pwnable.kr [leg]

最新推荐文章于 2022-09-12 16:09:12 发布
最新推荐文章于 2022-09-12 16:09:12 发布
阅读量296 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shisuan1/article/details/84717550
版权

pwnable.kr [leg]

Daddy told me I should study arm.
But I prefer to study my leg!
Download : http://pwnable.kr/bin/leg.c
Download : http://pwnable.kr/bin/leg.asm
ssh leg@pwnable.kr -p2222 (pw:guest)

才学完x86又要学ARM
直接贴汇编

(gdb) disass main
Dump of assembler code for function main:
   0x00008d3c <+0>:	push	{r4, r11, lr}
   0x00008d40 <+4>:	add	r11, sp, #8
   0x00008d44 <+8>:	sub	sp, sp, #12
   0x00008d48 <+12>:	mov	r3, #0
   0x00008d4c <+16>:	str	r3, [r11, #-16]
   0x00008d50 <+20>:	ldr	r0, [pc, #104]	; 0x8dc0 <main+132>
   0x00008d54 <+24>:	bl	0xfb6c <printf>
   0x00008d58 <+28>:	sub	r3, r11, #16
   0x00008d5c <+32>:	ldr	r0, [pc, #96]	; 0x8dc4 <main+136>
   0x00008d60 <+36>:	mov	r1, r3
   0x00008d64 <+40>:	bl	0xfbd8 <__isoc99_scanf>
   0x00008d68 <+44>:	bl	0x8cd4 <key1>
   0x00008d6c <+48>:	mov	r4, r0
   0x00008d70 <+52>:	bl	0x8cf0 <key2>
   0x00008d74 <+56>:	mov	r3, r0
   0x00008d78 <+60>:	add	r4, r4, r3
   0x00008d7c <+64>:	bl	0x8d20 <key3>
   0x00008d80 <+68>:	mov	r3, r0
   0x00008d84 <+72>:	add	r2, r4, r3
   0x00008d88 <+76>:	ldr	r3, [r11, #-16]
   0x00008d8c <+80>:	cmp	r2, r3
   0x00008d90 <+84>:	bne	0x8da8 <main+108>
   0x00008d94 <+88>:	ldr	r0, [pc, #44]	; 0x8dc8 <main+140>
   0x00008d98 <+92>:	bl	0x1050c <puts>
   0x00008d9c <+96>:	ldr	r0, [pc, #40]	; 0x8dcc <main+144>
   0x00008da0 <+100>:	bl	0xf89c <system>
   0x00008da4 <+104>:	b	0x8db0 <main+116>
   0x00008da8 <+108>:	ldr	r0, [pc, #32]	; 0x8dd0 <main+148>
   0x00008dac <+112>:	bl	0x1050c <puts>
   0x00008db0 <+116>:	mov	r3, #0
   0x00008db4 <+120>:	mov	r0, r3
   0x00008db8 <+124>:	sub	sp, r11, #8
   0x00008dbc <+128>:	pop	{r4, r11, pc}
   0x00008dc0 <+132>:	andeq	r10, r6, r12, lsl #9
   0x00008dc4 <+136>:	andeq	r10, r6, r12, lsr #9
   0x00008dc8 <+140>:			; <UNDEFINED> instruction: 0x0006a4b0
   0x00008dcc <+144>:			; <UNDEFINED> instruction: 0x0006a4bc
   0x00008dd0 <+148>:	andeq	r10, r6, r4, asr #9
End of assembler dump.
(gdb) disass key1
Dump of assembler code for function key1:
   0x00008cd4 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008cd8 <+4>:	add	r11, sp, #0
   0x00008cdc <+8>:	mov	r3, pc
   0x00008ce0 <+12>:	mov	r0, r3
   0x00008ce4 <+16>:	sub	sp, r11, #0
   0x00008ce8 <+20>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008cec <+24>:	bx	lr
End of assembler dump.
(gdb) disass key2
Dump of assembler code for function key2:
   0x00008cf0 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008cf4 <+4>:	add	r11, sp, #0
   0x00008cf8 <+8>:	push	{r6}		; (str r6, [sp, #-4]!)
   0x00008cfc <+12>:	add	r6, pc, #1
   0x00008d00 <+16>:	bx	r6
   0x00008d04 <+20>:	mov	r3, pc
   0x00008d06 <+22>:	adds	r3, #4
   0x00008d08 <+24>:	push	{r3}
   0x00008d0a <+26>:	pop	{pc}
   0x00008d0c <+28>:	pop	{r6}		; (ldr r6, [sp], #4)
   0x00008d10 <+32>:	mov	r0, r3
   0x00008d14 <+36>:	sub	sp, r11, #0
   0x00008d18 <+40>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008d1c <+44>:	bx	lr
End of assembler dump.
(gdb) disass key3
Dump of assembler code for function key3:
   0x00008d20 <+0>:	push	{r11}		; (str r11, [sp, #-4]!)
   0x00008d24 <+4>:	add	r11, sp, #0
   0x00008d28 <+8>:	mov	r3, lr
   0x00008d2c <+12>:	mov	r0, r3
   0x00008d30 <+16>:	sub	sp, r11, #0
   0x00008d34 <+20>:	pop	{r11}		; (ldr r11, [sp], #4)
   0x00008d38 <+24>:	bx	lr
End of assembler dump.
(gdb)

程序逻辑为输入key1,key2,key3,三个函数的和即可。
需要知识如下

在ARM体系结构中LR的特殊用途有两种:一是用来保存子程序返回地址;二是当异常发生时,LR中保存的值等于异常发生时PC的值减4(或者减2),因此在各种异常模式下可以根据LR的值返回到异常发生前的相应位置继续执行。

在ARM的伪指令中,CODE16(thumb),CODE32(ARM)的作用是告诉编译器后面的指令类型

PC指向当前指令的下两条指令的地址

r0-r3 用作传入函数参数,传出函数返回值。在子程序调用之间,可以将 r0-r3 用于任何用途。
意思:以上三个函数的返回值都在r0

4、 BX 指令
BX 指令的格式为:
BX{条件} 目标地址
BX 指令跳转到指令中所指定的目标地址,目标地址处的指令既可以是ARM 指令,也可以是Thumb指令。

key1

观察代码发现以下语句

   0x00008cdc <+8>:	mov	r3, pc
   0x00008ce0 <+12>:	mov	r0, r3

因为r0为函数返回值,所以函数的返回值为pc,

pc指向当前指令下两条指令的地址

pc值为0x00008cdc+0x8

key2

观察以下语句

0x00008cfc <+12>:	add	r6, pc, #1
0x00008d00 <+16>:	bx	r6
0x00008d04 <+20>:	mov	r3, pc
0x00008d06 <+22>:	adds	r3, #4
0x00008d10 <+32>:	mov	r0, r3

可得r0的值为r3r3的值为pc+4,但是bx命令跳转为thumb模式,pc此处+2,最终值为0x00008d04+4+4

key3

经过前两个的提示,这个就很简单了,r0的值为lr的值。

LR的特殊用途有两种:一是用来保存子程序返回地址

查看返回地址为0x8d80
加起来即为答案

0x1A770(108400)

shisuan1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
leg.webarchive
04-10
leg.webarchive
lead-leg.slx
最新发布
10-08
采用双线性z变换进行超前滞后环节算法推导并进行结果验证
pwnable.kr之blackjack
river
05-17 2114
blackjack 这几天好忙,有点烦躁,这几天可能都没有什么时间刷题了。。。加油! 代码:http://cboard.cprogramming.com/c-programming/114023-simple-blackjack-program.html 拿到代码后,读代码….看题。 在代码中发现了这样一个函数,就是用户输入bet后,要判断一下,是不是大于500,如果大于500,就
pwnable.kr---leg
leeham的博客
10-30 1065
pwnable.krleg解题思路这是一道和asm有关的题,题目提供了源代码、.asm文件、flag文件以及leg的可执行文件。虽然leg.c代码比较长,但是关键点只有四处,掌握好四处关键点,就可以迎刃而解了。
pwnable.kr [Toddler's Bottle] - leg
Re:Umiade.tr
03-14 834
Daddy told me I should study arm. But I prefer to study my leg! Download : http://pwnable.kr/bin/leg.c Download : http://pwnable.kr/bin/leg.asm ssh leg@pwnable.kr -p2222 (pw:guest) 考查AR
pwnable.kr第二遍---leg
leeham的博客
03-16 275
&gt;&gt;&gt;&gt;&gt;leg1.一行权限的意思一共有7列第一列是权限,十个字符:1表示文件类型;2~4表示文件所有者权限;5~7表示文件所有者所属组的权限;8~10表示其他用户权限;常见的权限为wrx(读写执行);常见的文件类型有d-(目录/普通文件)第二列是文件的硬链接个数2.batch file:批处理批处理文件是无格式的文本文件,包含一条或多条命令。文件扩展名为.bat或....
pwnable.kr】day8:leg
weixin_38312031的博客
12-17 400
pwnableleg pwnable.krleg 题目链接 question Daddy told me I should study arm. But I prefer to study my leg! Download : http://pwnable.kr/bin/leg.c Download : http://pwnable.kr/bin/leg.asm ssh leg@pwnab...
LEG必备补丁.rar
01-29
LEG必备补丁.rar
leg_R.stl
04-09
leg_R.stl
OttoDIY_leg_V10.stl
11-14
OttoDIY_leg_V10.stl
Pwnable
03-26
Pwnable
pwnable.kr leg
r250414958的博客
08-03 208
看一下题目 提供了两个文件下载,我们来直接看一下 <leg.c> #include <stdio.h> #include <fcntl.h> int key1(){ asm("mov r3, pc\n"); } int key2(){ asm( "push {r6}\n" "add r6, pc, $1\n" "bx r6\n" ".code ...
pwnable.krleg
Jason_ZhouYetao的博客
07-08 494
首先看看asm代码: (gdb) disass main Dump of assembler code for function main: 0x00008d3c &lt;+0&gt;: push {r4, r11, lr} 0x00008d40 &lt;+4&gt;: add r11, sp, #8 0x00008d44 &lt;+8&gt;: sub sp, sp, #1...
pwn的学习8 leg
飞花的世界
01-02 225
首先看 。 Daddy told me I should study arm. But I prefer to study my leg! Download : http://pwnable.kr/bin/leg.c Download : http://pwnable.kr/bin/leg.asm ssh leg@pwnable.kr -p2222 (pw:guest) 那就首先下载le...
通过pwnable.kr从零学pwn
热门推荐
giantbranch的专栏
07-31 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
pwnable.kr 简单题目详细笔记汇总
H4ppyD0g的博客
09-12 832
pwnable.kr fd pwnable.kr collision pwnable.kr bof pwnable.kr flag pwnable.kr passcode pwnable.kr random pwnable.kr input pwnable.kr leg pwnable.kr mistake pwnable.kr shellshock pwnable.kr coin1 pwnable.kr lotto pwnable.kr cmd1 pwnable.kr cmd2 pwnable.kr u
pwnable.kr uaf
r250414958的博客
09-19 369
看题目就知道这是一道让我们熟悉uaf漏洞的题,由于我本人也是第一次接触uaf的概念,所以第一次会把概念了解详细一点,还是先从题目入手 为了方便学习我们先看源码 #include <fcntl.h> #include <iostream> #include <cstring> #include <cstdlib> #include <uni...
pwnable_001
for_mat_的博客
09-05 189
ssh直连 $cat fd.c buf里面存的要是LETMEWIN才有可能拿到???? 所以往上一语句查看 buf的值是从fd获得的 argc是参数的个数 有一个默认参数,除了默认参数外还要传入其他参数argv[1],才有可能拿到旗 fd是文件指针文件指针如果为0,就会变成stdin键盘输入,argv[0]是文件名 因此: 只要fd的值为0就可以进行输入了 0x1...
pwnable.krleg - ARM汇编 PC LR 寄存器 、THUMB汇编
think_ycx的专栏
10-01 640
  本关主要涉及了一些arm汇编的知识。 阅读leg.c源码发现,本关调用scanf从标准输入读取key后,判断是否和key1 key2 key3 三个函数的返回值的和相等。如果相等,则输出flag。但是ARM汇编的函数返回值和寄存器R0有关,并且key函数中涉及到了PC LR 寄存器的操作。因此需要阅读汇编。 int main(){ int key=0; printf("Daddy h...
class Leg {// 腿 private int length; public Leg(int length) { this.length = length; } public int getLength() { return length; } public void setLength(int length) { this.length = length; } } class Head {// 头 private String type;// 类型 public Head(String type) { this.type = type; } public String getType() { return type; } public void setType(String type) { this.type = type; } } class Person { private String name;// 姓名 private char sex;// 性别 private Leg leg;//腿 private Head head;//头 public Person(String name) { this.name = name; } public Person(String name, char sex) { this(name); this.sex=sex; } public Leg getLeg() { return leg; } public void setLeg(Leg leg) { this.leg = leg; } public Head getHead() { return head; } public void setHead(Head head) { this.head = head; } public String getPerson() { StringBuffer sb=new StringBuffer(); sb.append(this.name+leg.getLength()+head.getType()); return sb.toString(); } } //测试类 public class DogDemo { public static void main(String[] args) { Leg leg=new Leg(30); Head head=new Head("123"); Person zhangfei=new Person("234",'女'); zhangfei.setLeg(leg); zhangfei.setHead(head); leg.setLength(80); System.out.println(zhangfei.getPerson()); } }
05-31
return String.format("%s %d %s", name, leg.getLength(), head.getType()); } } public class DogDemo { public static void main(String[] args) { Leg leg = new Leg(30); Head head = new Head("123"); ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值