Ret2csu Jarvisoj level5_x64

最新推荐文章于 2025-04-21 21:41:03 发布

原创

最新推荐文章于 2025-04-21 21:41:03 发布 · 336 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #pwn #linux #python #c语言

本题有hint:system和execve函数被禁用，使用mmap和mprotect完成本题

浅谈mmap与mprotect

mmap

将文件映射到一段内存并且可以修改那段内存的权限

头文件 <sys/mman.h>
函数原型
void* mmap(void* start,size_t length,int prot,int flags,int fd,off_t offset);
int munmap(void* start,size_t length);

mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。

函数原型

#include <unistd.h>   
#include <sys/mmap.h>   
int mprotect(const void *start, size_t len, int prot);

prot

映射区域的权限
PROT_EXEC 可执行
PROT_READ 可读取
PROT_WRITE 可写入
PROT_NONE 不能存取

x64下 _libc_csu_init函数,对libc进行初始化

用gadget控制任意函数调用

_libc_csu_init函数的通用gadgets

64位会首先将参数传到6个寄存器中

要对寄存器操作可以在栈中部署shellcode控制寄存器,但是NX保护开启,堆栈不可执行,不能直接写入shellcode,就需要利用gadget

gadget本质是一个程序或者libc中的汇编指令

大致攻击思路:利用mprotect()函数修改.bss段为可写入可执行,写入shellcode,get shell

1.check

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

(Jarvis Oj)(Pwn) level5

Nothing

05-03

2153

(Jarvis Oj)(Pwn) level5 题目描述：mmap和mprotect练习，假设system和execve函数被禁用，请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...

[BUUCTF]PWN——jarvisoj_level5

mcmuyanga的博客

01-19

830

jarvisoj_level5 附件步骤：例行检查，64位程序，只开启了nx保护本地运行一下，看看大概的情况 64位ida载入，找到关键函数 buf是0x80，read了0x200，明显的溢出漏洞。采用常规的ret2libc方法程序里用过了write函数，所以利用write函数来泄露libc 先看一下write函数的原型 ssize_t write( int fd, const void * buf,size_t nbytes) write函数将buf中的nbytes字节内容写

参与评论您还未登录，请先登录后发表或查看评论

Ret2csu level5 & ciscn_2019_s_3

红叶的博客

11-06

624

本题难点：对栈的理解需要稍微更深入一点。

JarvisOJ level5

PLpa的博客

07-11

473

题目要求不用system和execve函数，练习使用mmap和mprotect函数。首先看一下mmap函数和mprotect函数有什么用。 mmap()函数 mmap将一个文件或者其它对象映射进内存。文件被映射到多个页上，如果文件的大小不是所有页的大小之和，最后一个页不被使用的空间将会清零。mmap在用户空间映射调用系统中作用很大。头文件 <sys/mman.h> 函数原型 voi...

jarvisoj_level5

z1r0的博客

12-29

402

jarvisoj_level5 buu上的这个题目对应的是level3 x64。jarvisoj_level3 x64

jarvisoj_level3_x64

2301_81060697的博客

04-21

362

经典csu解题

pwn学习-jarvisoj-level5

qq_45653588的博客

12-22

461

mmap和mprotect练习，假设system和execve函数被禁用，请尝试使用mmap和mprotect完成本题。 mprotect()函数在Linux中，mprotect()函数可以用来修改一段指定内存区域的保护属性。mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 int mprotect(const void *start, size_t len, int prot); port:（读4，写2，执行1）由于64位下函数传参前六个参.

Jarvisoj_WP

Ph4ntom的一亩三分地

03-10

847

文章目录@[toc]**JarvisOJ - Level 0****EXP****JarvisOJ - Level 1****EXP****JarvisOJ - Level 2****EXP****JarvisOJ - Level 2_x64****EXP****JarvisOJ - Level 3****EXP****JarvisOJ - Level 3_64****EXP****JarvisOJ - Level 4****EXP****JarvisOJ - Level 5****EXP****Jarvi

Jarvis OJ pwn wp - level 0 ~ level 5

fa1c4的blog

07-03

420

level 0 溢出, ROP调用system("/bin/sh"), get shell from pwn import * from pwnlib.util.cyclic import cyclic sel = 1 filename = "./level0" URL, PORT = "pwn2.jarvisoj.com", 9881 io = process(filename) if sel == 0 else remote(URL, PORT) elf = ELF(filename) sy

jarvis oj level5

发蝴蝶和大脑斧的博客

12-11

1082

level5要求不用system和execve，而是用mprotect和mmap，查了一下，mmap主要是将哪个文件映射到一段内存去同时设置那段内存的属性可读可写或者是可执行，mprotect函数是将从addr开始的地址，长度位len的内存的访问权限。毫无头绪。查了网上大神的wp，才知道思路。首先leak地址，shellcode写入bss没什么好说的。要说下为什么要把bss和mprotec...

[XMAN]level5　Jarvis OJ

九层台

07-10

1199

思路：bss段刚开始是不可执行的，从通用的想要执行bss必须执行mprotect函数来更改bss段的权限（改为７即可读可写可执行）。但是想要获取到mprotect函数必须获取到libc版本。还是少不了上次的泄露libc函数，这里泄露的时候也直接用通用gedit减少不必要的操作，减少错误。泄露获取libc–&gt;获取到mprotect函数来改写bss段的权限–&gt;把shellcode写入到...

CTF-PWN level5(Jarvis Oj)

SuperGate的博客

05-16

911

和level3_x64一样的文件，但是限制不能使用system和execv函数拿shell，但是可以用mmap和mprotect完成本题。我尝试用mprotect来解决，首先mprotect的结构如下： int mprotect(const void *start, size_t len, int prot); 参数的含义是：把从start开始长度为len的内存区的保护属性修改为prot...

18.9.25 Jarvis OJ PWN----[XMAN]level5

qq_42192672的博客

09-25

658

题目提示：参考链接：https://veritas501.space/2017/03/10/JarvisOJ_WP/ https://blog.youkuaiyun.com/github_36788573/article/details/80178146 mmap和mprotect练习，假设system和execve函数被禁用，请尝试使用mmap和mprotect完...

ret2csu wiki level5 可能遇到的一些问题

2301_80974117的博客

03-01

982

先说一下ret2csu的原理以及底层逻辑。注：前置知识栈溢出 ret2libc bss段可写权限的理解 execve与system的应用一定的汇编语言的掌握 read、write函数即其参数的意义对got与plt的理解。

wikiCTF-pwn-ret2csu

Oops-re的博客

10-20

566

在 64 位程序中，函数的前 6 个参数是通过寄存器传递的，但是大多数时候，我们很难找到每一个寄存器对应的 gadgets。这时候，我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。

栈溢出漏洞学习与剖析

njh18790816639的博客

03-13

384

0x00 刚开始接触pwn，但是pwn呢！不应该只会做题，应该理解里面的原理，所以我们来看看程序里面究竟蕴含着什么神秘！ 0x01 程序的执行就是一种线性的"纸"，上面有许多内容。就是一张"纸"，在上面写了很多内容，Stack是栈，Heap是堆，这两个是最为关键的，因为接下来我们利用的就是有关这两个的漏洞。程序在上面执行，code代码段(其实就是汇编指令)利用这里面的指令一步一步的运行。你可能有疑问？while和if和for等其实就是jmp等跳转指令，从一张"纸"的第一行开始"写"，到了第三行(假设)有

初探ROP

KKABqN

03-16

3739

文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理中解析ret2shellcode从例子中解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子中解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子中解析ret2syscall的方法细说系统调用在ret2syscal......

中级ROP之ret2csu

至臻求学，胸怀云月

02-22

8316

ret2csu 原理在64位程序中，函数的前6个参数是通过寄存器传递的，但是大多数时候，我们很难找到每一个寄存器对应的gadgets。这时候，我们可以利用x64下的__libc_csu_init中的gadgets，如例二情况。这个函数是用来对libc进行初始化操作的，而一般的程序都会调用libc函数，所以这个函数一定会存在。下面是我在IDA摘出来的__libc_csu_init函数的汇编...

jarvisoj_level2_x64解题步骤