BUUCTF---jarvisoj_level4

最新推荐文章于 2022-12-04 21:41:22 发布
最新推荐文章于 2022-12-04 21:41:22 发布
阅读量285 收藏 1
点赞数
文章标签: linux 自动驾驶 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33010875/article/details/120488295
版权
本文介绍了在WSL2的ubuntu16.04环境中,解决BUUCTF中jarvisoj_level4挑战的过程。关键在于利用python通过read函数泄露libc基址,然后获取system函数和/bin/sh字符串地址,最终成功调用。
摘要由CSDN通过智能技术生成

环境:WSL2,ubuntu16.04,python2

checksec文件:
在这里插入图片描述
将文件拖入ida
溢出点:
在这里插入图片描述
和level3不同的是
read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来

payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4)

接受泄露出来的地址

read_addr = u32(io
最低0.47元/天 解锁文章
12Shen
关注
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 533
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
BUUCTFjarvisoj_level4(write up)
qq_44768749的博客
08-24 985
这里写目录标题0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、部分RELRO保护 0x02 运行 简单的输入一个字符串 0x03 IDA 漏洞点在vulnerable_function输入长度可以造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 第二次栈溢出跳转执行system("/bin/
Jarvis OJ Level4
qq_39153421的博客
09-19 438
写在最前面:  在漏洞利用的时候,如果没有给出libc库,可以先泄漏两个函数的地址,然后再去查libc的版本号。但是,这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址,然后再往一个地方写’/bin/sh’字符串并构造调用system函数的栈。下面以Jarvis OJ中的level4这道题为例,使用DynELF实现漏洞利用。   在写之前先了解...
[BUUCTF]PWN--------jarvisoj_level4
BangSen1的博客
04-02 328
jarvisoj_level4 例行检查,32位,开启NX保护 运行一下 用IDA打开。查看主函数 查看vulnerable_function()函数 buf存在溢出漏洞。 是一道ret2libc类型的题目。 利用第一次溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回重新执行主函数。 再利用第二次栈溢出跳转执行system("/bin/sh") from pwn import * from LibcSearcher import * context(os = "
jarvisoj_level4
m0sway的博客
11-25 871
jarvisoj_level4 使用checksec查看: NX,估计还是一道栈题目,拉进IDA中查看: 主函数中给出了漏洞函数,跟进查看: read()读取了0x100,buf变量距离ebp0x88,存在栈溢出。 程序没有system和/bin/sh,需要自己泄露libc去找,一道标准的ret2libc题目。 exp: from os import sendfile from pwn import * #start r = remote("node4.buuoj.cn",27632) # r =
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 490
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTF - PWN】jarvisoj_level0
古月浪子的博客
04-05 692
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 306
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
BUUCTF-jarvisoj_level4
Rt1Text的博客
12-04 182
很明显的栈溢出,没有system(bin/sh) 32位的ret2libc3老规矩的脚本
[BUUCTF-pwn]——jarvisoj_level4
Y_peak的博客
02-22 220
[BUUCTF-pwn]——jarvisoj_level4 点我看 write up exploit from pwn import * from LibcSearcher import * p = remote("node3.buuoj.cn",26929) elf = ELF("./level4") write_plt = elf.plt['write'] write_got = elf.got['write'] main_addr = elf.sym['main'] payload = 'a' *
Jarvis OJ --level4
Kni9hT's Blog
11-11 252
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
JarvisOJ level4
PLpa的博客
07-08 2315
这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。 前言: DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。 这是DynELF函数使用的一个模板: def leak(address): payload=pad+p...
jarvisoj——[XMAN]level4
王嘟嘟的博客
07-19 434
题目 Wp 检查基础项,有NX保护 ida看的时候还是之前的那种,但是没有给lib,需要自己去找 那么这里第一步,肯定是找到system的地址 第二步将/bin/sh写入bss字段 第三部调用即可
jarvis oj level4
发蝴蝶和大脑斧的博客
12-05 602
level3相比没有提供libc.so文件。学习使用Dynelf: def leak(address):
jarvisoj level4 wp ROP及DynELF模块
ditto的博客
12-31 538
拿到题目 开启了NX。 放IDA里: 栈溢出。 程序本身没有调用system函数 无法ret2plt。 且题目本身没有给出目标的动态库的版本。题目本身有write函数,可以泄露内存,则可以利用pwntools的DynELF模块,找到system函数。 本身程序段没有/bin/sh的字符串,则需要使用read函数将字符串读入,read函数有三个参数,这就需要pop pop pop ret这...
BUUCTF------level4
qq_64558075的博客
12-19 721
最详细
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值