[BUUCTF]刷题:pwnable_start

原创 已于 2022-07-06 10:52:48 修改 · 372 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2022-07-06 10:49:35 首次发布
博主国赛初赛失利,意识到自己对shellcode生疏,之后因转专业考试未练习,现打算集中研究。以BUU上的题为例,分析题目,利用栈溢出漏洞泄露栈上数据地址,将shellcode写入,强调需自己编写shellcode,最后拿到flag。

国赛初赛是一个月前的事了,菜鸡的队伍被学校的学长们暴打,初赛pwn题的shellcode题就让我感觉到自己对于shellcode还是有点生疏——水平仅限于用pwntools自带的shellcode。之后的一个月因为要转专业忙于期末考试,也没能练习,这段时间打算集中精力找点shellcode题研究研究。

先来BUU上的这道题,题倒不算难......

 checksec一下发现NX没开,估摸着是道shellcode题。扔进IDA里面发现不能F5,但是汇编较为简单。前面是一个欢迎语的write和一个0x3c的read。

话说这里不知道是什么情况并没有用到ebp,只用了esp,有大佬知道的话还请在评论区普及一下。

 再往下就是退出函数了,没啥东西。

我们要注意0x08048060处的指令:将esp压入栈中,这使得我们可以通过泄露栈中数据来获得栈上数据地址。而图示汇编有输入和输出的功能,可以用于泄露。

我们注意到当程序执行完0x8084809c处的ret之后,此时栈顶就是我们之前压栈的esp值,而由于这里的read有一个栈溢出漏洞,我们可以控制程序返回执行0x08048087将此时栈顶内容打印出来,这样我们就知道了栈上数据的地址。再利用下面的输入功能把shellcode写进去即可得到shellcode。

常用的手法是把"/bin/sh"压进栈中,用xor置零把ecx和edx清零,然后将esp的值赋给ebx,在令eax为0xb,最后计算出来shellcode所在的地址,并将其填入函数返回地址。

需要注意的是pwntools自

最低0.47元/天 解锁文章
openssl: 错误SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED
mzhan017的博客
11-15 1万+
文章目录错误envoyAWS总结的可能原因 错误 2021-11-15 03:35:51.692][359][debug][connection] [source/extensions/transport_sockets/tls/ssl_socket.cc:225] [C8] TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED [2021-11-15 03:35:51.692][359][debug][co
TypeError: __init__() got an unexpected keyword argument &#34serialized_options &#34
jacke121的专栏
05-29 7404
TypeError: __init__() got an unexpected keyword argument 'serialized_options' TypeError: __init__() got an unexpected keyword argument 'serialized_options' 这是由于包版本和python版本不匹配导致的 导入哪个包报这个错,就升级那个包,运行语句如下: pip install -U 包名 例如:pip install -U onnx 原文链.
[BUUCTF]PWN——pwnable_start
mcmuyanga的博客
12-05 1564
pwnable_start 附件 步骤: 例行检查,32位程序,什么保护都没开,首先想到的是ret2shellcode的方法 本地试运行一下,看看程序大概的情况 32位ida载入,没法f5,好在汇编不长,看得懂 一开始调用write函数输出了let’s start the ctf,4是write函数的调用号,之后的调用号是3,调用了read函数,我们知道dl这个寄存器是控制输入字符的多少的,也就是所我们可以输入0x3c个字符,也就是执行了 write(1,buf,0x14) read
BUUCTF pwnable_start
BengDouLove的博客
05-01 452
程序只有这么点代码,稍微分析一下 esp入栈,返回地址入栈(这里直接返回到exit函数,就退出程序了) 清空四个寄存器 这些东西被入栈,不知道是什么,往下看 这里调用了write函数,在汇编当中调用write函数的形式和寄存器是这样的 wtite ( fd , addr , length ) 三个参数对应的寄存器为 ebx ecx edx 将esp赋值给了ecx,说明要打...
BUUCTF--pwnable_start1
qq_30528603的博客
01-06 499
主要就2个功能,通过系统调用来执行读写功能,将字符串Let's start the CTF:输出,然后接收用户输入。也就是我们能刚好覆盖到返回地址,但是我的shellcode有0x18个字节。而且我们惊奇的发现,这两个值相差0x4,因此我们需要通过write函数将他泄露出来,紧着这我们的返回地址就有了,步骤shellocode就是要返回到布局的栈地址处执行。此时esp要索引到返回地址,将直接执行add esp,14h。存在栈溢出,那么这的想法就是直接ret2shellcode了。
关于BUUCTF之“pwnable_start”的一点小结
Probeginner的博客
12-07 433
之前这个用汇编代码编写shellcode题目做的较少,这算是开端。 正常检查程序保护,啥也没开。 我们先分析一波程序: 需要用到一点汇编知识,总的意思是:四个xor清零四个寄存器。而后压栈数据,是最开始会输出的“Let’s start the CTF:”然后调用write函数输出上面内容0x14个字节。而后调用read函数输入最大0x3c字节内容。在add esp ;然后返回。 我们选择shellcode在栈上执行办法。所以我们需要泄露栈地址,计算偏移量,覆盖返回地址为shellcode所在地址 .
BUUCTF ciscn_2019_en_21
Helloity的博客
02-07 745
ctf
BUUCTF pwnable_start心路历程
weixin_45441024的博客
11-28 4300
记第一篇pwn的做心路历程 pwnable_start 我们把题目下载下来,在ubuntu里面进行一下检查,checksec+文件路径 看起来是一道非常其简单的,接下来放到IDA里面查看一下: 我们来分段进行分析,首先 系统执行了如下命令: 程序push了一个esp,push了一个exit(退出程序) 紧接着执行了如下指令,这里说明一下xor eax,eax的值等于0,在这里程序将这四个寄存器的值都清空为0了 这里push了共计为20(0x14)个字节,至于具体是什么我也不知道 这里我们可以
pwnable_start
pondzhang的专栏
03-13 420
from pwn import * loacl_elf = ELF("./start") context.arch = loacl_elf.arch #p = process("./start") p = remote("node3.buuoj.cn",28802) #gdb.attach(p, 'b* 0x08048060') #shellcode=asm(shellcraft.sh()) shellcode = asm("xor ecx,ecx;\ xor edx,.
pwnable_start 1
weixin_74861133的博客
03-25 489
好像不能编译,只能看汇编了。该程序主要有2个系统调用,先是使用write函数输出的write的系统调用,然后是使用read函数输入的read的系统调用。而read函数这只能读入0x3c的数据,根据后面的代码可知读入处距离返回地址只有0x14,故可以造成栈溢出。然后这也没有什么libc,有没有开NX,故可以向栈中写入shellcode然后想办法跳转到shellcode处执行。
pwnable_start | Buuoj Pwn
最新发布
ULGANOY的博客
08-15 252
buuoj的pwnable_start题目记录
pwnable_start(write up)
m0_73756460的博客
01-19 266
buu pwnable_start(write up)
buuctfpwnable_start)(babyfengshui_33c3_2016)(gyctf_2020_borrowstack)(ciscn_2019)(hitcontraining_h)
cainiao78777的博客
05-17 293
可以通过先申请几个小堆块chunnk0,1,2,3,再利用off by one漏洞用0修改1的大小,把2和一造成重叠,然后再申请回来,通过1把2的存储堆块指针的地方修改为free的got表地址,这样就能dump出来泄露libc,然后计算system,再修改free的got为system函数地址,然后free3就能getshell了。存储字符的时候,三个4字节大小的部分分别是printf的地址(相当于dump)free堆块的操作地址,存储字符的堆块的地址。
pwnable.tw-start
qq_35661990的博客
10-05 1080
参考了好多文章才能大致理解shellcode开始就有一个大坑 可以看到不同的checksec查看start文件会有不同的结果,就结果而言,GDB-PEDA的checksec很不靠谱。。我根本没有s命名的文件。。 所以,start是一个32位没有开启NX的程序,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行...
【pwn】pwnable_start --只有read和write函数的getshell
question55的博客
02-04 1083
addrlenfd'<'LINUX -
pwnable.tw 第一start
像初雪一样自由洒落
04-26 666
今天学长布置了作业,,,做这道,,, 言承这次遇到的第一个情况,,,就是页面打开了,题目出不来。作为一名安全一份子,一直不会访问外网,流泪。 趁着这次机会,搞定了,参考博客:https://www.wonxun.net/share/444 然后我们来看 32位的程序,程序什么也没开,,,感觉挺友善的哈 执行效果,,挺好就一个输入点,基本猜测就是栈溢出,,, 用id...
buu pwnable_start 详解
m0_74172100的博客
07-11 282
这里是不是使得 ret (返回地址)成为了新栈的内容,因此利用题目自带的write函数 将ret(返回地址)填入 p32(0x0804808),然后执行 mov ecx,esp。#使esp(栈顶)增加了0x14字节,ebp没改变,使用的内平栈,没有ebp,覆盖完buf后就是ret,从ret开始就是一个新的栈。之前加上一个push ecx 还是因为 add esp,14h ,使得 ret (返回地址)成为了新栈的内容,所以使用 push ecx ,使 esp-4 跳过 ret的地址。
SAP HANA日期函数详解:ADD_days至ADD_WORKDAYS操作
其语法为`ADD_WORKDAYS(<factory_calendar_id>, <start_date>, , [source_schema])`,其中参数包括工厂日历ID、起始日期、工作日列表以及可选的源模式。例如,计算某个工作日后30个工作日的日期。 这些日期函数在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值