(Jarvis Oj)(Pwn) level2(x64)

最新推荐文章于 2025-04-26 16:10:30 发布
原创 最新推荐文章于 2025-04-26 16:10:30 发布 · 1.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这篇博客介绍了在64位系统中解决(Jarvis Oj) Pwn level2挑战的方法。内容涉及检查程序保护、溢出点定位以及与32位不同的参数传递方式。在64位程序中,利用pop edi/rdi;ret指令覆盖edi寄存器以传递'/bin/sh'到system函数,实现控制流程。作者通过ropgadget找到所需 gadget,并给出了利用脚本的概要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

(Jarvis Oj)(Pwn) level2(x64)

首先用checksec查一下保护,和level2一样。
这里写图片描述
反汇编,程序和32位的程序几乎一致。找到溢出点。
这里写图片描述
那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可以做到,利用程序自己的带有pop edi/rdi;ret语句达到给edi赋值的效果。pop edi语句是将当前的栈顶元素传递给edi,在执行pop语句时,只要保证栈顶元素是”/bin/sh”的地址,并将返回地址设置为system。示意图如下:
这里写图片描述
通过ropgadget去找pop edi;ret的地址。
这里写图片描述
最后写得脚本。 

  1 f
最低0.47元/天 解锁文章

200万优质内容无限畅学
Jarvislevel2_x64--64位简单栈溢出
qq_43613144的博客
07-26 485
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
jarvis oj PWN - level3
07-23 322
1.使用write 泄漏出 got地址, 通过libc计算偏移得到system, binsh。关键传参: write_addr, 返回地址, 1, output, 4(4字节)3.这次覆盖ebp执行system /bin/sh。2.覆盖ebp返回主函数再次执行。
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1124
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
Level2股票行情数据接口:揭秘主力动向,助您抢占投资先机
最新发布
04-26 1万+
Level2数据实时推送每一笔委托与成交(包括撤单记录),还原市场最真实的博弈细节。普通行情仅展示5档买卖盘,Level2提供10档深度数据,结合委托单分布与挂撤动态,预判短期支撑压力位,辅助制定止盈止损策略。:以万科A竞价阶段为例(图1),Level2数据清晰显示百万级大单委托与撤单轨迹,帮助用户识破“高开陷阱”,避免跟风被套。Level2数据可拆解每笔委托的规模(大单/中单/小单),结合买卖方向与撤单行为,精准判断主力资金动向。普通投资者依赖的L1行情数据每3秒更新一次,而。
PWN_JarvisOJ_Level2_x64
michaelinfinity的博客
03-16 1550
关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。 32位的函数在调用栈的时候是: 调用函数地址->函数的返回地址->参数n->参数n-1....->参数1 64位的函数在调用栈的时候是: 前六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。 ...
jarvis oj level2_x64
发蝴蝶和大脑斧的博客
12-05 603
接下来做64位了,首先看下和32位有什么不一样。这篇文章的第3节说的很详细 主要来说就是: 1.内存地址的范围由32位变成了64位,但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。 2.x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。我们要修改寄存器的值就得通过找到例如pop rdi;ret这样...
jarvisoj——[XMAN]]level2(x64)
王嘟嘟的博客
07-19 426
题目 Wp 这里检查一下基础项 这里看了一下,发现还是read这里出现了问题,需要进行覆盖 构造一下payload from pwn import * r=process("./level2_x64") #r=remote('pwn2.jarvisoj.com',9882) e=ELF('./level2_x64') sys_addr=e.symbols['system'] bin_addr=e.search("/bin/sh").next() pop_rdi=0x4006b3 payload='
jarvisoj_level6_x64(buuctf)--unlink利用
weixin_45427676的博客
04-14 749
这道题利用了unlink,unlink的利用原理我已经讲过了,以这个题来实列操作一下,加深对unlink利用的认识 查看保护机制 程序分析 在IDA查看一下主函数 可以看到程序中有四个功能函数,该程序是一个记事本程序,功能上基本就是添加记录、打印列出所有记录、编辑记录、删除记录。简单分析一下各函数的作用。 1、sub_400a49:创建记录索引表,具体就是分配一个大堆,堆里面存了各条记录存储区...
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 596
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 583
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
jarvisoj pwn level5 wp
zszcr的博客
03-26 2026
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
JarvisOJ level2x64
PLpa的博客
07-09 646
这题和level2的漏洞和处理方式差不多,只不过level2是x86而这题是x64的 前言: 首先,我们先看一下x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86中参数都是保存在栈上,但在x64中的前六个参...
Jarvis OJ [XMAN]level2(x64)
九层台
07-07 1193
liu@liu-F117-F:~/桌面/oj/level2_x64$ checksec level2_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2_x64/level2_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
jarvisoj_level2_x64
m0_52231248的博客
11-15 578
jarvisoj_level2_x64 Checksec: Ida: 很容易找到溢出点,offest=0x88,程序有system的plt地址,搜索bin_sh字段 构造exp: Flag;
jarvis oj---level2x64
weixin_45427676的博客
09-29 379
题目来源 nc pwn2.jarvisoj.com 9882 level2_x64.04d700633c6dc26afc6a1e7e9df8c94e 解题 x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86...
【BUUCTF-PWN】13-jarvisoj_level2_x64
燕麦葡萄干的博客
07-05 694
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
Jarvis OJ [XMAN]level2
九层台
07-06 367
查询保护 liu@liu-F117-F:~/桌面/oj/level2$ checksec level2 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2/level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found...
jarvisoj_level2
08-13
- *1* *3* [jarvisoj_level2_x64](https://blog.youkuaiyun.com/zip471642048/article/details/125448386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值