BUUCTF Pwn jarvisoj_level21解题步骤

最新推荐文章于 2024-02-04 15:44:30 发布
最新推荐文章于 2024-02-04 15:44:30 发布
阅读量232 收藏
点赞数 1
文章标签: 网络安全 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81505831/article/details/136022137
版权

1、检查文件类型

查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题

2、IDA反编译,进行分析

main函数中提到了一个vulnerable_function();

双击点开这个函数

从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出

3、实现方法

"node5.buuoj,cn",25747是靶机信息

buf到ebp的距离是0x88,ebp到Return的距离是0xF

system的地址可以在plt中找到,双击system.plt

然后在输入shift+F12,可以查找

bin/sh的地址

这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。

波罗的海神鹰
关注
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 305
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
BUUCTF_jarvisoj_level1
qq_39869547的博客
02-06 990
和原题的差别在于,远程不回显栈地址。直接常规栈溢出即可 #!/usr/bin/env python # -*- coding: utf-8 -*- from pwn import * from LibcSearcher import * elf = ELF("./level1") shellcode = asm(shellcraft.sh()) io = remote("node3.buuoj.c...
jarvisoj_level21解题
最新发布
2301_81504456的博客
02-04 460
没有调用先前指令system函数的情况下,在执行完函数后需要一个数据作为system的返回地址。
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3641
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
[BUUCTF-pwn]——jarvisoj_level302-21
Y_peak的博客
02-21 209
[BUUCTF-pwn]——jarvisoj_level3 题目地址: https://buuoj.cn/challenges#jarvisoj_level3 以前好像写过这个题, 就不详细写了。有兴趣的可以去之前的博客翻一下, 就在BUU和OJ 里面 大致思路, 泄露出一个地址, 找到对应的libc版本。计算偏移找到system和’/bin/sh’ exploit from pwn import * from LibcSearcher import * p = remote("node3.buuoj
jarvisoj-level2
qq_35661990的博客
11-09 1383
只开了NX,栈上不可执行 main函数 vulnerable_function(); system("echo 'Hello World!'"); return 0; function函数 char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x10...
jarvisoj level1-2
sun的博客
10-03 635
level1 先使用checksec查询一下这个保护机制没有开启任何保护 [*] '/home/sun/Desktop/1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x...
BUUCTFjarvisoj_level4(write up)
qq_44768749的博客
08-24 985
这里写目录标题0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、部分RELRO保护 0x02 运行 简单的输入一个字符串 0x03 IDA 漏洞点在vulnerable_function输入长度可以造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 第二次栈溢出跳转执行system("/bin/
BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 688
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 532
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 444
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
jarvis oj level2–两种方式构造函数栈
超人学飞的日子
04-07 611
关于这个level2,在网上找到了两种解法,放在一起分析了一下。 首先查看题目基本信息: 程序开启了栈不可执行保护。 IDA查看反汇编代码: 可以看到存在栈溢出,并且程序调用了system函数。 所以我们的思路就是构造vulnerable_function()的buf变量,使得:返回地址被覆盖为system函数的地址,构造system函数的栈帧,并为system传递参数’/b...
jarvisoj_level2【BUUCTF
qq_41696518的博客
08-26 728
jarvisoj_level2【BUUCTF
[CTF]jarvisoj_level2
凉水的博客
01-12 511
解题思路 反编译后的源码: undefined4 main(void) { vulnerable_function(); system("echo \'Hello World!\'"); return 0; } void vulnerable_function(void) { undefined local_8c [136]; system("echo Input:"); read(0,local_8c,0x100); return; } 看完上面的反编译,直觉system函数
[buuctf]jarvisoj_level2
逆向萌新的博客
06-19 497
[buuctf]jarvisoj_level2
jarvisoj_level2题解
OrientalGlass的博客
01-08 246
这题没有现成的system("/bin/sh")可以调用,但是有system函数和/bin/sh字符串。所以可以通过溢出修改返回函数为call system位置,并且将栈顶元素修改为/bin/sh所在地址。这样就可以成功执行system("/bin/sh")2.ida查看,很显然这里有栈溢出。4.寻找system和bin/sh。1.checksec查看。
buuctf pwn08
weixin_74861133的博客
10-24 40
shift+f12, 果然有bin/sh,找到具体地址: binsh_addr = 0804A024。buf的大小是0x88,读入的数据大小是0x100,多余空间足以构造rop。点进去vulnerable_function()找到溢出点read函数。函数自身直接调用了system函数, 我们试着找下bin/sh。在该函数里反汇编找到调用system函数的指令的地址。
jarvisoj_level2
weixin_56301399的博客
07-22 567
要先看函数结构,在去看栈结构,system和/bin/sh的位置很重要。
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值