BUUCTF:jarvisoj_level3_x64(write up)

最新推荐文章于 2023-10-25 10:22:30 发布
最新推荐文章于 2023-10-25 10:22:30 发布
阅读量879 收藏 3
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44768749/article/details/108201151
版权

BUUCTF:jarvisoj_level3_x64

0x01 文件分析

在这里插入图片描述

64位程序,仅开启栈不可执行保护

0x02 运行

在这里插入图片描述

输入一个字符串

0x03 IDA

在这里插入图片描述
在这里插入图片描述

字符串可输入长度可造成栈溢出

0x04 思路

  • 没有提供system函数和"/bin/sh"的地址
  • 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数

这里有个难点就是参数需要放到对应的寄存器中
要泄露read函数的真实地址,需要构造write(1, read_got, 8),即将rdi=1rsi=read_gotrdx=8

ROPgadget --binary level3_x64 --only “pop|ret”

在这里插入图片描述

利用出栈指令pop给对应的寄存器赋值,但这里没有pop rdx,通过查看反汇编可以发现构造栈溢出前rdx=0x200,足够将read函数的真实地址泄露出来

在这里插入图片描述

  • 第二次栈溢出跳转执行system("/bin/sh")
最低0.47元/天 解锁文章
  筱
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
html5-sampler:加载自定义声音并直接在Web浏览器中播放。 支持MIDI控制器:musical_keyboard::control_knobs::level_slider:
05-01
支持MIDI控制器 :musical_keyboard: :control_knobs: :level_slider: 支持 特征 Chrome合金 火狐浏览器 苹果浏览器 歌剧 边缘 IE 取样器 :check_mark_button: :check_mark_button: :check_mark_button: :...
jarvisoj_level3_x64
qq_62887641的博客
09-21 172
64位,只开了nx栈溢出。
BUUCTF jarvisoj_level3
红叶的博客
10-27 327
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
uTinyRipper_x64 (2)_uTinyRipper_x64_
10-01
《uTinyRipper_x64:Unity资源提取利器详解》 在数字娱乐产业中,Unity引擎因其强大的功能和易用性,已经成为许多开发者首选的游戏开发工具。然而,有时我们可能需要从Unity游戏或应用程序中提取资源,如模型、纹理...
controls-gui::level_slider::control_knobs:用于管理状态的GUI
05-06
控件图形用户界面 用于管理状态的GUI 安装 npm install -S controls-gui 稳定 该库仍应视为实验性库。 它肯定会服从语义版本控制,但是希望它将在我使用它时Swift增加并使其适应实际需求。 介绍 ...
TLCAS:top_level_conference_analysis_system
07-24
学术顶级会议分析系统top_level_conference_analysis_system这是一个AI领域七个顶级会议(CCF-A)的论文分析系统,我们希望通过这个系统,能找到该领域的学术研究趋势,并帮助研究者更敏锐地发现新的学术热点。...
get.rar_gac_level set_level set function
07-15
标题中的“get.rar_gac_level set set function”指的是一个与通用自动分类(GAC,Generalized Active Contours)相关的程序或代码集,其中涉及到水平集(level set)函数的设置和调整。GAC是一种图像分割算法,它...
JarvisOJ level3_x64
PLpa的博客
07-09 998
这题和level3大同小异,只不过这一题是x64的程序 做这题之前,建议先写level2。 拿到这题,我们首先查看保护: 程序只开了NX保护,好的。 根据做过level3的经验,我们先找出我们需要的地址(也可以用pwntools工具自动找): vul()函数: write()函数的plt地址: 之后我们找齐需要用的gadget: 但是我们并没有找到pop rdx ; ret,根据我们对w...
BUUCTF--pwn--jarvisoj_level3_x64【ret2libc_64】
qq_73149934的博客
12-05 560
BUUCTF--pwn--jarvisoj_level3_x64
BUUCTFjarvisoj_level3_x64,picoctf_2018_rop chain
m0_51251108的博客
12-30 191
BUUCTFjarvisoj_level3_x64 ROPgadget缺了rdx,对应的是输出的长度,要大于8 gdb调试可以看到rdx的值是0x200,足够大,不用管了 from pwn import* r=remote('node3.buuoj.cn',29628) libc=ELF('./libc-2.23.so') elf=ELF('./level3_x64') context.log_level = 'debug' context.arch = elf.arch pop_rdi=0x4006
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 234
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
BUUCTF(pwn)jarvisoj_level3_x64
半岛铁盒的博客
04-01 431
这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 ) 64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。 这里我们使用 write 函数 来泄密 libc地址 ssize_t write(int fd,const void*buf,size_t count); 参数说明: f.
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 455
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
buuctf jarvisoj_level3_x641
qq_73625550的博客
05-14 487
ret2libc,利用libcsearcher获取libc版本
Jarvis OJlevel3_x64_通用ROP
Jc
07-13 307
解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 2.代码审计 3.漏洞分析 1.程序无system和bin/sh,并且是个64位的,我们不能进行往栈里面写入数据 2.64位汇编 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样,...
[BUUCTF-pwn]——jarvisoj_level3_x64
最新发布
Y_peak的博客
10-25 261
简单的ret2libc通过vuln函数,我们可以看出程序中包含write和read函数,同时存在栈溢出。通过write泄露read的got表地址。进而获得libc,重新控制代码再次进行栈溢出即可获得shell。
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.csdn.net/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.csdn.net/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值