zoukankan      html  css  js  c++  java
  • 萌新带你开车上p站(二)

    本文作者:萌新

    前情提要:萌新带你开车上p站(一)

     

    0x04flag 


     

    看题目描述似乎是一个和脱壳相关的逆向题目

    按照给出的地址先下载过来 

    1.png

     

     

     

     

     

     

     

     

     

    file看看

    2.png

     

     

     

     

    是个可执行文件

    执行之 

    3.png

     

    emm什么都看不出来,又没有源码

    那载入gdb吧 

    4.png

     

    5.jpg

     

     

     

     

     

     

     

    emmm,没有符号表,无法反汇编

    哦,对了,根据题目的提示这是加了壳的,所以先脱壳

    这是什么壳呢?

    Strings看看 

    6.jpg

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    upx的

    这里简单介绍下upx:

    UPX是一个著名的压缩壳,主要功能是压缩PE文件(比如exe,dll等文件),有时候也可能被病毒用于免杀.壳upx是一种保护程序。一般是EXE文件的一种外保护措施,主要用途 :

    1、让正规文件被保护起来,不容易被修改和破解。

    2、使文件压缩变小。

    3、保护杀毒软件安装程序,使之不受病毒侵害。

    4、木马,病毒的保护外壳,使之难以为攻破

    和很多壳比起来upx的手动脱壳也比较简单,但是本文主要学习pwn而不是脱壳,

    如果有对upx手动脱壳有兴趣的话这里推荐一篇文章:https://blog.csdn.net/fawdlstty/article/details/8332227

    我们这里直接自动脱壳就可以了

    7.png

     

     

     

     

    接下来再载入gdb 

    8.jpg

     

     

     

     

     

     

     

    反汇编main后看到了一个地址

    打印出来 

    9.png

     

    这就是flag了

    加壳与脱壳技术实践操作:http://www.hetianlab.com/cour.do?w=1&c=CCIDe9a2-7038-4d4f-951e-c5b068d31798

     

    0x05passcode


     

    0.png

     

     

     

     

     

     

     

     

     

    看题目描述,编译时没有报error,那是不是会报warning呢

    连上机器后先看看源码

    11.jpg

     

     

     

     

     

     

     

     

     

     

     

     

    从源码中可以看到

    1.程序功能是先输入name,然后输入passcode1,passcode2,相当于输入一个用户名,两个密码

    2,main中接连执行welcome,login,中间没有push,pop,二者ebp相同

    3,login()中scanf接收输入的时候,passcode1,passcode2没有加上&取地址,又由于passcode1,passcode2没有被初始化,所以我们scanf输入数据时,数据被保存到哪儿是未知的,只是知道数据被保存到passcode1,passcode2的值指向的地址中去了。

    考虑2和3,我们猜想是否可以通过控制name的内容进而控制passcode1,passcode2呢?毕竟name取100字节,三者的ebp又是相同的

    不过具体是否可行,我们上gdb试试 

    12.jpg

     

     

     

     

     

     

     

     

     

    13.jpg

     

     

     

     

     

     

     

     

     

     

     

    图x

    可以看到name地址为%ebp-0x70,passcode1地址为ebp-0x10,二者差0x70-0x10=96个字节。

    Passcode2地址为%ebp-0xc,.name和passcode2从差0x70-0xc=100个字节,我们只能通过写name控制passcode1,但是不能控制passcode2

    既然可以控制passcode1,那么思路就清楚了。

    由源码逻辑可知,printf,scanf,fflush

    我们控制passcode1的地址(name的最后4字节)为ffliush地址,在随后scanf(“%d”,passcode1)接收输入时我们输入system(“/bin/cat flag)的地址

    这样当执行fflush时,将会执行system,从而读到flag

    通过GOT表获取flush地址

    14.jpg

     

     

     

     

     

     

    在图x中可以看到调用system的地址为080485ea,不过在此之前还有传参的操作,所以实际上,地址应该为0x080485e3,十进制为134514147

    从而构造出exp

    151.png

     

     

     

    总结一下,这里用到的技术叫做GOT覆写,就本题而言,是这样子的:

    我们通过控制nane的最后四个字节,将passcode1的值改为fflush的地址,而在程序中,scanf后会调用fflush,而我们已经把system(“bin/cat flag”)的地址写到fflush中,覆盖了fflush在GOT表中的内容,所以当scanf调用时,会直接执行system打印flag,绕过了后面比较passcode1,passcode2的逻辑。

     

    0x06random


     

    16.png

     

     

     

     

     

     

     

     

     

    看描述,是和随机数有关系 

    17.jpg

     

     

     

     

     

     

     

     

     

     

     

     

     

    由源码可知,当满足key与random异或得0xdeadbeef时才打印flag

    而random的值由rand函数产生,key的值由我们输入

    那么本题的关键就是找到random的值是多少

    我们知道,rand函数产生的实际是伪随机数,所以我们可以写个程序,先由rand生成一个数,将其与0xdeadbeef相异或,得到的值就是我们输入的key

    这是一种思路

    或者我们也可以用gdb调试,在程序判断if条件是否成立的地方下断点,观察内存布局,也是可以得到random的值的 

    18.jpg

     

     

     

     

     

     

     

     

     

     

     

     

    下了断点后输入2,然后命中

    19.png

     

     

    可以看到,2是我们的输入,而0x6b8b4567则是random

    那么我们将该值与random异或即可得到输入的key 

    20.png

     

     

    0x07leg 


     

    21.png

     

     

     

     

     

     

     

     

    看题目这题是和arm、汇编相关的

    把源程序下过来看看

    22.jpg

     

     

     

     

     

     

     

     

     

     

     

     

     

    看到main中需要满足key1()+key2()+key3()=key才可打印出flag

    key是我们需要输入的

    key1()等表示的相关函数的返回值

    那么本题就是要求出相关函数的返回值并相加

    而c源码中这三个函数都是内联汇编的形式

    还是直接用gdb看看吧

    题目和我们说了这是arm

    通常情况下,arm以r0寄存器存返回值,对应在x86中就是eax

    这一点从汇编中也可以看出 

    23.jpg

     

     

     

     

     

     

     

     

     

     

     

     

    那么在每个函数中r0的值是多少呢

    一一看过来

    先看key1

    24.png

     

     

     

     

    可以看到,pc->r3->r0,也就是说r0的值为pc寄存器的值

    这里有个知识点

    ARM属于RISC,精简指令及,分三段流水,取指、译码、执行

    当mov r3,pc执行时,此时的pc为当前指令地址+0x8,及0x8cdc+0x8

    再看key2 

    25.png

     

     

     

     

     

     

    add r6,pc,#1的意思是r6=pc+1,由key1的知识知,r6=0x8cfc+8+1,该值最低位为1

    为什么要强调最低位

    因为后面一条指令bx r6

    bx指令用于切换处理器状态模式,最低位为1时,切换到Thumb指令执行,为0时,解释为ARM指令执行

    所以执行该指令后就切换到了thumb模式下

    而thumb模式下pc值为当前指令地址+4

    所以执行r3,pc时,r3的值为0x8d04+4

    再执行adds,r3,#4后r3的值Wie0x8d04+4+4

    执行mov r0,r3后,r0的值也同r3

    再看看key3 

    262.png

     

     

     

     

    执行红框中的两条指令后,r0的值等于lr的值

    lr即r14,存放是函数返回地址

    具体的值在main中可以看到,为0x8d80

    综上,得key值为108400 

    27.png

     

     

     

    欲知后续,请留意每日文章推送!

  • 相关阅读:
    转】Apache解决高并发和高可用
    Kafka学习(一)配置及简单命令使用
    unity3d教程动态创建简单平面地形
    LeetCode: Unique Binary Search Trees [095]
    德惠也有星巴克
    一个css和js结合的下拉菜单,支持主流浏览器
    【图像处理】人类视觉成像原理
    windows使用nginx+memcached实现负载均衡和session或者缓存共享
    OpenCV基础篇之画图及RNG随机数对象
    在阿里云上布置git server
  • 原文地址:https://www.cnblogs.com/hetianlab/p/12703432.html
Copyright © 2011-2022 走看看