BUUCTF jarvisoj_level2 题解

已于 2023-08-20 22:10:08 修改
阅读量640 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: 网络安全 python
于 2023-08-20 20:27:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51802916/article/details/132395480

BUUCTF jarvisoj_level2 题解

用checksec检查文件安全属性

c
  可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。

使用IDA反汇编程序

请添加图片描述
  从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出,IDA会告诉我们buf数组与ebp在栈上的相对位置,即&buf=$ebp-0x88,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且system()的地址可以轻松在plt表中找到,为0x08048320,因此我们只需要在构造一个shell路径的字符转就可以getshell了。
  首先在IDA中输入shift+F12,可以查找程序中的字符串。
请添加图片描述
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。接下来就可以构造payload了。

payload=
最低0.47元/天 解锁文章
塵XI
关注
BUUCTF - PWN】jarvisoj_level2
古月浪子的博客
04-05 763
checksec一下,栈溢出 IDA打开看看,很容易找到溢出点,/bin/sh字符串程序里也有现成的 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) ru=lamb...
[buuctf]jarvisoj_level2
逆向萌新的博客
06-19 583
[buuctf]jarvisoj_level2
BUUCTF Pwn jarvisoj_level21解题步骤
2301_81505831的博客
02-04 447
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
pwn之jarvisoj_level2_x64
勿山几已
01-11 1020
缓冲区溢出漏洞导致漏洞利用system函数,64位程序利用rop设置函数参数
[BUUCTF] jarvisoj_level2
Lucien_Carr的博客
04-14 666
读取文件指从某一个已打开地文件中,读取一定数量的字符,然后将这些读取的字符放入某一个预存的缓冲区内,供以后使用。有危险函数read,而且调用了system函数(但是缺少了“/bin/sh”参数)handle: 一个已经打开的文件句柄,表示从这个文件句柄所代表的文件读取数据。buffer: 指缓冲区,即读取的数据会被放到这个缓冲区中去。n: 表示调用一次read操作,应该读多少数量的字符。按“shift”+“F12”查看字符串,结果如下。进入文本视图查看system函数地址,如下图。
BUUCTF jarvisoj_level2
、moddemod
06-12 631
exp from pwn import * context(log_level = 'debug') proc_name = './level2' p = process(proc_name) # p = remote('node3.buuoj.cn', 26643) elf = ELF(proc_name) system_addr = elf.sym['system'] main_addr = elf.sym['main'] bin_sh_str = 0x0804a024 payload = 'a'..
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 413
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
CTF buuoj pwn-----第6题:jarvisoj_level0
bing_Max的博客
09-02 1185
CTF buuoj pwn-----第6题:ciscn_2019_n_1前言一、checksec 检测文件的保护机制二. 静态分析,IDA打开文件三. 编写EXP四. 运行EXP, 获取flag 前言 记录一下pwn的过程, 新手学习日记, 流水线记录. 打开题目, 连接靶机,下载文件level0 一、checksec 检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ./level0 [*] '/home/bing/pwn/level0'
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3385
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
BUUCTF_Crypto_凯撒密码系列题解
最新发布
YunQ_的博客
05-23 2303
分享CTF的crypto类型的题——凯撒密码,包含“看我回旋踢”、“变异凯撒”、“凯撒?替换?呵呵!”三个题目,采用代码、工具等形式解答该类题。
buuctfjarvisoj_level2
weixin_54452942的博客
04-11 854
buuctf--pwn
BUUCTF-Pwn-jarvisoj_level2
餐桌上的猫
02-15 2424
题目截图 检查文件信息,开启了NX 用IDA打开查看字符串,存在/bin/sh,检查交叉引用发现并没有被使用 查看函数表存在system函数 进入主函数反汇编查看 进入函数vulnerable_function()查看,发现存在栈溢出漏洞,就可以利用现有system函数和/bin/sh字符串getshell exp from pwn import* r=remote('node4.buuoj.cn',28083) str_bin_sh=0x804a024 call_system=0x8048
BUUCTFjarvisoj_level2
2201_75556700的博客
11-30 398
1、在kali中分析文件,该文件为32位文件,有NX保护。6、shift+f12查看调用了哪些函数,发现了后门函数。8、在segements中查看调用system函数的地址。3、使用32位的ida分析,这里调用了两个函数。4、双击第一个函数,存在栈溢出。5、查看buf数组的栈结构。
[BUUCTF]PWN------jarvisoj_level2
BangSen1的博客
01-20 421
jarvisoj_level2 例行检查,32bit,开启NX保护。 nc 一下 ,Hello world,没什么信息 用32位IDA打开,看到了/bin/sh,跟进一下。 想查看调用函数的,但是看不了,所幸地址已经给出,所以shell_addr=0x804A024 system_addr=0x8048320 直接利用这些构造 system(/bin/sh)去执行 找到输入点 buf的大小是0x88,读入的数据大小是0x100,多余空间足以构造rop exp flag ...
jarvisoj_level2[BUUCTF]
moonlightsunshin的博客
05-09 352
从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出,IDA会告诉我们buf数组与ebp在栈上的相对位置,即&buf=$ebp-0x88,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且system()的地址可以轻松在plt表中找到,为0x08048320,因此我们只需要在构造一个shell路径的字符转就可以getshell了。
buuctf jarvisoj_level2
carol2358的博客
04-19 334
水题 可以在ida里找到system和/bin/sh(alt+t) 然后构造payload就完事了 from pwn import * from LibcSearcher import * context(log_level = 'debug',arch ='i386',os = 'linux' ) r = remote('node3.buuoj.cn', 28847) #r = proc...
[BUUCTF-pwn]——jarvisoj_level2
Y_peak的博客
02-10 1485
[BUUCTF-pwn]——jarvisoj_level2 题目地址:https://buuoj.cn/challenges#jarvisoj_level2 checksec 一下下, 32程序 IDA中看下,发现了system函数还是两个,有可利用的栈溢出read函数,shift+F12,还发现了"/bin/sh"字符串. 所以exploit就如下 exploit from pwn import * p = remote("node3.buuoj.cn",28375) binsh = 0
[BUUCTF]PWN16——jarvisoj_level2
mcmuyanga的博客
09-01 2815
[BUUCTF]PWN16——jarvisoj_level2 附件 步骤 例行检查,32位,开启了nx保护 试运行一下程序 32位ida载入,shift+f12查看一下程序里的字符串,发现了system函数和 /bin/sh 字符串 双击跟进,ctrl+x本想查看调用该字符串的函数的,没有找到,但是程序里有这些字符串的位置, shell_addr=0x804a024 system_addr=0x8048320 我们可以直接利用这些构造 system(/bin/sh)去执行 跟进试运行时候看到的字
buuctf jarvisoj_level2_x64
carol2358的博客
04-22 448
水题 栈溢出,system和binsh都可以用gdb找到 exp: from pwn import * from LibcSearcher import * local_file = './level2_x64' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.so.6' s...
buuctf pwn level2
03-29
好的,我现在要解决BUUCTF PWN level2的问题。首先,我需要了解题目的大致情况。根据用户提供的引用内容,可能涉及到堆溢出、格式化字符串漏洞或者栈溢出等常见PWN题类型。不过具体到level2,可能需要更多的信息,但...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值