18.9.19 Jarvis OJ PWN----[XMAN]level3

最新推荐文章于 2020-07-19 17:33:49 发布
最新推荐文章于 2020-07-19 17:33:49 发布
阅读量375 收藏
点赞数
分类专栏: PWN_WP 文章标签: Jarvis OJ [XMAN]level3 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/82764229
版权

打开压缩包,看到了两个文件,surprise! 有个lib文件

checksec一波,发现没有保护栈

那就先找到可以栈溢出的地方哟,如下

可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下

我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势

key_point:函数在内存中的地址和libc文件中的偏移的差相等!!!!!!

发现了什么么,在第一个主文件中,我们可以分析出write函数的地址,那么根据偏移量就可以把system函数的内存地址求出来了

怎么构造缓冲区覆盖回去呢:

1. 恢复局部变量的ebp偏移(0x88个字节)

2. 覆盖保存的ebp(0x4个字节)

3. 覆盖返回地址(0x4个

最低0.47元/天 解锁文章
xiaoyuyulala
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【ctf】xctf攻防世界level3!!
elsa________的博客
04-05 1560
level3题解: 首先,检查一下程序基本信息: 程序很简单,保护开的也差不多。但是需要注意,这道题单独给出了libc,而且根据题目提示,程序中没有现成的system函数。这就需要我们从libc中动态加载system函数。 初步思路:PIE没有开启,那么在libc中函数的offset就是固定的,只要确认了libc的base address,然后计算出system函数的offset,就可以定位...
[Jarvis OJ - PWN]——[XMAN]level3
Y_peak的博客
02-07 246
[Jarvis OJ - PWN]——[XMAN]level3 题目地址:https://www.jarvisoj.com/challenges 题目: 先checksec一下,32位程序开启了NX保护。 在IDA看下。第一个函数中,有可以栈溢出利用的函数read。查找发现没有system函数和’/bin/sh’字符串。 expolit from pwn import * from LibcSearcher import * p=remote("pwn2.jarvisoj.com",9879)
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1438
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
红帽杯pwn1+Xman level3 wp
weixin_44031198的博客
11-24 250
1 ROP 这两道题的核心思想是ROP,ROP(返回导向编程),通俗的说,就是溢出后使用返回函数跳转到目标。一般来说,ROP应用在不能直接shellcode的情况下(NX开启时shellcode不能写入内存),具体了解ROP见wiki。 2 pwn1分析 检查程序:开启NX保护,不能写shellcode;32位linux 看代码:发现一个scanf,输入写在内存,考虑通过scanf控制...
jarvisoj——[XMAN]level3
王嘟嘟的博客
07-19 297
题目 Wp 查一下常规,开了NX,NX开了之后就不能执行自己的shellcode了。 ida看一下, 依旧是这里存在缓存区溢出 首先填充字段就是’A’*88+‘B’*4 然后找到system的地址 00040310 readelf -s libc-2.19.so |grep system 返回地址随便,现在找参数bin,现在可以看到是162d4c strings -atx libc-2.19.so |grep /bin 现在还需要使用write来读出真实的offect from pwn imp
18.9.19 Jarvis OJ PWN----Smashes
qq_42192672的博客
09-19 516
先checksec一下 我的天,有栈保护,nx,咋办…… IDA进去,我们可以看见有个函数挺关键的,如下 我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法 然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak) 先介绍一下好...
Jarvis-Musical-Bot:Jarvis Telegram Music Bot for Spotify
04-06
Jarvis Telegram Music Bot for Spotify 该Telegram机器人允许用户授权其Spotify帐户并获得不错的功能。 授权实际上不收集用户昵称以外的任何私人数据。 其特点: 分享当前歌曲。 您可以共享Spotify客户端上当前...
Python库 | jarvis_ironman-5.3.1-py2.py3-none-any.whl
02-16
Python库“jarvis_ironman-5.3.1-py2.py3-none-any.whl”是一个用于Python开发的重要工具,特别适用于后端开发。这个库的版本为5.3.1,支持Python 2和Python 3两种解释器,表明它具有良好的向后兼容性,能满足不同...
PyPI 官网下载 | jarvis_tools-2019.7.11-py2.py3-none-any.whl
02-07
标题中的"PyPI 官网下载 | jarvis_tools-2019.7.11-py2.py3-none-any.whl"表明我们讨论的是一个从Python Package Index(PyPI)官方源下载的软件包,名为`jarvis_tools`,其版本号为2019.7.11。这个软件包是针对...
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
02-05
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
Python库 | jarvis_tools-10.23.2018-py2.py3-none-any.whl
03-31
资源分类:Python库 所属语言:Python 资源全名:jarvis_tools-10.23.2018-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Jarvis OJ-PWN-[XMAN]level3 wp
分不清东西南北的Laffey
10-15 687
地址:nc pwn2.jarvisoj.com 9879 一开始拿到题目的时候是一个rar文件 解压后就得到了两个文件 对这两个文件查看保护 两个文件都是32位的 level3没有开启栈保护 可以利用栈溢出;栈中内容不可使用 不用shellcode libc-2.19.so可以看到是全部都开启了 用IDA32打开level3 跟进vulnerable_function()函数 溢出点在r...
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1651
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
18.9.20 Jarvis OJ PWN----[XMAN]level3(x64)
qq_42192672的博客
09-20 452
解压之后有两个文件,其中一个是lib,checksec后发现没有栈保护,wo,好想知道该怎么做了 拖进IDA看一下哪里可以溢出 read函数可以溢出 然后根据偏移量把system函数和/bin/sh在内存的位置提取出来 同样采取rop代码,注意64位的传参数顺序哦 上脚本 #代码主体 write_got=bin.got['write'] write_plt=bin.plt['w...
xctf pwn 踩坑笔记(一):以xctf入门题level3为例
xiongzixun的博客
10-30 496
操作环境:ubuntu16.04 +惠普台式机 IDA环境:win10 +联想笔记本** 1.打开文件 xctf中的附件一般为application/octet-stream 而且为了能够使用,我们必须要先通过chmod命令获得X权限 如果是压缩文件还要先unzip或者tar等试一下 然后,通过checksec 这个文件以后,一定要先关注Arch,也就是这个ELF究竟是64位,还是32位。 因...
xctf level3--沙窝李的王
weixin_43600412的博客
07-26 949
通过直接实战学习知识,这还是第一次这样学习,感觉到了压力-_-… level3 可以看到NX保护打开,也就是不能在栈中执行指令辽。 由于不知道NX保护的原理机制,特查询如下: NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。...
level3(xctf)
weixin_43868725的博客
05-06 470
0x0 程序保护和流程 保护: 流程: main() vulnerable_function() 很明显的栈溢出。 0x1 利用过程 整个程序中没有我们能利用的部分,但是题目给我们提供了一个libc。所以可以通过泄露got表的地址获取libc的基地址。libc中有system()函数,还有"/bin/sh"。因此我们先使用write()泄露got表中的地址计算出libc的基地址调用完成之后返...
2018 SUCTF招新赛
qq_42192672的博客
11-15 1729
PWN 1.stack checksec一波 什么保护都没开,可还行,IDA找一波漏洞 read函数百分之百溢出 我们看到了我们喜爱的 改一下rip美滋滋 exp #coding=utf8 from pwn import * context.log_level = 'debug' context.terminal = ['gnome-terminal','-x','b...
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值