pwn3_x64

最新推荐文章于 2022-02-14 02:30:48 发布
最新推荐文章于 2022-02-14 02:30:48 发布
阅读量222 收藏 1
点赞数
分类专栏: CTF-PWN-刷题-XMCVE培训课 文章标签: PWN 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49959202/article/details/120365366
版权

文章目录

pwn3_x64

1.程序分析

file一下,发现是64位程序:

checksec一下,发现pie没开:

ldd一下,找到需要的动态链接库:

ida分析:

思路和上一题32位的一样,没啥好分析的

64位与32的不同在于传参:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9

因此需要ROP链找到rdi, rsi, rdx。

用ROPgadget查看下:

发现有现成的pop rdi; ret。

但是没有现成的pop rdx,只有pop rsi。

但是我们只需要write输出的长度大于等于8即可,如果寄存器rdx原来的值就已经大于等于8,我们其实不需要赋值了,到时候recv()时,只接收8字节即可。

gdb调试一下,看调用read()函数时的rdx值:

发现是0x200,那就不需要去pop_ret了。

2.栈帧设计

3.exp编写

from pwn import *

context
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Jarvis Oj)(Pwn) level3_x64
Nothing
04-24 971
(Jarvis Oj)(Pwn) level3_x64 这题是level3的64位版本,思路和32位版本一致,不同之处就是函数的参数传递,利用寄存器,于是构造rop链。写得脚本如下: from pwn import * ...
JarvisOj pwn level3_x64
qq_44813849的博客
07-27 530
JarvisOj pwn level3_x64 这一道题和level3那道题很像,同样是一个压缩包里面有两个文件。 使用ROPgadget搜索操作寄存器的函数地址: 用ida打开level3_x64文件,找到主函数的地址 plt表和got表中的write地址 附上脚本 from pwn import * elf=ELF("level3_x64") write_plt=0x000000000...
BUUCTF(pwn)jarvisoj_level3_x64
半岛铁盒的博客
04-01 448
这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 ) 64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。 这里我们使用 write 函数 来泄密 libc地址 ssize_t write(int fd,const void*buf,size_t count); 参数说明: f.
[Jarvis OJ - PWN]——[XMAN]level3_x64
Y_peak的博客
02-08 305
[Jarvis OJ - PWN]——[XMAN]level3_x64 题目地址:https://www.jarvisoj.com/challenges 题目: 老样子,还是先checksec一下,再看看IDA,除了64位以外和[XMAN]level3一样 64位和32位的主要区别就是参数方面,64位当参数小于等于六的时候,是放在寄存器中,没有放在栈上。分别是rdi rsi rdx rcx r8 r9寄存器。所以我们需要找一些pop指令来将参数写入寄存器。 虽然没有找到pop rdx指令,但
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 245
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
"jmp_rsp"源自x86/x64架构中的汇编指令。"jmp"是无条件跳转指令,而"rsp"是寄存器,代表堆栈指针(Stack Pointer)。在执行"jmp rsp"时,程序会跳转到堆栈指针当前指向的地址执行代码。这种技术常用于栈溢出攻击中,...
VNCTF2022_Pwn_clear_got_WP
weixin_56434818的博客
02-14 864
VNCTF2022_Pwn_clear_got_WP 文章目录VNCTF2022_Pwn_clear_got_WP检查文件IDA查看题给elf文件利用思路exp 检查文件 RELRO半开,没有canary,开NX,没开PIE。 IDA查看题给elf文件 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[92]; // [rsp+0h] [rbp-60h] BYREF int v5; // [rsp
BUUCTF pwn ez_pz_hackover_2016
菜的只能随便写写博客
02-21 2364
0x01 文件分析  没有不可执行栈和段上的读写保护,可以做到很多事情。   0x02 运行  输入name并且回显,上面还有一个地址。   0x03 IDA  主要的漏洞点在这个函数内部的,chall栈的大小很大,足够写入shellcode,之后的vuln函数会将s的数据复制到vuln的栈上面,但是复制的数据量远远大于栈的长度,会造成栈溢出。  并且此函数的栈的地址直接打印出来,不用再去...
jarvis oj level pwn level3 和 level2_x64
qq_44813849的博客
07-25 269
level2_x64 x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。我们要修改寄存器的值就得通过找到例如pop rdi;ret这样的函数,将值放在栈顶。 使用ROPgadget搜索操作寄存器的函数地址: ROPgadget --binary level2_x64 --only "pop|ret" (文件名自己取的) 看一下/...
Jarvis OJ - pwn level3-64
hanqdi_的博客
02-10 267
pwn - level3_x64 检查保护机制 只开启了NX保护,堆栈不可执行保护。 放入ida分析,发现read栈溢出。 思路:没有system和binsh的情况下,在read函数前有write函数运行,可以通过泄漏write函数的地址来泄漏libc版本,从而泄漏system和binsh地址。 泄漏write函数,需要调用write(1,write_got,0x08) ...
夏令营第二周pwn的level-x64题总结
MIGENGKING的博客
07-26 360
今天我来总结一下pwn的level2_x64: 我们直接把题目放进ubuntu虚拟机查看题目: 发现题目的arch模块是64位的;NX保护模式开启,所无法构建shellcode拿到shell/ 接下把文件放进IDAx64分析: ...
[pwn] 6.ROP练习
H4ppyD0g的博客
09-01 349
文章目录pwn0pwn1pwn2pwn2_x64pwn3pwn3_x64 pwn0 经典ret2text,不过是64位程序,覆盖ebp需要8个字节。 from pwn import * elf = ELF('./level0') callsys_addr = elf.symbols['callsystem'] io = process('./level0') io.recvuntil(b'World\n') payload = cyclic(0x80 + 0x8) + p64(0x0000000000
pwn——x64下的格式化字符串
qq_41560595的博客
02-16 532
x64和x86在格式化字符串传参上稍有不同,原因在于x64会把printf函数中的参数先传到6个寄存器中。下面以一道例题说明。 链接:https://pan.baidu.com/s/1fgg6HRr__08fW1P0HgmaKA 提取码:1111 二进制文件拖入IDA并F5 代码吧啦吧啦一大堆,实际上就是让你猜一个flag和真正的flag比对,比对正确会给你flag。= =我要是都知道flag还要你的flag干嘛?! gdb调试 断点断在_isoc99_scanf处,输入AAAA。调试到printf时,查
18.9.20 Jarvis OJ PWN----[XMAN]level3(x64)
qq_42192672的博客
09-20 459
解压之后有两个文件,其中一个是lib,checksec后发现没有栈保护,wo,好想知道该怎么做了 拖进IDA看一下哪里可以溢出 read函数可以溢出 然后根据偏移量把system函数和/bin/sh在内存的位置提取出来 同样采取rop代码,注意64位的传参数顺序哦 上脚本 #代码主体 write_got=bin.got['write'] write_plt=bin.plt['w...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8449
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
nginx-1.24.0.tar
09-06
Nginx 1.24.0 是 Nginx 开源项目发布的一个重要更新版本,该版本在性能优化、功能增强以及安全性提升方面带来了诸多改进。当您下载 Nginx 1.24.0 的压缩包时,您将获得一个包含 Nginx 源代码的压缩文件,通常命名为 nginx-1.24.0.tar.gz(对于 GNU/Linux 和 macOS 系统)或类似的格式,具体取决于发布平台。 这个压缩包包含了编译 Nginx 服务器所需的所有源代码文件、配置文件模板(如 nginx.conf)、模块源码以及构建和安装说明。通过解压这个压缩包,您可以在支持 C 语言编译器的操作系统上编译并安装 Nginx 1.24.0。 Nginx 1.24.0 引入了一系列新特性和优化,可能包括但不限于对 HTTP/2 和 HTTP/3 协议的进一步支持、性能提升、新的模块或模块更新,以及对已知安全漏洞的修复。这使得 Nginx 能够在保持其作为高性能 HTTP 和反向代理服务器的声誉的同时,继续满足不断发展的网络需求。
智能化病虫害标注系统前端.zip
09-06
图像识别技术在病虫害检测中的应用是一个快速发展的领域,它结合了计算机视觉和机器学习算法来自动识别和分类植物上的病虫害。以下是这一技术的一些关键步骤和组成部分: 1. **数据收集**:首先需要收集大量的植物图像数据,这些数据包括健康植物的图像以及受不同病虫害影响的植物图像。 2. **图像预处理**:对收集到的图像进行处理,以提高后续分析的准确性。这可能包括调整亮度、对比度、去噪、裁剪、缩放等。 3. **特征提取**:从图像中提取有助于识别病虫害的特征。这些特征可能包括颜色、纹理、形状、边缘等。 4. **模型训练**:使用机器学习算法(如支持向量机、随机森林、卷积神经网络等)来训练模型。训练过程中,算法会学习如何根据提取的特征来识别不同的病虫害。 5. **模型验证和测试**:在独立的测试集上验证模型的性能,以确保其准确性和泛化能力。 6. **部署和应用**:将训练好的模型部署到实际的病虫害检测系统中,可以是移动应用、网页服务或集成到智能农业设备中。 7. **实时监测**:在实际应用中,系统可以实时接收植物图像,并快速给出病虫害的检测结果。 8. **持续学习**:随着时间的推移,系统可以不断学习新的病虫害样本,以提高其识别能力。 9. **用户界面**:为了方便用户使用,通常会有一个用户友好的界面,显示检测结果,并提供进一步的指导或建议。 这项技术的优势在于它可以快速、准确地识别出病虫害,甚至在早期阶段就能发现问题,从而及时采取措施。此外,它还可以减少对化学农药的依赖,支持可持续农业发展。随着技术的不断进步,图像识别在病虫害检测中的应用将越来越广泛。
Python 小游戏 (贪吃蛇、五子棋、扫雷、俄罗斯方块)
最新发布
09-06
python
ctf pwn题怎么生成64位的shellcode
03-25
64位Linux:objdump -d shellcode | grep '^ ' | cut -f2 | perl -pe 's/(\S{2})/\\x\1/g' 64位Windows:将机器码从shellcode.exe文件中提取,然后使用在线工具转换为十六进制字符串。 4. 将生成的十六进制字符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值