(Jarvis Oj)(Pwn) level0

最新推荐文章于 2022-05-14 15:14:41 发布
最新推荐文章于 2022-05-14 15:14:41 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_36788573/article/details/79980492
版权
本文介绍了如何解决 Jarvis Oj 的 Pwn level0 挑战。通过 checksec 发现保护措施很少,然后使用 IDA 反汇编程序,发现 main 函数调用了两个关键函数。分析后确定可以通过溢出 buf 缓冲区来控制执行流,并找到 callsystem() 函数。最后编写脚本,注意到由于是64位程序,在覆盖 rbp 和返回地址时需使用64位数据。
摘要由CSDN通过智能技术生成

(Jarvis Oj)(Pwn) level0

首先用checksec查一下保护。几乎没开什么保护措施。
这里写图片描述
用ida反汇编。main函数就调用了两个函数。
这里写图片描述
跟进第二个函数。
这里写图片描述
找到溢出点,同过buf缓冲区。又找到函数callsystem()。
这里写图片描述
只要控制程序返回到callsystem地址即可。找到callsystem地址。
这里写图片描述
写得脚本。 

  1 from pwn
最低0.47元/天 解锁文章
不干正事的拖延症患者
关注
专栏目录
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1587
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
jarvisoj pwn level5 wp
zszcr的博客
03-26 1972
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
Jarvis Oj Pwn 学习笔记-level0
baoan4763的博客
05-31 181
一道64位的pwn题 呈上地址: 原文件:https://files.cnblogs.com/files/Magpie/level0.rar nc pwn2.jarvisoj.com 9881 先查一下保护: 扔进ida: 典型的64位栈溢出,莫得啥子难度,注意一哈64位即可 控制流打到callsystem即可 地址是:0x400596 直接贴ex...
jarvisoj pwn level0
Joey_l的博客
07-31 330
前几天做了几道pwn题,记录一下 https://www.jarvisoj.com/challenges 拿到程序后先file可知为64位程序和动态链接 file level0 然后checksec检查保护机制 checksec level0 将程序拖到ida中,F5反汇编,得到伪c代码 双击vulnerable_function()函数 可以看到read函数读0x200进入...
Jarvis OJ-PWN-[XMAN]level0 wp
分不清东西南北的Laffey
09-22 945
地址:nc pwn2.jarvisoj.com 9881 第一次做pwn的题目 先准备一下环境 1.pwntools sudo pip install pwntools 2.python sudo apt install python-pip 先打开虚拟机 把文件放进去用checksec看一下 发现是64位的 程序编译时关了栈不可执行保护 这说明我们可以在buf里面输入shellcode和填...
JarvisOJ-PWN-Level0
杀生丸?不,其实我要的是桔梗
03-15 780
JarvisOJ-PWN-Level0 IDA打开分析。 在Export找到这两个关键函数。 先双击进入main 关键函数在vulnerable_function(),继续跟进。 可以看出read函数是把标准输入的200位的写入buf中。 再看buf: 低位: 高位: 所以buf的首地址到返回地址共=(+0x0000000000000008) - (-0x00...
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 303
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
日行一PWN jarvisoj_level0
m0_57221101的博客
05-14 200
还是来自于BUUCTF的机器,今天的很简单,就是单纯的考察了read函数的漏洞,以及对64位寄存器的理解 开始 首先还是经典查壳和内存保护,发现啥也没有,是很简单的机器。然后IDA反编译一下,由于是64位的软件所以需要IDA64 main函数 首先可以看到主函数中知识调用了write函数,并输出了Hello, Worldn这么几个字到终端。 之后调用了vulnerable_function函数 因为反汇编并不会给出类似于write这种函数的定义, 所以需要熟悉汇编的同学自行根据效果来
【BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 685
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2063
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
Jarvis OJPWNlevel0
qq_43409582的博客
09-11 236
0x01 开始做Jarvisoj上的题了,先从最基本的开始吧。 首先看保护: 只开了NX,说明可能要利用栈溢出的知识。 打开IDA看main函数没什么东西,但return了一个函数打开一看发现了栈溢出漏洞: 然后找能利用的地方,发现了一个callsystem函数(太明显了)。。。 所以思路就是利用栈溢出漏洞直接覆盖到/bin/sh执行的地址上,就能getshell 了。 exp.py: f...
pwn_level0
qq_42956710的博客
08-15 2662
level0(deepin解题记录) 打开链接: 判断了下文件类型及其保护 在终端里面运行一下: 64位的,所以就用idax64打开 看一下数据位置: 其中有bin/sh, 里面有几个函数需要看看,callsystem,main,read,vulnerable_function 栈溢出,由于没有NX保护和开栈保护,为了得到shell,可以找一个输入没有限制的...
攻防世界PWN题——level0
Greic的博客
12-01 3511
嘿嘿,又是我,我又肥来了。今天带来的是攻防世界第三题的writeup,这次话不多说,我们直接进入主题。 无论怎么样,pwn题前两步少不了——查看文件类型和保护类型: 64位linux操作系统,只开了NX保护,再打开IDA看看。 将Hello,World显示到屏幕上,再点开函数看看: 可以看到,buf是分配了80个字节(从rbp-80-rbp+0),但是read函数读入了0x200字节,因此,这里明显有栈溢出,再点开buff看看: 可以看到,我们只需要将buf和s覆盖,也就...
攻防世界pwnlevel0
Sakura给爷pwn全场
09-02 311
查壳64bit 拖进IDA f5查看伪代码 vulnerable_function中文译为脆弱函数,可疑,点进去查看vulnerable函数。 buf数组距离栈帧顶部rsp为0h,距离栈帧顶部rbp为80h,可知buf长度为0x80. 查看vulnerable函数栈 s代表save ebp,长度8个字节 r代表return address,长度8个字节,通常只要覆盖4个字节。 查看callsystem函数,代码段地址为0x400596 思路 把return address用callsystem函数
jarvisOJ-level0
qq_35661990的博客
09-28 304
jarvisOJ上的题目梯度似乎比pwnable.tw上的题目更合理点,pwnable.kr目前做的十几题都是考察各种基础,只有少数像pwn题。 level0是考最基础的ROP 先把下载的文件放进IDA里看看 .text:00000000004005C6 main proc near ; DATA XREF: _start+1D↑o .te...
jarvisoj——[XMAN]level0
王嘟嘟的博客
07-14 357
题目 Wp 拿下来之后发现是一个64位的,直接开ida main函数,现在对main函数已经很熟悉了 这里看到一个方法 这里按照规则覆盖即可。 脚本 from pwn import * sh=remote("pwn2.jarvisoj.com","9881") data="A"*136+p64(0x400596) sh.sendline(data) sh.interactive() sh.close() ...
攻防世界level0 + (Jarvis Oj)(Pwn) level1
qq_44832048的博客
07-24 1986
攻防世界level0 将文件在ida中打开, 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互,双击进去查看,, 无参数传入,buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。查找字符串 这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址...
jarvisoj_level0
shisuan1的博客
11-05 1884
jarvisoj_level0 通过命令检查文件类型file level0发现是64位的可执行文件 然后用64-ida打开 按F5显示伪代码,很简单这是一个hello world的程序 然后开始分析 可以看到main函数一共调用了三个函数 然后依次检查函数,检查 通过网上答案发现vunlnerable_function这个函数调用了200h的内存空间,其实作者也看不懂,建议进行这一步时先看...
攻防世界pwn新手练习区-level0
CSDN_sunrise的博客
08-29 460
level0查看基本信息并运行文件在IDA中分析exp 查看基本信息并运行文件 查看文件类型: file level0 查看保护: checksec --file=level0 运行文件:./level0 该文件在我的电脑中的文件名为level0 在IDA中分析 文件64位,将其拖入64位ida中。 按Space切换视图 按F5生成伪代码 发现另外一个函数: 分析: 我们只需要调用callsystem()函数就可以得到flag,而vulnerable_function()函数中调用了read()函数,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值