pwnable从入门到放弃第八题。

Download : http://pwnable.kr/bin/leg.c
Download : http://pwnable.kr/bin/leg.asm

ssh leg@pwnable.kr -p2222 (pw:guest)

先下载这两个文件:leg.c

#include <stdio.h>

#include <fcntl.h>

int key1(){

    asm("mov r3, pc\n");

}

int key2(){

    asm(

    "push    {r6}\n"

    "add    r6, pc, $1\n"

    "bx    r6\n"

    ".code   16\n"

    "mov    r3, pc\n"

    "add    r3, $0x4\n"

    "push    {r3}\n"

    "pop    {pc}\n"

    ".code    32\n"

    "pop    {r6}\n"

    );

}

int key3(){

    asm("mov r3, lr\n");

}

int main(){

    int key=;

    printf("Daddy has very strong arm! : ");

    scanf("%d", &key);

    if( (key1()+key2()+key3()) == key ){

        printf("Congratz!\n");

        int fd = open("flag", O_RDONLY);

        char buf[];

        int r = read(fd, buf, );

        write(, buf, r);

    }

    else{

        printf("I have strong leg :P\n");

    }

    return ;

}

代码貌似逻辑很直接,就是输入key,当key=key1+key2+key3时就可以了。

但是3个函数居然都是汇编= =、、、 而且还是arm的。。 让不让人活了。。

leg.asm 还不如直接看全汇编

(gdb) disass main

Dump of assembler code for function main:

   0x00008d3c <+>:    push    {r4, r11, lr}

   0x00008d40 <+>:    add    r11, sp, #

   0x00008d44 <+>:    sub    sp, sp, #

   0x00008d48 <+>:    mov    r3, #

   0x00008d4c <+>:    str    r3, [r11, #-]

   0x00008d50 <+>:    ldr    r0, [pc, #]    ; 0x8dc0 <main+>

   0x00008d54 <+>:    bl    0xfb6c <printf>

   0x00008d58 <+>:    sub    r3, r11, #

   0x00008d5c <+>:    ldr    r0, [pc, #]    ; 0x8dc4 <main+>

   0x00008d60 <+>:    mov    r1, r3

   0x00008d64 <+>:    bl    0xfbd8 <__isoc99_scanf>

   0x00008d68 <+>:    bl    0x8cd4 <key1>

   0x00008d6c <+>:    mov    r4, r0

   0x00008d70 <+>:    bl    0x8cf0 <key2>

   0x00008d74 <+>:    mov    r3, r0

   0x00008d78 <+>:    add    r4, r4, r3

   0x00008d7c <+>:    bl    0x8d20 <key3>

   0x00008d80 <+>:    mov    r3, r0

   0x00008d84 <+>:    add    r2, r4, r3

   0x00008d88 <+>:    ldr    r3, [r11, #-]

   0x00008d8c <+>:    cmp    r2, r3

   0x00008d90 <+>:    bne    0x8da8 <main+>

   0x00008d94 <+>:    ldr    r0, [pc, #]    ; 0x8dc8 <main+>

   0x00008d98 <+>:    bl    0x1050c <puts>

   0x00008d9c <+>:    ldr    r0, [pc, #]    ; 0x8dcc <main+>

   0x00008da0 <+>:    bl    0xf89c <system>

   0x00008da4 <+>:    b    0x8db0 <main+>

   0x00008da8 <+>:    ldr    r0, [pc, #]    ; 0x8dd0 <main+>

   0x00008dac <+>:    bl    0x1050c <puts>

   0x00008db0 <+>:    mov    r3, #

   0x00008db4 <+>:    mov    r0, r3

   0x00008db8 <+>:    sub    sp, r11, #

   0x00008dbc <+>:    pop    {r4, r11, pc}

   0x00008dc0 <+>:    andeq    r10, r6, r12, lsl #

   0x00008dc4 <+>:    andeq    r10, r6, r12, lsr #

   0x00008dc8 <+>:            ; <UNDEFINED> instruction: 0x0006a4b0

   0x00008dcc <+>:            ; <UNDEFINED> instruction: 0x0006a4bc

   0x00008dd0 <+>:    andeq    r10, r6, r4, asr #

End of assembler dump.

(gdb) disass key1

Dump of assembler code for function key1:

   0x00008cd4 <+>:    push    {r11}        ; (str r11, [sp, #-]!)

   0x00008cd8 <+>:    add    r11, sp, #

   0x00008cdc <+>:    mov    r3, pc

   0x00008ce0 <+>:    mov    r0, r3

   0x00008ce4 <+>:    sub    sp, r11, #

   0x00008ce8 <+>:    pop    {r11}        ; (ldr r11, [sp], #)

   0x00008cec <+>:    bx    lr

End of assembler dump.

(gdb) disass key2

Dump of assembler code for function key2:

   0x00008cf0 <+>:    push    {r11}        ; (str r11, [sp, #-]!)

   0x00008cf4 <+>:    add    r11, sp, #

   0x00008cf8 <+>:    push    {r6}        ; (str r6, [sp, #-]!)

   0x00008cfc <+>:    add    r6, pc, #

   0x00008d00 <+>:    bx    r6

   0x00008d04 <+>:    mov    r3, pc

   0x00008d06 <+>:    adds    r3, #

   0x00008d08 <+>:    push    {r3}

   0x00008d0a <+>:    pop    {pc}

   0x00008d0c <+>:    pop    {r6}        ; (ldr r6, [sp], #)

   0x00008d10 <+>:    mov    r0, r3

   0x00008d14 <+>:    sub    sp, r11, #

   0x00008d18 <+>:    pop    {r11}        ; (ldr r11, [sp], #)

   0x00008d1c <+>:    bx    lr

End of assembler dump.

(gdb) disass key3

Dump of assembler code for function key3:

   0x00008d20 <+>:    push    {r11}        ; (str r11, [sp, #-]!)

   0x00008d24 <+>:    add    r11, sp, #

   0x00008d28 <+>:    mov    r3, lr

   0x00008d2c <+>:    mov    r0, r3

   0x00008d30 <+>:    sub    sp, r11, #

   0x00008d34 <+>:    pop    {r11}        ; (ldr r11, [sp], #)

   0x00008d38 <+>:    bx    lr

End of assembler dump.

(gdb)

逐步跟踪分析一下各函数的返回值:

key1()

   0x00008cdc <+8>:    mov    r3, pc

   0x00008ce0 <+12>:    mov    r0, r3

r0是函数的返回值,这个函数来源于pc,而pc指向的是执行语句行+8也就是0x00008cdc+0x8

key2()

   0x00008cfc <+12>:    add    r6, pc, #1

   0x00008d00 <+16>:    bx    r6

   0x00008d04 <+20>:    mov    r3, pc

   0x00008d06 <+22>:    adds    r3, #4

   0x00008d10 <+32>:    mov    r0, r3

从第一行起,add r6,pc,#1  r6=0x00008d04+0x1 = 0x00008d05

从而bx r6就跳转thumb模式下,该模式下pc= 执行语句地址+0x4

而后adds r3,#4 又对r3+0x4

因此 返回值 0x00008d04+0x4+0x4

a = 0x00008d80

b = 0x00008cdc +0x8

c = 0x00008d04 +0x4+0x4

print (a+b+c)

key3()

   0x00008d28 <+8>:    mov    r3, lr

   0x00008d2c <+12>:    mov    r0, r3

返回值r0=lr,lr寄存器存储的是函数的返回地址,指向main函数中的

   0x00008d80 <+68>:    mov    r3, r0

一行,因此可算出key = key1()+key2()+key3()

【pwnable.kr】leg的更多相关文章

  1. 【pwnable.kr】 asm

    一道写shellcode的题目, #include <stdio.h> #include <string.h> #include <stdlib.h> #inclu ...

  2. 【pwnable.kr】 [simple login]

    Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 先看看ida里面的逻辑. 比较重要的信息时input变量再 ...

  3. 【pwnable.kr】 brainfuck

    pwnable.kr第二关第一题: ========================================= Download : http://pwnable.kr/bin/bfDownl ...

  4. 【pwnable.kr】 unlink

    pwnable.kr 第一阶段的最后一题! 这道题目就是堆溢出的经典利用题目,不过是把堆块的分配与释放操作用C++重新写了一遍,可参考<C和C++安全编码一书>//不是广告 #includ ...

  5. 【pwnable.kr】 memcpy

    pwnable的新一题,和堆分配相关. http://pwnable.kr/bin/memcpy.c ssh memcpy@pwnable.kr -p2222 (pw:guest) 我觉得主要考察的是 ...

  6. 【pwnable.kr】 codemap

    pwnable新的一题. download: http://pwnable.kr/bin/codemap.exe ssh codemap@pwnable.kr -p2222 (pw:guest) 这道 ...

  7. 【pwnable.kr】 uaf

    目测是比较接近pwnable的一道题.考察了uaf(use after free的内容),我觉得说白了就是指针没有初始化的问题. ssh uaf@pwnable.kr -p2222 (pw:guest ...

  8. 【pwnable.kr】input

    这道题是一道一遍一遍满足程序需求的题. 网上其他的题解都是用了C语言或者python语言的本地调用,我想联系一下pwntools的远程调用就写了下面的脚本, 执行效果可以通过1~4的检测,到最后soc ...

  9. 【pwnable.kr】cmd2

    这道题是上一个cmd1的升级版 ssh cmd2@pwnable.kr -p2222 (pw:mommy now I get what PATH environmentis for :)) 登录之后, ...

随机推荐

  1. java学习-循环结构-递归练习1-汉诺塔问题

    相传在印度圣庙中,有一种被称为汉诺塔(Hanoi)的游戏.该游戏是在一块铜板装置上,有三根杆(编号A.B.C),在A杆自下而上.由大到小按顺序放置64个金盘(如下图).游戏的目标:把A杆上的金盘全部移 ...

  2. go语言的基础类型

    1.布尔类型:bool 2.整型:int8,byte,int16,int,uint,uintptr等 3.浮点类型:float32.float64 4.复数类型:complex64,complex12 ...

  3. CF6

    A A 不解释 #include<bits/stdc++.h> using namespace std; namespace red{ inline int read() { int x= ...

  4. Python—网络通信编程之udp通信编程

    服务端代码 import socket # 1.创建实例,即数据报套接字 server = socket.socket(socket.AF_INET, socket.SOCK_DGRAM) # 2.绑 ...

  5. 在github上保存vscode的配置(后续重新安装vscode时,可以十分方便地从github上下载安装这个保存的配置)

    1 安装拓展 Settings Sync 在 VSCode 拓展中搜索 Settings Sync 并安装,安装完成后,重启 2 设置 Github Person Access Token 进入这个页 ...

  6. vue小程序ref和v-for结合使用得到ref数组的一些问题

    项目中需要对每一个民宿里的每一个房间都需要popup弹出层来介绍每一个房间,房间数据都在一个接口(此民宿)上. 主要代码如下: HTML: <view v-for='(item,index) i ...

  7. ROS 命令行工具的使用

    1.roscore 打开一个新的master(master:进程),只能运行一个,运行两个会报错,使用ROS第一步就是要打开roscore 2.rosrun rosrun的使用格式一般为:rosrun ...

  8. Codeforces 546 E:士兵的旅行 最大网络流

    E. Soldier and Traveling time limit per test 1 second memory limit per test 256 megabytes input stan ...

  9. 第3节 sqoop:2、sqoop的基本简介和安装

    3. sqoop数据迁移 3.1.概述 sqoop是apache旗下一款“Hadoop和关系数据库服务器之间传送数据”的工具. 导入数据:MySQL,Oracle导入数据到Hadoop的HDFS.HI ...

  10. blog编辑技巧

    blog里添加目录 添加版权声明 其他 更新日志: 20190719, 添加目录,增加章节:[添加版权声明] blog里添加目录 https://szosoft.blogspot.com/需要使用绝对 ...