(Jarvis Oj)(Pwn) level1

利用NX关闭执行shellcode:Jarvis Oj Pwn Level1分析
最新推荐文章于 2025-02-18 15:53:11 发布
原创 最新推荐文章于 2025-02-18 15:53:11 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客分析了Jarvis Oj的Pwn Level1挑战,指出保护机制近乎未开启,特别是NX保护。通过IDA反汇编,作者发现可以利用printf函数输出buf的地址,并在NX关闭的情况下,将shellcode写入buf,通过函数返回跳转执行shellcode来获取shell。

(Jarvis Oj)(Pwn) level1

首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着栈上的数据可执行。
这里写图片描述
用ida反汇编,找到溢出点。
这里写图片描述
但这次没有找到system函数了,那么该怎么得到shell呢,发现这个函数调用了printf函数,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转到buf位置,就可以执行shellcode了,示意图如下。
这里写图片描述
写得脚本 。

  1 from pwn import *                                                                                                  
  2 
  3 conn=remote("pwn2.jarvisoj.com",
最低0.47元/天 解锁文章
jarvisoj_level1
m0sway的博客
12-03 2442
jarvisoj_level1 使用checksec查看: 保护全关,并且还有RWX区域。栈溢出的题目的话直接ret2shellcode即可。 放进IDA中查看: 主函数中直接给出漏洞函数: 妥妥的一个栈溢出了,程序会输出buf的地址。 查看了下字符串也没有关键字符串,看来就是ret2shellcode 然而…BUU上的环境可能有点问题。并不能打通。 于是…使用ret2libc的方式。用write泄露libc的地址,然后捣鼓捣鼓。 exp: from pwn import * from six imp
Jarvis OJ pwn wp - level 0 ~ level 5
fa1c4的blog
07-03 421
level 0 溢出, ROP调用system("/bin/sh"), get shell from pwn import * from pwnlib.util.cyclic import cyclic sel = 1 filename = "./level0" URL, PORT = "pwn2.jarvisoj.com", 9881 io = process(filename) if sel == 0 else remote(URL, PORT) elf = ELF(filename) sy
PWN_JarvisOJ_Level1
michaelinfinity的博客
03-13 872
首先nc一下 之后我们来看ida反编译 在“Hello,World!\n”之前有一个vulnerable_function,进去之后查看一下这个函数 可以看出来刚刚出现的奇怪的地址是buf的首地址(%p是返回参数地址的),那么我们就要查看一下buf。 从中能看出buf有0x88的字节,并且返回指令在+0004的位置,所以需要填充0x88+4的字节 这个题目中没有syste...
JarvisOJ-PWN-Level1
杀生丸?不,其实我要的是桔梗
03-16 936
JarvisOJ-PWN-Level 先checksec一下: 发现NX栈保护没有打开,也就是堆栈代码没有进行保护,那么就就题目很可能就是要输入shellcode在栈里执行吧。 打开IDA分析(32位): 主函数: vulner..fuction()函数: 题目的逻辑是打出buf的首地址然后写入从标准输入100字节给buf。 然后输出Holle world。 我们再看b...
jarvisoj pwn level1
Joey_l的博客
07-31 484
https://www.jarvisoj.com/challenges 拿到程序后先file可知为32位和动态链接 file level1 然后checksec检查保护机制 checksec level1 拖入ida查看,在vulnerable_function()函数的printf()处存在注入点 栈结构: 低地址→高地址 buf→ebp→eip(返回地址) 思路:没有s...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 241
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
Jarvis OJ pwn——level1
CNS-Enterprise BCC-1701-J
05-27 237
Jarvis OJ 做题练习
pwnjarvisoj_level2_x64
勿山几已
01-11 1056
缓冲区溢出漏洞导致漏洞利用system函数,64位程序利用rop设置函数参数
BUUCTF Pwn jarvisoj_level01
2301_81505831的博客
02-04 528
查看之后发现是64位的ELF文件,只开启了一个NX保护,不影响栈溢出,直接放入IDA64进行反编译。发现buf变量分配的空间只有0x80,而read函数的第三个参数是0x200,会造成溢出。可以看到起始地址是400596,我们将其覆盖return的地址就会调用其函数。按shift+F12,出现下面的信息,双击/bin/sh。"node5.buuoj.cn",25586是靶机信息。双击vulnerable_function。双击callsystem函数。在python脚本中输入。
buuctf-jarvisoj_level0(pwn)题解
最新发布
2301_81574836的博客
02-18 596
buuctf-jarvisoj_level0(pwn)题解
jarvisoj-level1
qq_35661990的博客
11-08 399
先看一下有什么保护 什么保护都没开起来。 放进IDA里看一下 vulnerable_function(); write(1, "Hello, World!\n", 0xEu); return 0; main函数里就三行,进入vulnerable_function()函数看一下 char buf; // [esp+0h] [ebp-88h] printf("W...
jarvisoj——[XMAN]level1
王嘟嘟的博客
07-15 607
题目 Wp 先查一下基本的内容 可以看到 RELRO: Partial RELRO就是got表可写的意思,然后ida接着看看源码,这里就是说调用了一个无参的函数 这里看到很明显的是一个溢出,但是这里没有shellcode,就需要自己写一个了 这里可以看到print打印了buf的地址 这里写一个pwntools的脚本 from pwn import * sh = remote("pwn2.jarvisoj.com",9877) shellcode = asm(shellcraft.i386.
攻防世界level0 + (Jarvis Oj)(Pwn) level1
qq_44832048的博客
07-24 2121
攻防世界level0 将文件在ida中打开, 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互,双击进去查看,, 无参数传入,buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。查找字符串 这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址...
[BUUCTF]PWN——jarvisoj_level1
mcmuyanga的博客
11-09 1970
jarvisoj_level1 附件 步骤: 例行检查,32位程序,没有开任何保护 本地运行一下程序,看看大概的情况,可以看到输出了一个地址 32位ida载入,习惯性的检索程序里的字符串,没有发现可以直接利用的gates, main函数开始看程序 function函数 参数buf存在明显的溢出漏洞,程序还将buf参数的地址给了我们 由于没有开启nx,所以我们可以先通过read读入shellcode,然后利用溢出漏洞将ret覆盖为buf参数地址(此时buf里是shellcode)去执行即可
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 430
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
Jarvis OJ level1
Kni9hT's Blog
11-08 671
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
Jarvis OJlevel1
weixin_43464124的博客
04-22 377
首先介绍一下pwntools的一个用法吧算是。 from pwn import* shellcraft.sh() 然后,pwntools这个只能工具就会帮你写出一串shellcode来。 大致是这样的: u" /* execve(path='/bin///sh', argv=['sh'], envp=0) */\n /* push '/bin///sh\\x00' */\n p...
jarvisoj pwn level1 ——记第一次shellcode的编写
Vccxx的博客
03-19 3758
jarvisoj(https://www.jarvisoj.com/challenges )pwn部分 level1 解题过程:在队友的指导下写了人生第一个shellcode感觉很刺激,过程中还是学到了很多东西,记录一下这个程序流程很简单,用ida分析就两个主要的函数:main:int __cdecl main(int argc, const char **argv, const char **en
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值