BUUCTF pwn ez_pz_hackover_2016(write up)

最新推荐文章于 2023-11-07 23:06:56 发布
最新推荐文章于 2023-11-07 23:06:56 发布
阅读量415 收藏
点赞数 2
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44768749/article/details/108176719
版权
BUUCTF pwn ez_pz_hackover_20160x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x01 文件分析没有不可执行栈和段上的读写保护。0x02 运行输入name后发现上面还有一个地址。0x03 IDA若输入crashme,即可进入vlun函数,主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将name的数据复制到vuln的栈上面,而且复制的数据量远远大于栈的长度,会造
摘要由CSDN通过智能技术生成

BUUCTF pwn ez_pz_hackover_2016

0x01 文件分析

在这里插入图片描述

没有不可执行栈和段上的读写保护。

0x02 运行

在这里插入图片描述

输入name后发现上面还有一个地址。

0x03 IDA

在这里插入图片描述
在这里插入图片描述

若输入crashme,即可进入vlun函数,主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写
shellcode,之后的vuln函数会将name的数据复制到vuln的栈上面,而且复制的数据量远远大于栈的
长度,会造成栈溢出。
并且chall函数的栈的地址直接打印出来,不用再去泄露栈地址,可以直接利用。

但如何绕过crashme检测呢?
strlen函数不会统计\x00,遇到就会停止。

0x04 思路

通过fgets写入shellcode,结合已经泄露的栈地址,在vuln里面改写返回地址,跳转到栈上的shellcode执行。
做之前先要找出相关的偏移量,使用gdb调试,第一个是输入字符串返回地址之间的偏移。使用gdb调试脚本到函数内部:

#!/usr/bin/python2
#coding=utf-8
from pwn import *
from LibcSearcher import *

context(os = "linux", arch
最低0.47元/天 解锁文章
  筱
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
3S软件
Zzzpiu的博客
12-29 435
地址:https://www.ixxin.cn/software.html 转载地址:https://www.ixxin.cn/software.html
BUUCTF-ez_pz_hackover_2016
Rt1Text的博客
11-28 407
challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串,比较数组和字符串常量,不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止strcmp的返回值可控,传入空字符串即可strlen同样遇0截断。
ez_pz_hackover_2016
m0sway的博客
11-23 470
ez_pz_hackover_2016 使用checksec查看: 开启了完全RELRO,使整个 GOT 只读,放进IDA中查看: header()函数是初始化函数,没用,主要程序流程在chall()中,直接看chall()函数: 首先程序会printf变量s在栈上的地址 然后接受用户输入0x3ff个字符 接着用strcmp()函数将用户输入的字符串和ceashme做对比,如果不同,退出程序。 如果相同,进入vuln()函数,我们跟进去查看: 很明显,一个栈溢出。 本题中并没有system函数以及/
memcpy
weixin_45959515的博客
08-26 148
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。 memcpy(c, temp, sizeof(char) * temp_size); ...
BUUCTFPWNez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
m0_55368674的博客
01-19 320
BUUCTFPWNez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ez_pz_hackover_2016 wp (python3)
Kata_Jhin的博客
10-08 156
ez_pz_hackover_2016 wp (python3)
pwnez_pz_hackover_2016 --pwngdb和pwntools的结合,动态调试
最新发布
question55的博客
11-07 94
该函数的作用是将src指向的内存区域中的前n个字节的数据复制到dest指向的内存区域中。由于该函数返回void*类型,通常在使用时需要将其转换为目标类型的指针。memcpy函数是C/C++语言中常用的内存拷贝函数,用于将一块内存中的数据复制到另一块内存中。dest 是目标内存区域的指针,即要将数据复制到的位置。src 是源内存区域的指针,即要从哪里复制数据。n 是要复制的字节数。
buuctf ez_pz_hackover_2016
qq_73625550的博客
05-26 480
使用gdb调试来计算偏移,ret2shecllcode,栈溢出
ctf【ez_pz_hackover_2016】
HUANGliang_的博客
10-29 174
ez_pz_hackover_2016
BUUCTFez_pz_hackover_2016】
weixin_51055545的博客
02-14 1256
BUUCTFez_pz_hackover_2016】 例行检查 开了relro,其他保护机制都没开,扔到IDA中分析 漏洞分析 chall()函数中,有fgets(),但长度不够覆盖到返回地址,没法溢出,接着会获取s的长度,然后字符串检索,在这里我给出memchr()的定义:*C 库函数 void *memchr(const void str, int c, size_t n) 在参数 str 所指向的字符串的前 n 个字节中搜索第一次出现字符 c(一个无符号字符)的位置。 然后程序会有一个if检查,
ez_udp_connect
05-24
`ez_udp_connect` 是一个函数,一般用于创建一个 UDP(User Datagram Protocol)连接。UDP 是一种无连接的协议,它不提供像 TCP(Transmission Control Protocol)那样的可靠性,但在某些情况下,它的速度和效率比 TCP 更高。 这个函数通常会传入目标 IP 地址和端口号,然后返回一个文件描述符或套接字,用于后续的数据传输。在使用 `ez_udp_connect` 前,需要先创建一个 UDP 套接字,使用 `socket` 函数即可。函数声明如下: ```c int ez_udp_connect(int sockfd, const struct sockaddr *addr, socklen_t addrlen); ``` 其中,`sockfd` 表示创建好的 UDP 套接字的文件描述符或套接字,`addr` 和 `addrlen` 表示要连接的目标地址和端口号。函数返回值为 0 表示成功,否则表示失败。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值