查看原题代码:

#include <stdio.h>

#include <fcntl.h>

int key1(){

    asm("mov r3, pc\n");

}

int key2(){

    asm(

    "push    {r6}\n"

    "add    r6, pc, $1\n"

    "bx    r6\n"

    ".code   16\n"

    "mov    r3, pc\n"

    "add    r3, $0x4\n"

    "push    {r3}\n"

    "pop    {pc}\n"

    ".code    32\n"

    "pop    {r6}\n"

    );

}

int key3(){

    asm("mov r3, lr\n");

}

int main(){

    int key=;

    printf("Daddy has very strong arm! : ");

    scanf("%d", &key);

    if( (key1()+key2()+key3()) == key ){

        printf("Congratz!\n");

        int fd = open("flag", O_RDONLY);

        char buf[];

        int r = read(fd, buf, );

        write(, buf, r);

    }

    else{

        printf("I have strong leg :P\n");

    }

    return ;

}

知道我们只要使输入的值等于 key1()+key2()+key3() ,就能拿到flag

key1()

题目提供的汇编代码:

Dump of assembler code for function key1:

   0x00008cd4 <+>:    push    {r11}        ; (str r11, [sp, #-]!)

   0x00008cd8 <+>:    add    r11, sp, #

   0x00008cdc <+>:    mov    r3, pc

   0x00008ce0 <+>:    mov    r0, r3

   0x00008ce4 <+>:    sub    sp, r11, #

   0x00008ce8 <+>:    pop    {r11}        ; (ldr r11, [sp], #)

   0x00008cec <+>:    bx    lr

End of assembler dump.

核心代码为:

   0x00008cdc <+>:    mov    r3, pc

   0x00008ce0 <+>:    mov    r0, r3

意思是把pc寄存器的值传递给r3寄存器,再把r3寄存器的值传递给r0,然后r0寄存器的值作为函数的返回值

在ARM汇编指令中,寄存器pc的值为当前指令地址加8个字节,所以寄存器pc中的值为 0x00008cdc+8,则函数返回值为 0x00008cdc+8

key2()

题目提供的代码为:

Dump of assembler code for function key2:

   0x00008cf0 <+>:    push    {r11}        ; (str r11, [sp, #-]!)

   0x00008cf4 <+>:    add    r11, sp, #

   0x00008cf8 <+>:    push    {r6}        ; (str r6, [sp, #-]!)

   0x00008cfc <+>:    add    r6, pc, #

   0x00008d00 <+>:    bx    r6

   0x00008d04 <+>:    mov    r3, pc

   0x00008d06 <+>:    adds    r3, #

   0x00008d08 <+>:    push    {r3}

   0x00008d0a <+>:    pop    {pc}

   0x00008d0c <+>:    pop    {r6}        ; (ldr r6, [sp], #)

   0x00008d10 <+>:    mov    r0, r3

   0x00008d14 <+>:    sub    sp, r11, #

   0x00008d18 <+>:    pop    {r11}        ; (ldr r11, [sp], #)

   0x00008d1c <+>:    bx    lr

End of assembler dump.

核心代码为:

   0x00008cfc <+>:    add    r6, pc, #

   0x00008d00 <+>:    bx    r6

   0x00008d04 <+>:    mov    r3, pc

   0x00008d06 <+>:    adds    r3, #

   0x00008d08 <+>:    push    {r3}

   0x00008d0a <+>:    pop    {pc}

   0x00008d0c <+>:    pop    {r6}        ; (ldr r6, [sp], #)

   0x00008d10 <+>:    mov    r0, r3

pc寄存器的值为:0x00008cfc+8 ,则r6寄存器的值为:pc+1=0x00008cfc+8+1,第二行指令  bx 是跳转指令,并且还会根据目标地址最低位判断是否更该处理的状态,此时 r6=0x00008cfc+8+1=0x00008d05,转化为二进制为 1000110100000101,最低位为1,所以应该转换为 Thumb状态。

由于转换状态,第三行汇编代码中pc=0x00008d04+4(注意:只增加4个字节),所以 r3=pc=0x00008d04+4

第四行,r3存储的值加4,值为 0x00008d04+4+4,按顺序执行下去可得最后 key2() 的返回值为:0x00008d04+4+4

key3():

题目所给代码为:

Dump of assembler code for function key3:

   0x00008d20 <+>:    push    {r11}        ; (str r11, [sp, #-]!)

   0x00008d24 <+>:    add    r11, sp, #

   0x00008d28 <+>:    mov    r3, lr

   0x00008d2c <+>:    mov    r0, r3

   0x00008d30 <+>:    sub    sp, r11, #

   0x00008d34 <+>:    pop    {r11}        ; (ldr r11, [sp], #)

   0x00008d38 <+>:    bx    lr

End of assembler dump.

核心代码为:

   0x00008d28 <+>:    mov    r3, lr

   0x00008d2c <+>:    mov    r0, r3

lr寄存器存储的是当前函数执行完毕后的返回地址,故需要去main()函数中去找:

   0x00008d74 <+>:    mov    r3, r0

   0x00008d78 <+>:    add    r4, r4, r3

   0x00008d7c <+>:    bl    0x8d20 <key3>

   0x00008d80 <+>:    mov    r3, r0

   0x00008d84 <+>:    add    r2, r4, r3

   0x00008d88 <+>:    ldr    r3, [r11, #-]

   0x00008d8c <+>:    cmp    r2, r3

观察可知 lr的值为 0x00008d80,故key3()的返回值为: 0x00008d80

那么我们最后应该输入的值为 :0x00008cdc+8+0x00008d04+4+4+0x00008d80=1A770,由于题目要求输入十进制,故转化为十进制为 108400

flag为:My daddy has a lot of ARMv5te muscle!

  1. 知道C语言可以内嵌汇编代码,并了解了内嵌汇编的基本语法
  2. 学习了ARM汇编指令,在ARM汇编中,其寄存器是r0~r15,其中r13(别名:sp),它通常指向通常指向异常模式所专用的堆栈,也就是说五种异常模式、非异常模式(用户模式和系统模式),都有各自独立的堆栈,用不同的堆栈指针来索引。这样当ARM进入异常模式的时候,程序就可以把一般通用寄存器压入堆栈,返回时再出栈,保证了各种模式下程序的状态的完整性。lr(r14),存放的是函数的返回地址,一般调用子函数用的比较多,pc(r15),值为当前操作的地址
  3. 放几个写得比较好的博客:https://blog.csdn.net/bytxl/article/details/49883103

https://blog.csdn.net/aguangg_6655_la/article/details/53613270

pwnable.kr之leg的更多相关文章

  1. 【pwnable.kr】leg

    pwnable从入门到放弃第八题. Download : http://pwnable.kr/bin/leg.cDownload : http://pwnable.kr/bin/leg.asm ssh ...

  2. pwnable.kr详细通关秘籍(二)

    i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考 ...

  3. pwnable.kr的passcode

    前段时间找到一个练习pwn的网站,pwnable.kr 这里记录其中的passcode的做题过程,给自己加深印象. 废话不多说了,看一下题目, 看到题目,就ssh连接进去,就看到三个文件如下 看了一下 ...

  4. pwnable.kr bof之write up

    这一题与前两题不同,用到了静态调试工具ida 首先题中给出了源码: #include <stdio.h> #include <string.h> #include <st ...

  5. pwnable.kr col之write up

    Daddy told me about cool MD5 hash collision today. I wanna do something like that too! ssh col@pwnab ...

  6. pwnable.kr brainfuck之write up

    I made a simple brain-fuck language emulation program written in C. The [ ] commands are not impleme ...

  7. pwnable.kr login之write up

    main函数如下: auth函数如下: 程序的流程如下: 输入Authenticate值,并base64解码,将解码的值代入md5_auth函数中 mad5_auth()生成其MD5值并与f87cd6 ...

  8. pwnable.kr simple login writeup

    这道题是pwnable.kr Rookiss部分的simple login,需要我们去覆盖程序的ebp,eip,esp去改变程序的执行流程   主要逻辑是输入一个字符串,base64解码后看是否与题目 ...

  9. pwnable.kr第二天

    3.bof 这题就是简单的数组越界覆盖,直接用gdb 调试出偏移就ok from pwn import * context.log_level='debug' payload='A'*52+p32(0 ...

随机推荐

  1. Netty(二):如何处理io请求?

    文接上一篇.上篇讲到netty暴露一个端口出来,acceptor, handler, pipeline, eventloop 都已准备好.但是并没体现其如何处理接入新的网络请求,今天我们就一起来看看吧 ...

  2. java开发在线下载功能,自动打开浏览器下载功能下载网络文件或图片

    因为业务的需要,公司产品要求商品详情页面有个下载的功能 找了很多的方法,发现有的需要打开一个新窗口,而且在某些浏览器上不适用,所以继续寻找更好的方法 跟同事沟通后发现他那里有个下载的方法,不过是C#写 ...

  3. 2020-08-02:输入ping IP 后敲回车,发包前会发生什么?

    福哥答案2020-08-02: 首先根据目的IP和路由表决定走哪个网卡,再根据网卡的子网掩码地址判断目的IP是否在子网内.如果不在则会通过arp缓存查询IP的网卡地址,不存在的话会通过广播询问目的IP ...

  4. C#LeetCode刷题之#27-移除元素(Remove Element)

    问题 该文章的最新版本已迁移至个人博客[比特飞],单击链接 https://www.byteflying.com/archives/3624 访问. 给定一个数组 nums 和一个值 val,你需要原 ...

  5. arm-linux-gcc-4.4.3.tar.gz

    http://u.163.com/xzbSXC6T 提取码: QNk9KsMH

  6. 靶机练习 - ATT&CK红队实战靶场 - 1. 环境搭建和漏洞利用

    最近某个公众号介绍了网上的一套环境,这个环境是多个Windows靶机组成的,涉及到内网渗透,正好Windows和内网渗透一直没怎么接触过,所以拿来学习下. 下载地址:http://vulnstack. ...

  7. DB2根据报错代码查看表与字段信息

    select * from syscat.tables where tbspaceid='?' and tableid='?' select * from syscat.columns where t ...

  8. SpringBoot集成Junit

    1.在pom.xml下添加Junit依赖: <!--添加junit环境的jar包--> <dependency> <groupId>org.springframew ...

  9. Jmeter 常用函数(31)- 详解 __iterationNum

    如果你想查看更多 Jmeter 常用函数可以在这篇文章找找哦 https://www.cnblogs.com/poloyy/p/13291704.html 作用 获取当前线程的循环次数,跟线程组属性挂 ...

  10. Jupyter Notebook 入门指南

    https://www.jianshu.com/p/061c6e5c4b0d cmd输入 :jupyter notebook