pwnable.tw--->start 01

最新推荐文章于 2025-05-24 15:01:02 发布
原创 最新推荐文章于 2025-05-24 15:01:02 发布 · 254 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#其他

本文探讨了如何通过IDA和PEDA分析Pwnable.tw的挑战,利用x86汇编中的漏洞执行shellcode。作者揭示了覆盖offset技巧,以及对execve函数调用的理解,强调了栈地址的重要性。最后,文章讲述了如何确定shellcode的放置位置,并分享了关于栈顶与栈底操作的深入思考。

pwnable.tw

01 前提--->链接

PWNABLE.TW

02 Challenges

01 start

IDA似乎看不出啥来

扔到peda里反汇编看一看,因为是x86(file可知),先写再读。

就知道这么点信息,没啥头绪,猜测是shellcode解。

write的长度是0x14,read的长度是0x3c,明显读的比写的长

覆盖_exit的offset是20,两种方法

1 在_start的ret处下断点--->到退出是20,32位对应4字节,5*4=20

2 直接利用peda的函数

 

写shellcode--->execve('/bin/sh',null,null)

为什么是execve('/bin/sh',null,null)呢?因为system("/bin/sh")的fork是execve啊,这里直接调用execve就好啊,看了下面这个图是不是懂一点?解释一下图---> 运行./hello --->子程序fork()--->调用execve,参数就是./hello(理解到这里就可以,不必往下先);同理啊,调用system--->fork()--->execve,参数是/bin/sh 或者/sh

有个问题哎--->把shellcode写到哪呢?

也不知道写到哪里?就一个.text段,那就往它上面写呗

结果:居然又让你输入,这说明没有覆盖ret啊

为什么呢?

然后我改了改,又报错!上面那张图我理解的不对,add esp,0x14---> 应该从esp+0x14处开始(找个地方,存储shellcode)--->那就有一个问题,这个时候esp是谁呢?我画个图,整理一下思路

 

所以EPI指到add esp,0x14的时候把esp赋值为0x8048087,即左边esp指向的位置,这个时候add esp,0x14等于右边那个. 这个想法也是错误的

参考博客:[Pwnable.tw] – start

总结:

1 泄露栈的地址相当于泄露esp的地址

2 其他参考博客

 

poc:

1  菜是原罪

2  这题还是出的挺不一般的,首先它不是leave, ret ,而是直接ret 

3  add esp,0x14 这处想明白了就明白了,另外泄露栈地址就是泄露esp啊

4  今天早上我就想,非得栈顶吗?反正是栈,我找到栈的栈底-0x100,然后我再这块放shellcode,不行吗?不行!为什么呢?因为栈总是栈顶入栈啊。除非我把栈顶的地址修改成栈底-0x100,或许这样行

pwnable.tw第一题start
计算机小白的博客
08-09 5714
这应该是我做的第一道pwn的题了(虽然也是看了很多别人的WriteUp),想了两天,才终于弄清楚了,在这里记录一下。拿到手以后发现是一个ELF文件,就放进kali虚拟机里面运行一下先: 程序启动以后打印一段话,然后让你输入,就完事了。 再放入IDA中,观察: 检测栈有点问题,不能够F5,强行看汇编。。。 5个push是打印出来的那句话, Let’s start the CTF: 下面一句
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 752
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
[BUUCTF]PWN——pwnable_start
mcmuyanga的博客
12-05 1552
pwnable_start 附件 步骤: 例行检查,32位程序,什么保护都没开,首先想到的是ret2shellcode的方法 本地试运行一下,看看程序大概的情况 32位ida载入,没法f5,好在汇编不长,看得懂 一开始调用write函数输出了let’s start the ctf,4是write函数的调用号,之后的调用号是3,调用了read函数,我们知道dl这个寄存器是控制输入字符的多少的,也就是所我们可以输入0x3c个字符,也就是执行了 write(1,buf,0x14) read
pwnable.twstart
weixin_51055545的博客
04-22 432
检查程序 任何保护都没开, 放到IDA中分析: 逆向分析 很简单的一个程序,只有start和exit两个函数,通过分析汇编,我们知道,程序先write出欢迎的语句,然后系统调用read(),来让我们输入,我们输入的栈上是可读可写可执行的,所以我们leak出stack地址,然后控制程序返回到我们构造好的shellcode即可, 思路 1.通过构造write()来leak出栈地址 2.通过控制返回地址,来执行我们的shellcode,从而达到getshell的目的. exp分析: io.recvuntil(
pwnable.tw---start
杀生丸?不,其实我要的是桔梗
04-30 1679
Pwnable.twstart 最近比赛玩了好几天的pwn,发现老是差点火候,开始正式刷刷Pwnable.tw看看。 题目分析: checksec : 第一次遇到什么防护都不开的程序,兴奋。 IDA: 题目只有start和exit。 检测栈有点问题,不能够F5,强行看汇编。。。 .text:08048060 public _start ....
pwnable.tw-2018-starbound_writeup
CabbageWind的博客
08-17 607
题目:Pwnable.tw-starbound 解法1:ret2libc 1.进入程序进行观察: 这是一个交互小游戏,存在多处用户输入的位置,很有可能存在栈溢出漏洞。 2.查看文件保护状态: 3.使用IDA中查看文件内容: 这个文件较之平时的其他题目代码量大了很多,存在许多输入位置,但是找了一圈没有可以直接利用的栈溢出漏洞。 4.在反汇编代码中发现一个逻辑漏洞: 在用户输入时,程序只对输入值进行了strtol()处理,并把该值作为数组下标,也就是说对于输入的数字只要不为零都是可以利用p_choice
pwnable.tw 1~5 心累
qq_42192672的博客
12-02 716
听说很难,来找虐 1.Start [100 pts] 之前湖湘杯有一题啥防护措施都没开启,我就不会做,所以不敢开心的太早 拖进IDA,这啥东西 还是直接看汇编吧 这是个系统调用 大概就是系统中断之后直接调用吧,边上有注释,不然我直接凉了 来,看一下汇编 先把地址给ecx,给了给长度范围,饭后执行标准输出,输出到终端,然后执行写操作 进入写函数以后,标准读入,长度还是2...
SVN客户端官方繁体汉化包LanguagePack_1.10.0.28176-x64-zh_TW.msi
04-17
SVN客户端官方繁体汉化包LanguagePack_1.10.0.28176-x64-zh_TW.msi
PyPI 官网下载 | tw2.core-2.2.1.1-py2.7.egg
02-02
资源来自pypi官网。 资源全名:tw2.core-2.2.1.1-py2.7.egg
pwnable.tw-start
qq_35661990的博客
10-05 1071
参考了好多文章才能大致理解shellcode 这题开始就有一个大坑 可以看到不同的checksec查看start文件会有不同的结果,就结果而言,GDB-PEDA的checksec很不靠谱。。我根本没有s命名的文件。。 所以,start是一个32位没有开启NX的程序,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行...
Pwnable.tw start [Writeup]
柷敔的博客
02-18 1181
Pwnable.tw start [Writeup] 题源 https://pwnable.tw/challenge/#1 题解 先看一下安全保护情况 再dump一下源码 拖到IDA里一看,也就是内联汇编写的代码(此处略去)。毕竟是入门第一题,都是用的简单的汇编指令。简单注释一下: [line 1]08048060 <_start>: [line 2] 8048060: 54 push %esp ; 泄露了栈地
pwnable_start 1
weixin_74861133的博客
03-25 487
好像不能编译,只能看汇编了。该程序主要有2个系统调用,先是使用write函数输出的write的系统调用,然后是使用read函数输入的read的系统调用。而read函数这只能读入0x3c的数据,根据后面的代码可知读入处距离返回地址只有0x14,故可以造成栈溢出。然后这题也没有什么libc,有没有开NX,故可以向栈中写入shellcode然后想办法跳转到shellcode处执行。
Pwnable.tw WP
AlexYoung28的博客
08-18 998
Pwnable.tw start 我们分析上图程序的汇编代码: 上图中的第一个方框,其实是将 : Let's start the CTF:  这句字符串压进栈; 第二个方框:其实是 system_write()函数, 参数中 fd =1, 说明是标准输出,也就是将 字符串打印输出在屏幕上; 第三个方框: 其实 标准输入函数,允许输入的长度是 3ch 也就是 60个字节; 但是buffe...
pwnable.tw 第一题之start
像初雪一样自由洒落
04-26 654
今天学长布置了作业,,,做这道题,,, 言承这次遇到的第一个情况,,,就是页面打开了,题目出不来。作为一名安全一份子,一直不会访问外网,流泪。 趁着这次机会,搞定了,参考博客:https://www.wonxun.net/share/444 然后我们来看题 32位的程序,程序什么也没开,,,感觉挺友善的哈 执行效果,,挺好就一个输入点,基本猜测就是栈溢出,,, 用id...
pwnable.tw start writeup
jmp esp
09-27 1578
题目.text:08048060 .text:08048060 public _start .text:08048060 _start proc near .text:08048060 push esp .text:08048061 push offset _exit .te
Secret Garden pwnable.tw
bjjkhff855的博客
05-24 614
笔记
pwnable.tw start,orw学习
weixin_46521144的博客
07-06 283
暑假开始刷pwnable.tw start 这个反编译出来一开始看蒙了,不知道在干啥。后来仔细看看字节码,发现是系统调用write输出的stack上的内容。 后面是read函数,观察修改的寄存器内容 发现是read系统调用,输入数据大小为0x3c 然而buffer大小为0x14,这就产生了栈溢出。这里是把一个shellcode放到返回地址,那就需要知道返回的栈地址,这里比较巧妙。注意到 这里将打印esp地址中的数据,只要返回ret的时候调用,就可以输出esp地址,在下一次放在re
pwnable.tw 001
foyjog的研究生涯
09-08 676
https://pwnable.tw/的网址,他是一个提供pwn题目的网址,做逆向破解,做做二进制也是必须的,所以也把做这些题目的心得记录下来。 第一题,start,地址为nc chall.pwnable.tw 10000,我们下载这个文件,然后拖入ida进行分析。 很短的代码,贴出来如下:ext:08048060 public _start .text:0804
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1644
pwnable.tw—orw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
<application> <action-listener>org.primefaces.application.DialogActionListener</action-listener> <navigation-handler>org.primefaces.application.DialogNavigationHandler</navigation-handler> <view-handler>org.primefaces.application.DialogViewHandler</view-handler> <el-resolver>org.primefaces.application.exceptionhandler.PrimeExceptionHandlerELResolver</el-resolver> <locale-config> <default-locale>zh_CN</default-locale> <supported-locale>en_US</supported-locale> <supported-locale>tw_CH</supported-locale> </locale-config> </application> 解释下
最新发布
07-10
<default-render-kit-id>org.primefaces.renderkit.PartialResponseRenderKit</default-render-kit-id> </application> <!-- 导航规则(可选) --> <navigation-rule> <from-view-id>/login.xhtml</from-view-...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值