[NSSRound#4 SWPU]hide_and_seek-用gdb调试

丸卜2024-09-16 23:36

看反汇编

    ; __unwind {
.text:0000000000001514 F3 0F 1E FA                   endbr64
.text:0000000000001518 55                            push    rbp
.text:0000000000001519 48 89 E5                      mov     rbp, rsp
.text:000000000000151C 53                            push    rbx
.text:000000000000151D 48 83 EC 68                   sub     rsp, 68h
.text:0000000000001521 89 7D 9C                      mov     [rbp+var_64], edi
.text:0000000000001524 48 89 75 90                   mov     [rbp+var_70], rsi
.text:0000000000001528 64 48 8B 04 25 28 00 00 00    mov     rax, fs:28h
.text:0000000000001531 48 89 45 E8                   mov     [rbp+var_18], rax
.text:0000000000001535 31 C0                         xor     eax, eax
.text:0000000000001537 48 8D 3D CD 0A 00 00          lea     rdi, name                       ; "_"
.text:000000000000153E E8 AD FB FF FF                call    _getenv
.text:000000000000153E
.text:0000000000001543 48 89 45 A8                   mov     [rbp+var_58], rax
.text:0000000000001547 48 8B 45 90                   mov     rax, [rbp+var_70]
.text:000000000000154B 48 8B 00                      mov     rax, [rax]
.text:000000000000154E 48 89 45 B0                   mov     [rbp+ptr], rax
.text:0000000000001552 48 8B 45 B0                   mov     rax, [rbp+ptr]
.text:0000000000001556 48 3B 45 A8                   cmp     rax, [rbp+var_58]
.text:000000000000155A 75 0A                         jnz     short loc_1566
.text:000000000000155A
.text:000000000000155C BF FF FF FF FF                mov     edi, 0FFFFFFFFh                 ; status
.text:0000000000001561 E8 2A FC FF FF                call    _exit
.text:0000000000001561
.text:0000000000001566                               ; ---------------------------------------------------------------------------
.text:0000000000001566
.text:0000000000001566                               loc_1566:                               ; CODE XREF: main+46↑j
.text:0000000000001566 BF 08 00 00 00                mov     edi, 8                          ; size
.text:000000000000156B E8 F0 FB FF FF                call    _malloc
.text:000000000000156B
.text:0000000000001570 48 89 45 B8                   mov     [rbp+dest], rax
.text:0000000000001574 48 8B 45 B0                   mov     rax, [rbp+ptr]
.text:0000000000001578 48 89 C7                      mov     rdi, rax
.text:000000000000157B E8 B4 FD FF FF                call    sub_1334
.text:000000000000157B
.text:0000000000001580 48 89 C1                      mov     rcx, rax
.text:0000000000001583 48 8B 45 B8                   mov     rax, [rbp+dest]
.text:0000000000001587 BA 08 00 00 00                mov     edx, 8                          ; n
.text:000000000000158C 48 89 CE                      mov     rsi, rcx                        ; src
.text:000000000000158F 48 89 C7                      mov     rdi, rax                        ; dest
.text:0000000000001592 E8 79 FB FF FF                call    _strncpy
.text:0000000000001592
.text:0000000000001597 48 B8 51 17 53 43 54 46 7B 77 mov     rax, 777B465443531751h
.text:00000000000015A1 48 BA 75 64 33 5F 30 6E 40 2C mov     rdx, 2C406E305F336475h
.text:00000000000015AB 48 89 45 D0                   mov     qword ptr [rbp+src], rax
.text:00000000000015AF 48 89 55 D8                   mov     qword ptr [rbp+var_28], rdx
.text:00000000000015B3 C7 45 E0 33 34 70 7D          mov     dword ptr [rbp+var_28+8], 7D703433h
.text:00000000000015BA C6 45 E4 00                   mov     [rbp+var_28+0Ch], 0
.text:00000000000015BE B8 14 00 00 00                mov     eax, 14h
.text:00000000000015C3 48 98                         cdqe
.text:00000000000015C5 48 89 C7                      mov     rdi, rax                        ; size
.text:00000000000015C8 E8 93 FB FF FF                call    _malloc
.text:00000000000015C8
.text:00000000000015CD 48 89 45 C0                   mov     [rbp+var_40], rax
.text:00000000000015D1 B8 14 00 00 00                mov     eax, 14h
.text:00000000000015D6 48 63 D0                      movsxd  rdx, eax                        ; n
.text:00000000000015D9 48 8D 4D D0                   lea     rcx, [rbp+src]
.text:00000000000015DD 48 8B 45 C0                   mov     rax, [rbp+var_40]
.text:00000000000015E1 48 89 CE                      mov     rsi, rcx                        ; src
.text:00000000000015E4 48 89 C7                      mov     rdi, rax                        ; dest
.text:00000000000015E7 E8 24 FB FF FF                call    _strncpy
.text:00000000000015E7
.text:00000000000015EC 48 8B 45 C0                   mov     rax, [rbp+var_40]
.text:00000000000015F0 48 89 C7                      mov     rdi, rax
.text:00000000000015F3 E8 C1 FD FF FF                call    sub_13B9
.text:00000000000015F3
.text:00000000000015F8 B8 14 00 00 00                mov     eax, 14h
.text:00000000000015FD 48 98                         cdqe
.text:00000000000015FF 48 89 C7                      mov     rdi, rax                        ; size
.text:0000000000001602 E8 59 FB FF FF                call    _malloc
.text:0000000000001602
.text:0000000000001607 48 89 45 C8                   mov     [rbp+var_38], rax
.text:000000000000160B B8 14 00 00 00                mov     eax, 14h
.text:0000000000001610 48 63 D8                      movsxd  rbx, eax
.text:0000000000001613 48 8B 55 B8                   mov     rdx, [rbp+dest]
.text:0000000000001617 48 8D 45 D0                   lea     rax, [rbp+src]
.text:000000000000161B 48 89 D6                      mov     rsi, rdx
.text:000000000000161E 48 89 C7                      mov     rdi, rax
.text:0000000000001621 E8 63 FC FF FF                call    sub_1289
.text:0000000000001621
.text:0000000000001626 48 89 C1                      mov     rcx, rax
.text:0000000000001629 48 8B 45 C8                   mov     rax, [rbp+var_38]
.text:000000000000162D 48 89 DA                      mov     rdx, rbx                        ; n
.text:0000000000001630 48 89 CE                      mov     rsi, rcx                        ; src
.text:0000000000001633 48 89 C7                      mov     rdi, rax                        ; dest
.text:0000000000001636 E8 D5 FA FF FF                call    _strncpy
.text:0000000000001636
.text:000000000000163B 48 8B 55 B8                   mov     rdx, [rbp+dest]
.text:000000000000163F 48 8B 45 C8                   mov     rax, [rbp+var_38]
.text:0000000000001643 48 89 D6                      mov     rsi, rdx
.text:0000000000001646 48 89 C7                      mov     rdi, rax
.text:0000000000001649 E8 3B FC FF FF                call    sub_1289
.text:0000000000001649
.text:000000000000164E 48 89 45 C8                   mov     [rbp+var_38], rax
.text:0000000000001652 48 8B 45 C8                   mov     rax, [rbp+var_38]
.text:0000000000001656 48 89 C7                      mov     rdi, rax
.text:0000000000001659 E8 4D FE FF FF                call    sub_14AB
.text:0000000000001659
.text:000000000000165E 48 8B 45 C0                   mov     rax, [rbp+var_40]
.text:0000000000001662 48 89 C7                      mov     rdi, rax                        ; ptr
.text:0000000000001665 E8 96 FA FF FF                call    _free
.text:0000000000001665
.text:000000000000166A 48 8B 45 C8                   mov     rax, [rbp+var_38]
.text:000000000000166E 48 89 C7                      mov     rdi, rax                        ; ptr
.text:0000000000001671 E8 8A FA FF FF                call    _free
.text:0000000000001671
.text:0000000000001676 48 8B 45 B0                   mov     rax, [rbp+ptr]
.text:000000000000167A 48 89 C7                      mov     rdi, rax                        ; ptr
.text:000000000000167D E8 7E FA FF FF                call    _free
.text:000000000000167D
.text:0000000000001682 B8 00 00 00 00                mov     eax, 0
.text:0000000000001687 48 8B 5D E8                   mov     rbx, [rbp+var_18]
.text:000000000000168B 64 48 33 1C 25 28 00 00 00    xor     rbx, fs:28h
.text:0000000000001694 74 05                         jz      short loc_169B
.text:0000000000001694
.text:0000000000001696 E8 B5 FA FF FF                call    ___stack_chk_fail

发现74 0A jz short loc_1566时就exit 退出函数了,所以不让退出,直接跳过,用pwn中的set更改rip的值,再看反编译的程序发现有三个free应该结果输出。

gdb pwn1

用gdb调试

start

开始运行

i b

查看断点

b *$rebase(0x153e)

设置断点。为什么会有$rebase 是应为程序在这里面是随机生成的地址(设置到exit之前即可)

b *$rebase(0x1665)

设置到最后一个free之前

c

跳转到第一个断点处(ni是一样的道理只是ni是单步执行比较慢)

ni

直到ni到但exit处停止(当连续ni时,第二次及以后可以直接enter执行)

set rip=rebase(0x1566)

set 是修改命令 把寄存器的地址改成0x1566,跳过exit函数。

p $rip

查看修改后的地址

c

跳转到下一个断点

ni

ni到最后一个free(为什么要运行但最后一个是因为malloc动态内存分配,开起来后面的堆)

heap

查看堆

tel 0x555555559290

从第二个开始(一般第一个不是)

enter 继续查看发现带有flag的字样,复制地址

x/s 0x5555555594e0

详细的查看此地址的内容

相关推荐
Dovir多多13 小时前
渗透测试入门学习——php表单form与POST、GET请求练习
学习·安全·web安全·网络安全·系统安全·php·xss
竹等寒19 小时前
中间件常见漏洞
android·web安全·网络安全·中间件
weixin_4462608520 小时前
24年蓝桥杯及攻防世界赛题-MISC-1
网络安全·蓝桥杯
weixin_4648381521 小时前
grep命令如何实现正则表达式搜索?
linux·运维·服务器·网络安全·系统架构
玥轩_5211 天前
网络安全 DVWA通关指南 DVWA SQL Injection (Blind SQL盲注)
sql·安全·web安全·网络安全·dvwa·sql盲注
xuan哈哈哈1 天前
web基础—dvwa靶场(五)File Upload
安全·web安全·网络安全
newxtc1 天前
【觅图网-注册安全分析报告-无验证方式导致安全隐患】
人工智能·安全·web安全·网络安全·系统安全·网络攻击模型
newxtc1 天前
【图虫创意-注册安全分析报告-无验证方式导致安全隐患】
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析
梧六柒1 天前
Linux系统上搭建Vulhub靶场
网络安全
热门推荐
01RAG 实践- Ollama+RagFlow 部署本地知识库02组基轨迹建模 GBTM的介绍与实现(Stata 或 R)032024年高教社杯数学建模国赛C题超详细解题思路分析04苍穹外卖面试总结05Coze扣子平台完整体验和实践(附国内和国际版对比)06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07CANoe Trace窗口过滤栏消失的几种解决方法(附上最终解决方案)08yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10【立创EDA-PCB设计基础】6.布线铺铜实战及细节详解