BUUCTF----jarvisoj_level3_x64

最新推荐文章于 2022-01-22 21:49:04 发布
最新推荐文章于 2022-01-22 21:49:04 发布
阅读量436 收藏
点赞数
文章标签: stm32 linux vim
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33010875/article/details/120490732
版权

环境:WSL2,ubuntu16.04,python2

checksec文件:
在这里插入图片描述
这道题level3的思路一样,只是32位的程序改成了64位。
也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令:

ROPgadget --binary level3_x64 |grep "pop"

结果:
在这里插入图片描述
从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器

尝试gdb程序:
在这里插入图片描述
在read函数下断点,可以看到rdx的值为0x340,而write函数的地址小于0x340,也就是说我们可以不用修改write函数的第三个参数,即write函数的字段长度的那个参数。即rsi和rdi两个寄存器就足够

payload = (0x80+0x08)*'a'+p64(rdi)+p64(
最低0.47元/天 解锁文章
12Shen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jarvisoj_level3_x64
qq_62887641的博客
09-21 163
64位,只开了nx栈溢出。
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 227
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
jarvis oj level3_x64
发蝴蝶和大脑斧的博客
12-07 797
level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。 先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ; ret 0x00000000004006b1 : pop rsi ; pop r15 ; ret 根据网上w...
jarvisoj_level3
m0_52231248的博客
11-17 642
jarvisoj_level3 Checksec: Ida: 标准的ret2libc,offest=0x88+4 有write和read的plt地址 Exp: from pwn import* from LibcSearcher import* r=remote("node4.buuoj.cn",26088) elf=ELF('./level3') context.log_level = 'debug' payload=flat('a'*0x88+'bbbb') payload+=
Jarvis OJ [XMAN]level1 write up
03-12 111
首先 老规矩,把软件拖到Ubuntu里checksec一下文件 然后知道了软件位数就放到IDA32里面。。。 熟悉的函数名。。。 缘真的妙不可言。。。 然后看了下vulnerable_function函数的栈结构 算了下 vulnerable_function中的read函数准备给buf 0x100的空间 但是buf却用了0x88+0x4就结束了vul...
Level_Set.zip_level set_level-set_set
07-15
Level Set 程序 识别图像 很好用的
DRLSE.rar_distance_drlse_level set_level-set
09-23
matlab code for Distance Regularized Level Set Evolution
grayValueDistributionCompare.rar_gray-level value_scale
07-13
By compare the gray value distribution to find the optimized scale value to downsample the images.
rw.rar_Level set Matlab_level set_level-set
09-14
level set segematation
AC-DC-AC 3-LEVEL PWM CONVERTER
04-14
AC-DC-AC 3-LEVEL PWM CONVERTER
【BUUCTF - PWN】jarvisoj_level0
古月浪子的博客
04-05 653
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
jarvis oj level3
CNXBDSa的博客
07-27 382
首先先了解一下libc库的知识详情请移步大佬总结 了解一下plt和got表详情请移步大佬总结 然后是做题过程首先老规矩在ubuntu中checksec+文件名查看有无什么保护机制和位数 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为cana...
Pwn-最简单栈溢出(2018铁三云贵赛区)write函数泄露+用地址跳回重执行主函数
publicStr的博客
05-16 4569
开始前的例行叨叨:这大概是最简单的pwn题了吧,直接溢出的。主要是记录下write函数泄露动态地址的姿势,还有程序执行完一次就退出了,如何在溢出的末尾让它重执行,以及从lic中提取地址的姿势。...
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3505
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
buuoj level3 x64 return to libc
pondzhang的专栏
04-29 228
from pwn import * #p = process('./pwn') #p = process('./level3_x64') p = remote("node3.buuoj.cn",25333) p.recvuntil("Input:\n") libc = ELF('./libc-2.23.so') poprdiret = 0x00000000004006b3 poprsir15r...
[BUUCTF]REVERSE——[WUSTCTF2020]level3
mcmuyanga的博客
12-16 468
[WUSTCTF2020]level3 附件 步骤: 例行检查,64位程序,无壳 64位ida载入,找到关键函数 看样子是个base64加密,但又感觉没那么简单,再翻翻左边的函数,找到了base64加密变表的函数 将加密表变换一下写个解密exp import base64 table = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=' model = list("ABCDEFGHIJKLMNOPQRSTUVWX
jarvisoj——[XMAN]level3
王嘟嘟的博客
07-19 291
题目 Wp 查一下常规,开了NX,NX开了之后就不能执行自己的shellcode了。 ida看一下, 依旧是这里存在缓存区溢出 首先填充字段就是’A’*88+‘B’*4 然后找到system的地址 00040310 readelf -s libc-2.19.so |grep system 返回地址随便,现在找参数bin,现在可以看到是162d4c strings -atx libc-2.19.so |grep /bin 现在还需要使用write来读出真实的offect from pwn imp
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1648
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值