ADDS指令,看样子像是对r3进行了操作

   0x00008d06 <+22>:    adds    r3, #4

但是查一下用法,发现ADDS 指令只是把 r3 + 4h 的值存入当前状态寄存器CPSR中,并不对r3的值进行修改,相当于 CPSR = r3 + 4

(注: ADD r3, #4r3 进行修改,相当于 r3 = r3 + 4

所以最终 r0 = pc = 0x8d04 + 0x8

   0x00008d20 <+0>:     push    {r11}       ; (str r11, [sp, #-4]!)
   0x00008d24 <+4>:     add r11, sp, #0
-> 0x00008d28 <+8>:     mov r3, lr
-> 0x00008d2c <+12>:    mov r0, r3
   0x00008d30 <+16>:    sub sp, r11, #0
   0x00008d34 <+20>:    pop {r11}       ; (ldr r11, [sp], #4)
   0x00008d38 <+24>:    bx  lr

最后的key3()r3 = lr , r0 = r3

lr 是连接寄存器 (Link Register) 当程序通过BLBLX指令调用子程序时,R14被设置成该子程序的返回地址

   0x00008d7c <+64>:    bl  0x8d20 <key3>
   0x00008d80 <+68>:    mov r3, r0

main()调用key3()时,key3()的返回地址是它的下一条指令的地址 即 lr = 0x8d80
最终 r0 = lr = 0x8d80

现在已经找到了三个r0的值,相加即可
py

ans

More

关于ARM寄存器指令的更多信息可以看一下我这里的总结:
http://blog.csdn.net/smalosnail/article/details/53065048
http://blog.csdn.net/smalosnail/article/details/53048784

TaQini852
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ARM pwn 入门 (1)
CoLin的pwn小屋
11-02 1171
ARM pwn 入门(1) —— 前置知识
PowerPC&ARM架构下的pwn 初探
S4n_v1的博客
04-13 792
PowerPC&ARM&AARCH64 架构学习(Ubuntu16 + 运行环境搭建 + 调试 + 指令集 + 赛题复现 2023 数字中国创新大赛 数字网络安全人才挑战赛 - pwn起源 buu - jarvisoj_typo
ARM pwn 环境搭建和使用
qq_60209620的博客
03-30 331
qemu是一款可执行硬件虚拟化的虚拟机,与他类似的还有Bochs、PearPC,之前我们已经安装完了gdb-multiarch,现在来试试怎么调试程序。这个文件夹,该文件夹即对应刚安装好的arm32位libc库.到这里了,我们就能直接运行静态链接arm的程序了,拿的。但qemu具有高速(配合KVM)、跨平台的特性。例子:调试32位的静态程序。但是这里我们只用下载。
探索ARM平台漏洞利用:ARMPwn项目详解
最新发布
gitblog_00036的博客
05-08 383
探索ARM平台漏洞利用:ARMPwn项目详解 项目地址:https://gitcode.com/saelo/armpwn 在这个数字化的时代,安全无处不在。对于软件开发者和安全研究人员来说,理解并应对内存腐败攻击是至关重要的。这就是ARMPwn项目的初衷——一个专为在ARM平台上训练和学习内存腐蚀利用的开源工具。这个项目由CTF团队成员精心准备,旨在帮助你提升在嵌入式系统的安全技能。 项目简介 A...
ARM pwn 入门 (2)
CoLin的pwn小屋
11-02 1260
ARM pwn 入门 (2) —— 第一道ARM pwn
Toddler-care-website:使用 Django 的互联网编程实验室迷你项目
08-04
在这个项目中,可能会有一个名为`toddler_care`的应用,包含了模型、视图、模板和静态文件。 3. **数据库模型**:在`models.py`文件中定义数据库模型,如`Nanny`(保姆)、`Product`(产品)和`Order`(订单)。...
Toddler Tap-开源
07-20
【 Toddler Tap 开源项目详解】 “Toddler Tap”是一个专为幼儿设计的开源软件,旨在激发孩子们对键盘和字母的初步认知。这个项目源于一个简单而温馨的观察:当小孩子们看到大人在电脑上敲击键盘时,他们通常会表现...
A Toddler Game-开源
05-26
至于“Toddler-windows”这个文件,很可能是游戏的Windows版本安装包或者执行文件。这意味着开发者已经为Windows用户提供了一个方便的执行版本,无需在Windows环境中自行编译源代码,简化了用户的使用流程。 总的来...
Kids Key - Alphabet Training for Toddler-开源
04-28
"Kids Key - Alphabet Training for Toddler" 是一款专为1至4岁孩子设计的开源软件,旨在通过字母和色彩的互动游戏,帮助孩子们轻松学习ABC和颜色识别,同时也为他们初步接触数字概念提供了趣味性的平台。...
toddler-ng:下一代Toddler,一款精心设计的可用便携式微内核操作系统
03-05
幼儿下一代幼儿主要目标用C99编写...并兼容多引导更多架构-OpenRISC,HPPA,SuperH,IA64,s390,VAX状态计划=尚未开始初始=初步探索活动=积极开发当前=最新拱目标装载机哈尔笔记ia32-pc-multiboot 当前的积极的需进行
ARM pwn 入门 (3)
CoLin的pwn小屋
11-06 1075
ARM pwn 入门 (3)——ROP emporium 第1-2题
ARM PWN
tbsqigongzi的博客
08-12 261
arm pwn
ArmPwn学习
qq_40712959的博客
04-20 704
arm pwn练习 inctf2018_wARMup 程序逻辑 明显的栈溢出,但是只溢出了0x10个字节,很明显,需要栈迁移,但是在程序中,注意其调用read函数的汇编代码,如下,写如数据的缓冲区buf由R3寄存器重置,故若我们可以控制R3寄存器,则可以控制程序输入的位置,这里通过gadget(0x00010364 : pop {r3, pc})实现。 注意程序的endlog,如下图,可以发现,程序的SP由R11寄存器控制,而由于栈溢出漏洞的存在,我们可以控制R11,故我们可以通过控制R11,将其指向b
Xman2018冬令营选拔赛arm-pwn
Peanuts
01-05 844
arm32-pwn从环境搭建到实战 关于armpwn还是比较令人头疼的,首先汇编比较难看懂,其次就是ida反编译出来的东西还会有错误,比如之后要讲的题目中栈的分布就和ida解析出来的完全不一样。那么先来看一看环境的搭建。之前有人发过完整的64的环境搭建,32的环境搭建和实战还是有一些不同的 环境搭建 环境的搭建应该是现在arm题目中比较麻烦的一个点。 安装qemu apt-get in...
Pwn掉智能手表的正确姿势
weixin_34384681的博客
03-08 297
武汉大学信息安全协会 · 2015/12/07 10:19原文链接:http://grangeia.io/2015/11/09/hacking-tomtom-runner-pt1/ part1 part2 part3虽然专业化是很多领域的关键所在,但是我个人认为在信息安全这一领域,过于专业会导致视野狭隘、观点片面。现在我就想让自己尝试那些我不是很喜欢的领域,而这篇文章就是在阐述一个我讨厌了很久的东...
通过pwnable.kr从零学pwn
热门推荐
giantbranch的专栏
07-31 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
关于PwnTools的各种汇总
分不清东西南北的Laffey
09-26 2827
大致框架 官网的一个简单样例 from pwn import * #用来导入pwntools模块 context(arch = 'i386', os = 'linux') #用来设置目标机的信息 r = remote('exploitme.example.com', 31337) #建立一个远程连接 url或者ip作为地址 指明端口 r.send(asm(shellcraft.sh())) ...
armpwn环境搭建
qq_51474381的博客
05-02 307
ubantu安装报错太多,直接用deepin最新版搭建,十分顺利。 1.准备git,gdb 和 gdb-multiarch sudo apt-get update sudo apt-get install git gdb gdb-multiarch 2.安装 gdb 的插件 pwndbg git clone https://github.com/pwndbg/pwndbg cd pwndbg ./setup.sh 3.安装pwntools(可能要先安装pip) sudo pip insta
CTF PWN专用虚拟机
giantbranch的专栏
11-07 1万+
前言 虽然之前写了个 —— CTF PWN 做题环境一键搭建脚本,欢迎star和使用 https://github.com/giantbranch/pwn-env-init 但是在使用过程中可能会出现或多或少的问题需要自己解决,所以干脆直接搞个配置好的Ubuntu 16.04 简介 系统为desktop版,使用CTF PWN 做题环境一键搭建脚本进行配置的环境 主要配置了以下东西: 为64位系统...
字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转为java数组
12-07
以下是将字符串["Baby","Toddler","Kids","Matching-Outfits","Maternity-Nursing","Licensed-Characters","Home-Baby-Gear","Shoes-Accessories"]转换为Java数组的代码示例: ```java String[] strArr = {"Baby",...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TaQini852

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值