[BUUCTF]PWN------jarvisoj_level2

最新推荐文章于 2024-09-28 19:24:59 发布
最新推荐文章于 2024-09-28 19:24:59 发布
阅读量342 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BangSen1/article/details/112910525
版权

jarvisoj_level2

例行检查,32bit,开启NX保护。
在这里插入图片描述
nc 一下 ,Hello world,没什么信息
在这里插入图片描述
用32位IDA打开,看到了/bin/sh,跟进一下。
在这里插入图片描述
想查看调用函数的,但是看不了,所幸地址已经给出,所以shell_addr=0x804A024
在这里插入图片描述
system_addr=0x8048320
在这里插入图片描述
直接利用这些构造 system(/bin/sh)去执行

找到输入点
buf的大小是0x88,读入的数据大小是0x100,多余空间足以构造rop
在这里插入图片描述
exp
在这里插入图片描述

flag

在这里插入图片描述

HAIANAWEI
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 950
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 303
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
BUUCTF - PWNjarvisoj_level2
古月浪子的博客
04-05 688
checksec一下,栈溢出 IDA打开看看,很容易找到溢出点,/bin/sh字符串程序里也有现成的 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) ru=lamb...
buuctf pwn jarvisoj_level21
最新发布
m0_74125780的博客
09-28 239
然后我们四处查找,发现有system和bin/sh,但是他们两个并不没有写在一起,所以我们先找到system的地址,再找到bin/sh的地址。首先用checksec检查一下,发现没有栈的保护,并且是32位的。用ida32打开,有个vuln函数打开一看,存在栈溢出。
[buuctf]jarvisoj_level2
逆向萌新的博客
06-19 522
[buuctf]jarvisoj_level2
BUUCTF jarvisoj_level2
、moddemod
06-12 550
exp from pwn import * context(log_level = 'debug') proc_name = './level2' p = process(proc_name) # p = remote('node3.buuoj.cn', 26643) elf = ELF(proc_name) system_addr = elf.sym['system'] main_addr = elf.sym['main'] bin_sh_str = 0x0804a024 payload = 'a'..
[BUUCTF-pwn]——jarvisoj_level2
Y_peak的博客
02-10 938
[BUUCTF-pwn]——jarvisoj_level2 题目地址:https://buuoj.cn/challenges#jarvisoj_level2 checksec 一下下, 32程序 IDA中看下,发现了system函数还是两个,有可利用的栈溢出read函数,shift+F12,还发现了"/bin/sh"字符串. 所以exploit就如下 exploit from pwn import * p = remote("node3.buuoj.cn",28375) binsh = 0
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 513
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 550
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 720
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
BUUCTF Pwn jarvisoj_level21解题步骤
2301_81505831的博客
02-04 274
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
buuctf jarvisoj_level2
carol2358的博客
04-19 299
水题 可以在ida里找到system和/bin/sh(alt+t) 然后构造payload就完事了 from pwn import * from LibcSearcher import * context(log_level = 'debug',arch ='i386',os = 'linux' ) r = remote('node3.buuoj.cn', 28847) #r = proc...
[BUUCTF]PWN16——jarvisoj_level2
mcmuyanga的博客
09-01 2368
[BUUCTF]PWN16——jarvisoj_level2 附件 步骤 例行检查,32位,开启了nx保护 试运行一下程序 32位ida载入,shift+f12查看一下程序里的字符串,发现了system函数和 /bin/sh 字符串 双击跟进,ctrl+x本想查看调用该字符串的函数的,没有找到,但是程序里有这些字符串的位置, shell_addr=0x804a024 system_addr=0x8048320 我们可以直接利用这些构造 system(/bin/sh)去执行 跟进试运行时候看到的字
buuctfjarvisoj_level2
weixin_54452942的博客
04-11 627
buuctf--pwn
jarvisoj_level2【BUUCTF
qq_41696518的博客
08-26 773
jarvisoj_level2【BUUCTF
BUUCTF-Pwn-jarvisoj_level2
餐桌上的猫
02-15 2354
题目截图 检查文件信息,开启了NX 用IDA打开查看字符串,存在/bin/sh,检查交叉引用发现并没有被使用 查看函数表存在system函数 进入主函数反汇编查看 进入函数vulnerable_function()查看,发现存在栈溢出漏洞,就可以利用现有system函数和/bin/sh字符串getshell exp from pwn import* r=remote('node4.buuoj.cn',28083) str_bin_sh=0x804a024 call_system=0x8048
jarvisoj_level2
m0_55086916的博客
11-29 690
第一个p32(0x08048320)是function函数的返回地址,第二个是system函数的返回地址,p32(0x0804a024)是system函数的第一个参数。注意到这里可以利用栈溢出漏洞,buf数组只给了0x88的大小,但是最多可以读入0x100个字节的数据,所以多读入的数据就会向下把栈给覆盖掉。于是想把function函数的返回地址覆盖成system函数的入口地址,然后把参数改成"bin/sh"字符串的地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值