系统安全实验——反编译修改寄存器

于 2023-05-11 11:34:43 发布
阅读量587 收藏 1
点赞数 3
文章标签: ssh 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/it_girl_xyx/article/details/130617918
版权
文章详细描述了一次针对靶机的攻击过程,通过SSH登录后,发现程序会检查uid是否为0才能获取flag。使用GDB调试工具,通过设置断点并修改eax寄存器的值来绕过uid检查,最终成功获取flag。实验步骤包括定位汇编代码中的关键点,设置断点,修改寄存器值,然后继续执行程序。
摘要由CSDN通过智能技术生成

题目要求

靶机配置了ssh,可以账号test、密码123通过ssh登录到靶机进行攻击。(靶机IP地址见题目中网络拓扑图)

靶机中配置了一个程序,部分代码如下。

该程序将判断用户uid,当uid为0时才允许获取flag。

请想办法绕过该检测,获取flag。

环境中配置有gdb调试工具。

提示:逆向工程;函数返回值一般存放在eax寄存器中。

探索过程

进入靶机后,运行可执行文件

 提示也告诉我们,只要用gdb调试更改eax寄存器的值为0,大概便可以绕过检测。

开始gdb调试:

输出汇编代码:

 

 一开始我没动脑子,想着应该只需更改最靠后的$eax值便可:

 结果是失败说明修改的位置晚了。

再次阅读汇编代码,应该修改的是紧跟getuid后面的$eax的值

也就是设断点在以下位置:

 删除原断点,增加新断点:

 运行程序,在断点处停下时查看一下$eax的值:

 设置$eax=0,再继续运行程序,获得flag!

 简化版实验步骤

 1.开启gdb调试,并把token文件加载

 2.查看汇编代码

3.定位test %eax,%eax这一步的地址

4.设断点于上述地址

5.运行文件,在程序于断点停下后,修改$eax的值为0

 6.继续运行文件,得到flag。

 

IT_GIRL_XAH
关注
操作系统实验一到实验九合集(哈工大李治军)
leoabcd12的博客
01-01 4万+
操作系统实验一到实验九合集(哈工大李治军) 有详细代码及注释,程序已在本地测试,均能跑通
《深入理解计算机系统》学习笔记——程序的机器级表示
weixin_45243288的博客
10-27 1673
计算机系统——程序的机器级表示程序的机器级表示程序编码机器级代码关于格式的注解数据格式访问信息操作数指示符数据传送指令压入和弹出栈数据算术和逻辑操作加载有效地址一元和二元操作移位操作特殊的算术操作符控制条件码访问条件码跳转指令跳转指令的编码用条件控制来实现条件分支用条件传送来实现条件分支循环过程数组分配和访问异质的数据结构在机器级程序中将控制与数据结合起来浮点代码 程序的机器级表示 表述基于 x86-64 ,它是现在笔记本电脑和台式机中最常见处理器的机器语言,也是驱动大型数据中心和超级计算机的最常见处理器的
反汇编基础-寄存器及内存
IT1995的博客
06-21 4949
反汇编基础-寄存器及内存PC机中4大存储单元1.硬盘:长时间大量存储数据,因为硬盘速度慢,在程序运行时就将硬盘中的数据加载到内存中。2.内存:内存的存储速度比硬盘快,但还是没CPU快。3.高速缓存:保证CPU的速递,就在CPU中加入了高速缓存,对CPU中的数据进行预读,如果CPU下次运算需要的数据正好在高速缓存中,叫catch命中,否则为catch未命中,需要高速缓存又读取一次,高速缓存一般不需要...
test %eax %eax
weixin_43926330的博客
01-18 1152
今天反汇编碰见了cmp test and几个指令作为跳转的条件有一些弄混了,所以来详细了解一下这几个指令的区别。 首先详细了解该指令的时候需要首先熟悉几个标志位,在and指令按位逻辑与两个操作数(accumulator, reference)结果会借用commonBits和ZF(zero flag), SF(sign flag), PF(parity flag)来展示 引用accumulator和reference的按位逻辑的结果不同设置了ZF(zero),SF(sign),PF(parity)这三个标记
test,cmp和跳转(jump)
qq_45701538的博客
01-29 732
cmp %ebx,%eax 设%ebx中存放参数b,%eax中存放参数a,则上式为a-b的结果来设置符号位 test %ebx,%eax 设%ebx中存放参数b,%eax中存放参数a,则上式为a&b的结果来设置符号位 常用的 test %eax,%eax jne 0x400400 上两条指令意思是当%eax为空(即0时)跳转0x400400 je指令则相反 ...
关于 TEST EAX,EAX
w9521423的博客
10-02 5520
= 问题 =   在一些破解的文章中,会出现下面的情况:00401098 50 push eax :00401099 8BCF mov ecx, edi :00401056 52 push edx :00401057 8BC8 mov ecx, eax :00401059 E8021D0100 call 00412D60 :0040105E 85C0 test eax, eax :00401060
testl指令的问题
dingqiangzhen9665的博客
09-19 993
testl指令,这个指令说是将两个操作数做与来设置零标志位和负数标识,常用的方法是testl %eax,%eax来检查%eax是正数负数还是0; 标志位通过结果值来设置.%eax = %eax & %eax; 不改变%eax通过testl %eax,%eax却可以设置或者清除一些标志,以便实现分支结构 总结:test语句是根据上次计算结果的性质设置相应的状态码(condit...
CSAPP实验——AttackLab
热门推荐
C__C_的博客
12-19 1万+
Attack Lab 缓冲区溢出攻击实验 本次实验涉及对两个具有不同安全漏洞的程序进行五次攻击,攻击方式分为两种Code injection代码注入和Reeturn-oriented programming(ROP)面向返回编程。 1、深入理解当程序没有对缓冲区溢出做足够防范时,攻击者可以利用安全漏洞的方法。 2、更好地了解如何编写更安全的程序,以及编译器和操作系统提供一些帮助,以减少程序的易受攻击性。 3、深入了解x86-64机器代码的堆栈和参数传递机制。 4、深入了解x86-64指令的编码方式。
二进制安全之——栈相关漏洞
PICACHU+++的博客
09-22 1854
栈主要是用于存储程序运行过程中的局部信息,大小不一,动态增长。栈的内存一般根据函数栈来进行划分(不用函数的程序很少见),不同的函数栈之间是互相隔离的,从而能实现函数的有效切换。函数栈上存储的信息一般包括:临时变量(包括栈保护哨carry)、函数栈的返回栈基址(bp)、函数的返回地址(ip)。
V8引擎笔记整理(一)——JS编译方案发展简史
DDboom的博客
10-05 463
V8引擎笔记整理(一) 1 - 知名的js引擎有哪些? V8-由谷歌开源的以 C++ 语言编写Google开源高性能JavaScript和WebAssembly引擎。它用于Chrome和Node.js等。它实现了ECMAScript和WebAssembly,并在Windows 7或更高版本,macOS 10.12+和使用x64,IA-32,ARM或MIPS处理器的Linux系统上运行。—— 简单来说,它是一个接收JavaScript代码,编译代码然后执行的C++程序,编译后的代码可以在多种操作系统多种处
test eax,eax
手札
04-25 5937
test eax,eax <br />Test & AND<br /><br />test指令操作是目的操作数和源操作数按位逻辑“与“操作<br /> 运算结果不送回目的操作数( 基本上和 And eax,eax 是一样的,不同的是test 不改变eax的结果)<br />然后根据结果设置SF、ZF、和PF标志位,
CSAPP:BombLab 详细解析
Here is prician
09-27 1万+
Bomb Lab来自《深入理解计算机系统》(CSAPP)一书的第三章的配套实验,该实验的目的是通过反汇编可执行程序,来反推出程序执行内容,进而能够正确破解”密码“,解除“炸弹”。 本实验共有6个phase,对于每个phase,你需要输入一段字符串,然后让代码中explode_bomb函数不执行,这样就不会boom!
跳转指令的学习
gacmy的专栏
04-09 3853
CMP 该指令是比较两个操作数,实际上,它相当于SUB指令,但是相减的结构并不保存到第一个操作数中。只是根据相减的结果来改变零标志位的,当两个操作数相等的时候,零标志位置1。 零标志位z JZ指令,如果Z标志被置为1,就跳转,否则,就不跳转。符号标志位s 比较第一个操作数是否大于第二个操作数 正数为0 负数为1 cmp eax,ecx eax>ecx eax = 02 ecx = 01
170518 逆向-寄存器传递参数、函数返回值
whklhhhh的博客
05-18 945
1625-5 王子昂 总结《2017年5月17日》 【连续第228天总结】 A. 加密与解密 函数的参数-寄存器传递,返回值 B. 寄存器传递参数的方式并没有一个标准。 绝大多数编译器提供商都在不对兼容性声明的情况下,遵循__fastcall规范 然而不同编译器实现的该规范又有些不同。 比如说,VC++编译器的约定是最左边的两个不大于4字节的参数分别放在ecx和edx。其余使用堆栈。
深入理解计算机系统(3.6)---汇编中精妙的流程控制(重要)(难度较高)
weixin_34392435的博客
11-09 176
引言     最近LZ有些略忙,因此这一章拖的时间有点久,不知道有没有猿友在跟着看呢,LZ觉得应该几乎没有吧。毕竟这实在是一本乍一看十分枯燥的书,不过随着慢慢的深入,不知道有没有猿友慢慢找到了一点感觉呢。   本章我们来看一个特别有趣的内容,就是汇编级别的语言,如何利用寄存器实现if/for/while这些高级语言的流程控制,LZ只能说这实在是十分神奇。在没有接触这部分内容的时候,LZ打死也...
test eax,eax 后面跟 jl 指令的意思
jiangdf的专栏
11-24 4531
jl一般是符号小于跳转 根据 sf符号标志位 和 of溢出标志位的异或来判断跳转的 (异或值为1则跳) test指令总是清零of 和 cf进位标志位 ,  然后根据操作数与结果来修改 sf zf pf 因此本题test之后of必定是0 , 所以看sf是1则跳  不是1则不跳  。 这种用法一般来检测最高位-即符号位是否为1,也就是检测测试正负符号。
testl指令笔记
linxizi0622的博客
10-25 6419
今天上了深入理解计算机系统第三章部分,对于书上的testl指令和andl指令比较困惑 详读书上的相关部分以后,有了新的见解。     test %eax,%eax test指令是把CF置为0了的,也就是说在按位相与的时候,低位向高位没有进位 那么    test %eax,%eax就等于%eax本身,但是这个操作只是影响了标识位 SF ZF PF AF 并且把CF和OF置为0(因为CF
TEST EAX,EAX作用
weixin_30470643的博客
10-23 5039
test eax,eax je xxxxxxxx test指令的操作是将目的操作数和源操作数按位与,运算结果不送回目的操作数,然后根据结果设置SF,ZF,PF标志位,并将CF和OF标志位清零,一般下面会跟跳转,根据ZF标志位是否为零来决定是否跳转,即,这句意思就是判断eax是否为零 <wiz_tmp_tag id="wiz-table-range-borde...
FANUC 0系统PMC梯形图反编译及手持文件盒操作指南
"这篇文档详细介绍了如何对FANUC 0系统的PMC(可编程控制器)进行反编译,以便用户能够修改和增加系统的功能。主要步骤包括使用FANUC的手持文件盒(HANDYFILE)连接到CNC系统,设置显示梯形图的相关参数,然后通过一...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值