jarvisoj_level21解题

最新推荐文章于 2025-01-11 20:21:31 发布
最新推荐文章于 2025-01-11 20:21:31 发布
阅读量605 收藏 8
点赞数 9
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81504456/article/details/136026595
版权

1.打开靶机,下载文件,装载到虚拟机中,输入ls索引桌面,输入checksec level2检查文件类型。发现是32位的ELF文件,NX保护机制打开,RELRO部分打开,用ida编译。

2.得到汇编语言,按F5得到C语言代码。点击vulnerable_function,得到read函数及其距离ebp88h大小,双击buf,找到r代表的read函数本身覆盖大小,是4h。3.返回主函数,双击system,得到下方界面的地址0x8048320。作为覆盖的第一个地址。4.按shift F12调出字符串窗口,找到/bin/sh双击打开,得到最后shellcode转接的地址0x0804A024.5.因为之前执行完vulnerable_function中的read后直接调用system函数,没有预先指令的函数地址可返回,,则需要在攻击脚本中随便输入一个数据作为执行完system的返回地址,之后再进入/bin/sh,得到控制权。6.打开终端,输入python3 脚本文件名.py,回车,输入ls,回车,输入cat flag得到flag。

承诺之时
关注
BUUCTF Pwn jarvisoj_level21解题步骤
2301_81505831的博客
02-04 380
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 384
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
buuctf pwn jarvisoj_level21
m0_74125780的博客
09-28 306
然后我们四处查找,发现有system和bin/sh,但是他们两个并不没有写在一起,所以我们先找到system的地址,再找到bin/sh的地址。首先用checksec检查一下,发现没有栈的保护,并且是32位的。用ida32打开,有个vuln函数打开一看,存在栈溢出。
[BUUCTF-pwn]——jarvisoj_level302-21
Y_peak的博客
02-21 238
[BUUCTF-pwn]——jarvisoj_level3 题目地址: https://buuoj.cn/challenges#jarvisoj_level3 以前好像写过这个题, 就不详细写了。有兴趣的可以去之前的博客翻一下, 就在BUU和OJ 里面 大致思路, 泄露出一个地址, 找到对应的libc版本。计算偏移找到system和’/bin/sh’ exploit from pwn import * from LibcSearcher import * p = remote("node3.buuoj
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 4662
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
BuuojCTF [WUSTCTF2020]level21和[HDCTF2019]Maze1
kevinhezhuzhu的博客
06-04 353
BuuojCTF [WUSTCTF2020]level21和[HDCTF2019]Maze1
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...
jarvisoj_level2
08-13
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这...
Jarvis OJ--level3
Kni9hT's Blog
11-10 289
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
buuctf之jarvisoj_level0
weixin_54452942的博客
03-28 1480
64位(system_addr+1)的奥秘
jarvis OJ
CHOOOU的博客
11-05 977
basic Baby’s Crack 程序大概就是打开一个命令行输入的 file,然后打开一个 tmp,对 file 加密写入 tmp,将 file 删除,将 tmp 重命名为 file。 直接在 ida 中 F5,关键的代码就是: while (feof(*(_QWORD *)&argc, argv, v8, v16) == 0)
jarvis oj level2–两种方式构造函数栈
超人学飞的日子
04-07 668
关于这个level2,在网上找到了两种解法,放在一起分析了一下。 首先查看题目基本信息: 程序开启了栈不可执行保护。 IDA查看反汇编代码: 可以看到存在栈溢出,并且程序调用了system函数。 所以我们的思路就是构造vulnerable_function()的buf变量,使得:返回地址被覆盖为system函数的地址,构造system函数的栈帧,并为system传递参数’/b...
[CTF]jarvisoj_level2
凉水的博客
01-12 556
解题思路 反编译后的源码: undefined4 main(void) { vulnerable_function(); system("echo \'Hello World!\'"); return 0; } void vulnerable_function(void) { undefined local_8c [136]; system("echo Input:"); read(0,local_8c,0x100); return; } 看完上面的反编译,直觉system函数
[BUUCTF] jarvisoj_level2
Lucien_Carr的博客
04-14 562
读取文件指从某一个已打开地文件中,读取一定数量的字符,然后将这些读取的字符放入某一个预存的缓冲区内,供以后使用。有危险函数read,而且调用了system函数(但是缺少了“/bin/sh”参数)handle: 一个已经打开的文件句柄,表示从这个文件句柄所代表的文件读取数据。buffer: 指缓冲区,即读取的数据会被放到这个缓冲区中去。n: 表示调用一次read操作,应该读多少数量的字符。按“shift”+“F12”查看字符串,结果如下。进入文本视图查看system函数地址,如下图。
pwn之jarvisoj_level2_x64
最新发布
勿山几已
01-11 940
缓冲区溢出漏洞导致漏洞利用system函数,64位程序利用rop设置函数参数
jarvisoj_level2题解
OrientalGlass的博客
01-08 309
这题没有现成的system("/bin/sh")可以调用,但是有system函数和/bin/sh字符串。所以可以通过溢出修改返回函数为call system位置,并且将栈顶元素修改为/bin/sh所在地址。这样就可以成功执行system("/bin/sh")2.ida查看,很显然这里有栈溢出。4.寻找system和bin/sh。1.checksec查看。
CTF buuoj pwn-----第9题:jarvisoj_level2
bing_Max的博客
09-27 944
1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .
jarvisoj_level2[BUUCTF]
moonlightsunshin的博客
05-09 311
从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出,IDA会告诉我们buf数组与ebp在栈上的相对位置,即&buf=$ebp-0x88,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且system()的地址可以轻松在plt表中找到,为0x08048320,因此我们只需要在构造一个shell路径的字符转就可以getshell了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值