pwn学习-jarvisoj-level4-无libc的漏洞利用

最新推荐文章于 2024-02-15 11:19:40 发布
最新推荐文章于 2024-02-15 11:19:40 发布
阅读量277 收藏 2
点赞数
分类专栏: pwn 文章标签: pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45653588/article/details/111415491
版权

这题下载文件下来,文件与level3反编译后伪代码基本一样,只是相比level3少了一个libc文件。level3

vulnerable_function()中存在明显的栈溢出,分配了0x88的空间,能输入0x100的内容。

ssize_t vulnerable_function()
{
   
  char buf; // [esp+0h] [ebp-88h]

  return read(0, &buf, 0x100u);
}

同样以payload payload = 'a' * 0x8c + p32(elf.symbols['write']) + p32(elf.symbols['vulnerable_function']) + p32(1) + p32(address) + p32(4) 可以泄露出函数的地址,但是在这没有现成的libc文件给我们利用来查找system函数的地址。

查阅资料后,这里可以用到pwntools的DynELF模块来应对无libc情况,具体可见【技术分享】借助DynELF实现无libc的漏洞利用小结

DynELF的基本利用模板为:

p = process('./xxx')
def leak(address):
  #各种预处理
  payload = "xxxxxxxx"</
最低0.47元/天 解锁文章
So4ms
关注
专栏目录
(Jarvis Oj)(Pwn) level4
Nothing
05-01 1150
(Jarvis Oj)(Pwn) level4 先看一下保护措施,没什么奇怪的地方。 这次并没有给libc的文件,开始通过泄露得到的__libc_start_main地址对照libc库,并没有成功。于是就学了一波DynELF,这个模块的原理还是不太清楚(玄学),以后来填。总之利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,但是我们可以控制read函数,所...
PWN-无libc泄露
zszcr的博客
03-22 3721
pwn题的无libc泄露用到的pwntools的DynELF模块实现条件是:有指向libc空间的 能泄露libc空间信息的函数 (write和puts函数)能重复触发漏洞DynELF模块的基本框架:p=process('./xxx')def leak(address):    payload='xxx'+address+'xxx'  #address就是你要泄露的地址 ,payload是你控制程序...
Jarvis Oj Pwn 学习笔记-level4
baoan4763的博客
05-31 196
没有libc?!DynELF了解一下 来,链接: https://files.cnblogs.com/files/Magpie/level4.rar nc pwn2.jarvisoj.com 9880 我抽着差不多的烟,又check差不多的sec: 扔进IDA: 和level3差不多,只是这道题没有提供libc 这道题其实主要就是学一下pwntools的一个工...
没有对方libc文件,如何getshell?xdctf12 pwn200 与 welpwn 的 writeup
哒君的博客
07-26 433
DynELF 文档:https://pwntools.readthedocs.io/en/stable/dynelf.html 简单来说,DynELF可以泄漏对方的libc信息 关于DynELF的原理,这个博客讲的很详细
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 803
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 530
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
从零开始做题:逆向 ret2libc jarvisoj level1
最新发布
weixin_44626085的博客
02-15 1307
pl ='a' * (0x88 + 0x4 ) + p32(write_plt) + p32(main_addr) +p32(0x1)+p32(write_got)+p32(0x4) # 栈迁移过来后 执行write函数 write后返回main函数 write的三个参数。libc=LibcSearcher('write',write_addr) #根据泄漏的write地址,用LibcSearcher可以找到对应的libc版本,然后找到对应的write函数地址。基本全关,栈可执行。
BUUCTF:jarvisoj_level4(write up)
qq_44768749的博客
08-24 984
这里写目录标题0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、部分RELRO保护 0x02 运行 简单的输入一个字符串 0x03 IDA 漏洞点在vulnerable_function输入长度可以造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 第二次栈溢出跳转执行system("/bin/
夏令营第二周pwnlevel-x64题总结
MIGENGKING的博客
07-26 361
今天我来总结一下pwnlevel2_x64: 我们直接把题目放进ubuntu虚拟机查看题目: 发现题目的arch模块是64位的;NX保护模式开启,所无法构建shellcode拿到shell/ 接下把文件放进IDAx64分析: ...
[BUUCTF]PWN——level4
mcmuyanga的博客
11-03 294
level4 附件 步骤: 例行检查,32位程序,开启了NX保护 运行一下程序,看看大概的情况 32位ida载入,首先检索程序里的字符串,根据上一步运行看到的字符串进行跳转 输入点在function里 参数buf存在溢出漏洞,字符串里没有找到现成的后门可以利用,所以使用ret2libc的方法来获取shell 利用过程: 泄露libc版本 只能通过程序里已经调用过的函数才行,这里利用的read函数 read_got=elf.got['read'] write_plt=elf.plt['writ
Writeup of level4(Pwn) in JarvisOJ
cossack9989的博客
02-16 1276
大年初一浅浅地学了个leak?0x00 What is DynELF?pwntool-DynELF详见官方文档咯~0x01 checksecroot@kali:~/Desktop/Pwn/level4# checksec level4 [*] '/root/Desktop/Pwn/level4/level4' Arch: i386-32-little RELRO: P...
Jarvis OJ-pwn level4(利用DynElf泄漏system地址)
hanqdi_的博客
02-07 233
pwn level4 借助DynELF实现无libc的漏洞:这篇讲的挺好 检查保护机制 ida打开文件,发现read函数栈溢出漏洞,想要用ret2libc解决,但是在漏洞函数前没有其他函数执行,所以不能进行泄漏函数得到libc版本。 在无libc情况下,通过DynELF进行泄漏system函数。有了system地址,但是没有binsh字符串,这里可以通过read函数,从标准输入,写到bss...
pwn】未知libc版本利用的一个蠢方法
Nothing
08-17 1435
前几天看了一道题,题目本身还是比较常规的,这题的预期解法是通过_dl_runtime_resolve来做的。但我就是想用栈溢出+栈迁移碰一碰,整了半天就差onegadget地址了,查了一下libc search发现找不到对应的版本,可能出题人就是想用一个比较偏的libc版本把这条路封死,但我最后还是硬怼出来了。以后如果遇到了数据库中找不到对应的libc版本的时候可以尝试一下这种方法(当然ctf题中一般不会出个很偏的libc版本)。 条件:1.libc中的一个任意地址(通过泄露got表就可得到)。2.可以通过
3.pwn入门新手做无system泄露libc.so版本攻防世界pwn100 pwn200(dynelf 、libsearcher与got表plt表解)
qiudalaojiao的博客
02-12 2030
第一步:基地址 = 实际地址(泄露的got地址) – libc中对应函数的偏移 第二部:目的函数地址 = 基地址 + libc中对应函数的偏移 Dynelf 查找函数地址的典型方法是从泄漏的同一个库中的另一个函数的地址计算到所需函数的偏移量,然而,要使这种方法有效地工作,gLibc的远程服务器版本需要与我们的相同。我们还可以通过泄漏一些函数并在libcdb.com中搜索找到gLibc的远程版本,但...
pwn技巧之ret to libc
这里没人
05-14 2455
简介 在0day攻击当中有许多的技巧,这次介绍一种常用的攻击手段。ret to libc与栈溢出,堆溢出之类的漏洞利用技巧有所不同。ret to libc是一种在漏洞攻击中的常用的思路。目的是最大化利用所发现的漏洞,实现我们最终的目标get shell 首先,我们来认识一个c语言的库函数 int system(const char * string); 这个函数的的功能很简单,执行...
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7390
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
BugkuCTF-PWNpwn6-printf超详细讲解(未提供Libc版本)
am_03的博客
08-31 1143
查看文件类型: 查看保护机制: IDA64位打开: 伪码: 查看子程序: case 2: case 3: case 1:
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值