暑假pwn训练(十四) 记录一下我调试pwn的过程

最新推荐文章于 2022-09-02 21:28:12 发布
最新推荐文章于 2022-09-02 21:28:12 发布
阅读量517 收藏
点赞数
分类专栏: 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/100108571
版权

emem其实我是顺便记录一下我调试的命令哈
pwngdb
这个工具调试对堆有好处然后gdb-peda对输出反编译的代码观察有好处所以你们可以选择反正我是都有~~
babyrop 是一道基础的pwn题简单的栈溢出
这里我就简单的用这个程序来练一下我的调试技术
main函数

int __cdecl main()
{
  int buf; // [esp+4h] [ebp-14h]
  char v2; // [esp+Bh] [ebp-Dh]
  int fd; // [esp+Ch] [ebp-Ch]

  sub_80486BB();
  fd = open("/dev/urandom", 0);
  if ( fd > 0 )
    read(fd, &buf, 4u);
  v2 = sub_804871F(buf);
  sub_80487D0(v2);
  return 0;
}

emem这个随机数很安全而且只能进入一次然后就别想爆破了~

int __cdecl sub_804871F(int a1)
{
  size_t v1; // eax
  char s; // [esp+Ch] [ebp-4Ch]
  char buf[7]; // [esp+2Ch] [ebp-2Ch]
  unsigned __int8 v5; // [esp+33h] [ebp-25h]
  ssize_t v6; // [esp+4Ch] [ebp-Ch]

  memset(&s, 0, 0x20u);
  memset(buf, 0, 0x20u);
  sprintf(&s, "%ld", a1);
  v6 = read(0, buf, 0x20u);
  buf[v6 - 1] = 0;
  v1 = strlen(buf);
  if ( strncmp(buf, &s, v1) )
    exit(0);
  write(1, "Correct\n", 8u);
  return v5;
}

这里就有00截断的问题绕过随机数了

ECX: 0x2c (',')
EDX: 0x0 
ESI: 0xf7f9e000 --> 0x1b1db0 
EDI: 0xf7f9e000 --> 0x1b1db0 
EBP: 0xff83a998 --> 0xff83a9c8 --> 0x0 
ESP: 0xff83a930 --> 0xff83a96c --> 0x80808000 
EIP: 0x804879e (call   0x8048598)
EFLAGS: 0x296 (carry PARITY ADJUST zero SIGN trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0x8048799:	push   eax
   0x804879a:	lea    eax,[ebp-0x2c]
   0x804879d:	push   eax
=> 0x804879e:	call   0x8048598
   0x80487a3:	add    esp,0x10
   0x80487a6:	test   eax,eax
   0x80487a8:	jne    0x80487c4
   0x80487aa:	sub    esp,0x4
Guessed arguments:
arg[0]: 0xff83a96c --> 0x80808000 
arg[1]: 0xff83a94c ("-136050305")
arg[2]: 0x0 
[------------------------------------stack-------------------------------------]
0000| 0xff83a930 --> 0xff83a96c --> 0x80808000 
0004| 0xff83a934 --> 0xff

这里可以清楚看见匹配函数的参数

EAX: 0xffffff80 
EBX: 0x0 
ECX: 0x804892e ("Correct\n")
EDX: 0x8 
ESI: 0xf7f9e000 --> 0x1b1db0 
EDI: 0xf7f9e000 --> 0x1b1db0 
EBP: 0xff83a9c8 --> 0x0 
ESP: 0xff83a9a0 --> 0xffffff80 
EIP: 0x8048884 (call   0x80487d0)
EFLAGS: 0x292 (carry parity ADJUST zero SIGN trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0x804887c:	movsx  eax,BYTE PTR [ebp-0xd]
   0x8048880:	sub    esp,0xc
   0x8048883:	push   eax
=> 0x8048884:	call   0x80487d0
   0x8048889:	add    esp,0x10
   0x804888c:	mov    eax,0x0
   0x8048891:	mov    ecx,DWORD PTR [ebp-0x4]
   0x8048894:	leave
Guessed arguments:
arg[0]: 0xffffff80 
[------------------------------------stack-------------------------------------]
0000| 0xff83a9a0 --> 0xffffff80 
0004| 0xff83a9a4 --> 0xff83a9b4 --> 0xf7e4097f (<_IO_vfscanf_internal+22879>:	cli)
0008| 0xff83a9a8 --> 0x4 
0012| 0xff83a9ac --> 0x804883b (sub    esp,0x8)
0016| 0xff83a9b0 --> 0x1 
0020| 0xff83a9b4 --> 0xf7e4097f (<_IO_vfscanf_internal+22879>:	cli)
0024| 0xff83a9b8 --> 0x8083aa7c 
0028| 0xff83a9bc --> 0x3

这里就进入了可以溢出的函数了这里可以输入的参数变成了0xffffff80 我也思考过是不是整形的溢出或者其他一类这样的所以但是有点晚了,反正调试说是这里可以输入这么多就可以造成栈溢出了哈
【gdb之x命令】

可以使用examine命令(简写是x)来查看内存地址中的值。x命令的语法如下所示:

x/<n/f/u>

n、f、u是可选的参数。

n是一个正整数,表示需要显示的内存单元的个数,也就是说从当前地址向后显示几个内存单元的内容,一个内存单元的大小由后面的u定义。

f 表示显示的格式,参见下面。如果地址所指的是字符串,那么格式可以是s,如果地十是指令地址,那么格式可以是i。

u 表示从当前地址往后请求的字节数,如果不指定的话,GDB默认是4个bytes。u参数可以用下面的字符来代替,b表示单字节,h表示双字节,w表示四字 节,g表示八字节。当我们指定了字节长度后,GDB会从指内存定的内存地址开始,读写指定字节,并把其当作一个值取出来。

表示一个内存地址。

注意:严格区分n和u的关系,n表示单元个数,u表示每个单元的大小。

n/f/u三个参数可以一起使用。例如:

命令:x/3uh 0x54320 表示,从内存地址0x54320读取内容,h表示以双字节为一个单位,3表示输出三个单位,u表示按无符号十进制显示。
  这里是copy的所以emem学习一下

doudoudedi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn练习附件四道题含exp
11-21
个人pwn练习题目https://blog.csdn.net/yusakul/article/details/103147299,含exp,推荐去原链接下载:https://bbs.ichunqiu.com/thread-42241-1-1.html
2021/10/18-如何调试pwn的exp或payload
个人笔记
10-19 1620
《2021年10月18日》 【连续第18天总结】 首先需要明白的是,你调试的exp.py是你输入的内容(即程序获取用户输入的信息)。 通过exp.py脚本与程序交互执行你的输入,跟手动一次次输入并无两样,所以想通过下断点调试查看你希望看到的具体位置数据的方法是一样的。 pwn调试技巧 pwntool工具中一些好用的模块 context.log_level="debug" //输出显示调试信息,即用户输入与程序交互的信息 context.terminal = ["tmux","splitw","-h"]
5.pwn入门新手 简单练习gdb调试
qiudalaojiao的博客
02-17 1711
#gdb命令 (1)frame n: 查看第n桢的信息, frame可以用f缩写 (2)frame addr: 查看pc地址为addr的桢的相关信息 (3)up n: 查看当前桢上面第n桢的信息 (4)down n: 查看当前桢下面第n桢的信息 https://blog.csdn.net/wang_xya/article/details/46011019 这位大佬的命令更为详细 #include...
2018第四届百越杯CTF总结-pwn(附带python调用gdb小技巧
qq_35661990的博客
12-20 1682
这次做了一题逆向和pwn,不过做出的逆向太简单了就不多说了,倒是借着两题最基础的pwn题好好学习了一下ret2lib和ret2plt,以及格式化字符串漏洞。只是写payload的话,照着ctf wiki上的改几个地址就可以了。 Boring game 考察基础的ret2libc和ret2plt,在google上找到一篇把ret2libc基础讲得很好的文章 https://www.shellb...
pwn的一些技巧
qq_41696518的博客
09-02 1018
一些pwn的小技巧,会持续扩展更新
pwn刷题num25---- strncmp绕过 + 整数溢出 + ret2libc
tbsqigongzi的博客
04-26 990
BUUCTF-PWN-[OGeek2019]babyrop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后,先让我们输入name,又让我们输入密码, ida一下一下主函数 首先调用一个sub_80486BB()函数· 一些打初始化的操作 然后打开了一个文
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
browser_pwn:浏览器pwn,现在主要工作
03-22
browser_pwn 浏览器pwn,现在主要工作。 v8_pwn v8开发 jsc_pwn 对jsc的利用
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
pwn 题GDB调试技巧和exp模板
推理小孩的博客
08-31 2520
pwn 题GDB调试技巧和exp模板 GDB分析ELF文件常用的调试技巧 gdb常用命令 首先是gbd+文件名 静态调试 ,gdb attach +文件名 动态调试 为了方便查看堆栈和寄存器 最好是安装peda插件 安装 可以通过pip直接安装,也可以从github上下载安装 $ pip install peda $ git clone h...
pwn题时的一些调试技巧
zszcr的博客
04-06 4896
当你觉得你的脚本没有问题,但是却又怎么也出你想要的结果时,你就需要用到调试了一个是设置context.log_level="debug"脚本在执行时就会输出debug的信息,你可以通过观察这些信息查找哪步出错了而另一个就是 用pwnlib.gdb.attach(p)在发送payload前加入这条语句,同时加上pause() 时脚本暂停然后就会弹出来一个开启着gdb的终端,你先在gdb中设置好断点然...
[pwn]调试:gdb+pwndbg食用指南
Breeze的博客
12-31 4万+
gdb+pwndbg组合拳 文章目录gdb+pwndbg组合拳前言及安装基本指令执行指令断点指令下普通断点指令b(break):删除、禁用断点:内存断点指令watch:捕获断点catch:打印指令查看内存指令x:打印指令p(print):打印汇编指令disass(disassemble):打印源代码指令list:修改和查找指令修改数据指令set:查找数据:堆操作指令(pwndbg插件独有)其他pw...
PWN通用技巧
baoan4763的博客
09-11 286
一、ROP中的gadget: 首先什么是gadget呢?gadget在英文中意为小配件,在构造ROP链时,主要是指一对pop|ret指令,其功能在于可以配置一个寄存器的值,并返回至指定地址。常常用来在64位pwn的寄存器传参中构造寄存器值,而ret可打到劫持目标函数的位置,也可以打到下一个gadget; 给出搜索gadget的pwntools命令:ROPgadget --binary...
PWN基础知识及基础栈溢出手法
山高路远
04-12 3825
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
几道pwn题复现
weixin_44113469的博客
02-07 453
不记得是什么时候打的比赛,自己搭的博客崩了,搬来csdn记录一下 虎符CTF 复现 0x01 任意地址写 from pwn import* from sys import* p=remote('39.97.210.182',10055)#p=remote()39.97.210.182 10055 #p=process("./chall") elf=ELF('chall') #libc = ELF('libc6_2.27-3ubuntu1_amd64.so') #libc = ELF('./libc-2.23
通过pwnable.kr从零学pwn
giantbranch的专栏
07-31 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
fd_WriteUp(pwnable.kr——fd)Linux文件描述符
Hvnt3r的博客
07-13 451
fd_WriteUp(pwnable.kr——fd详细解析) 本题目来自:http://pwnable.kr/play.php 首先根据题目提示使用 ssh fd@pwnable.kr -p2222 来连接到目标服务器,密码为guest ls一下发现当前目录下有三个文件,一看到flag字样的文件名就下意识的cat flag但是发现没有读取权限,而除了flag文件外还有一个源码...
gdb调试 pwn
最新发布
10-13
好的,您想了解关于 gdb 调试 pwn 的内容。对于 pwn 程序,我们可以使用 gdb 进行调试,主要包括以下几个步骤: 1. 使用 pwntools 连接远程或本地的 pwn 程序。 2. 在 pwntools 中设置 gdb 调试器。 3. 在 gdb 中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值