jarvisoj_level3_x64

破解jarvisoj_level3_x64：栈溢出漏洞利用与exploit

最新推荐文章于 2025-08-30 13:58:21 发布

原创

最新推荐文章于 2025-08-30 13:58:21 发布 · 683 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#pwn #网络安全 #安全

本文详细讲述了在jarvisoj_level3_x64程序中发现的栈溢出漏洞，通过IDA进行分析，利用write函数进行参数篡改，最终实现从栈溢出到 libc 函数调用，完成系统调用和shellcode执行的过程。

jarvisoj_level3_x64

使用checksec查看：
在这里插入图片描述
只开启了栈不可执行，应该是jarvisoj_level3的x64版本，直接放进IDA中看吧：

主函数中直接给出了漏洞函数，跟进查看：

read()函数，存在栈溢出，和jarvisoj_level3的主要区别在栈上传参和寄存器传参。

exp：

from pwn import *

#start
# r = process("../buu/jarvisoj_level3_x64")
r = remote("node4.buuoj.cn",28760)
elf = ELF("../buu/jarvisoj_level3_x64")
libc

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

m0sway

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF----jarvisoj_level3_x64

qq_33010875的博客

09-26

615

环境：WSL2，ubuntu16.04，python2 checksec文件：这道题level3的思路一样，只是32位的程序改成了64位。也就是说，在利用write函数泄露出libc的基地址时，需要用到寄存器来穿参数，write有三个参数，所以需要rdi，rsi，rdx三个寄存器，通过命令： ROPgadget --binary level3_x64 |grep "pop" 结果：从图中可以看到只找到了rdi和rsi寄存器，没有rdx寄存器尝试gdb程序：在read函数下断点，可以看到rd

[BUUCTF]PWN——jarvisoj_level3_x64

mcmuyanga的博客

11-04

1739

jarvisoj_level3_x64 附件步骤：例行检查，64位程序，开启了nx保护试运行一下程序，看看大概的情况 64位ida载入，习惯性的检索字符串，没有发现可以直接利用的system，估计使用ret2libc的方法从main函数开始看程序 function（）函数输入点buf明显的溢出漏洞，read之前已经调用过一个write函数了，可以利用它来泄露libc版本利用过程泄露libc版本 64位程序传参需要用到寄存器rdi，找一下设置rdi寄存器的指令 https://

参与评论您还未登录，请先登录后发表或查看评论

[BUUCTF]jarvisoj_level3_x64详解（含思考过程、含知识点讲解）

2301_76794844的博客

08-30

976

[BUUCTF]jarvisoj_level3_x64详解（含思考过程、含知识点讲解）

JarvisOJ level3_x64

PLpa的博客

07-09

1138

这题和level3大同小异，只不过这一题是x64的程序做这题之前，建议先写level2。拿到这题，我们首先查看保护：程序只开了NX保护，好的。根据做过level3的经验，我们先找出我们需要的地址（也可以用pwntools工具自动找）： vul（）函数： write（）函数的plt地址：之后我们找齐需要用的gadget：但是我们并没有找到pop rdx ; ret，根据我们对w...

(Jarvis Oj)(Pwn) level3_x64

Nothing

04-24

1045

(Jarvis Oj)(Pwn) level3_x64 这题是level3的64位版本，思路和32位版本一致，不同之处就是函数的参数传递，利用寄存器，于是构造rop链。写得脚本如下： from pwn import * ...

BUUCTF jarvisoj_level3_x64

2401_88087539的博客

02-22

466

pwn新手小白，写完题后整理的一点点思路，有借鉴其他wp，有任何问题各位师傅可以提出，接收批评指正

BUUCTF jarvisoj_level3_x64 & jarvisoj_level4

红叶的博客

10-28

662

64位ELF 开启了NX，其余全部关闭。IDA Pro 静态调试除了改成了64位似乎都没什么区别，gdb动态调试。

BUUCTF-jarvisoj_level3_x64

Rt1Text的博客

12-04

858

很简单的程序,栈溢出没有system (bin/sh) 很明显了 64位的ret2libc3老规矩的脚本

BUUCTF--pwn--jarvisoj_level3_x64【ret2libc_64】

qq_73149934的博客

12-05

726

BUUCTF--pwn--jarvisoj_level3_x64

jarvis oj level3_x64

发蝴蝶和大脑斧的博客

12-07

886

level3_x64里没有找到system函数，但给了libc.so文件，应该是和level3一样的想法。先找到操作寄存器的地址，因为write需要3个参数，所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ; ret 0x00000000004006b1 : pop rsi ; pop r15 ; ret 根据网上w...

[BUUCTF-pwn]——jarvisoj_level3_x64

Y_peak的博客

02-22

306

[BUUCTF-pwn]——jarvisoj_level3_x64 题目地址：https://buuoj.cn/challenges#jarvisoj_level3_x64 点击查看 write up 博主有点懒，不想写第二遍。 ????

Jarvis OJlevel3_x64_通用ROP

07-13

411

解题思路 1. 查看文件信息，安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP 1.基本信息安全机制 2.代码审计 3.漏洞分析 1.程序无system和bin/sh，并且是个64位的，我们不能进行往栈里面写入数据 2.64位汇编当参数少于7个时，参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。当参数为7个以上时，前 6 个与前面一样，...

BUUCTF：jarvisoj_level3_x64（write up）

qq_44768749的博客

08-24

1043

BUUCTF：jarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序，仅开启栈不可执行保护 0x02 运行输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路没有提供system函数和"/bin/sh"的地址第一次栈溢出泄露read函数地址来得到libc版本，从而获取system函数和"/bin/sh"的地址，并且返回主函数这里有个难点就是参数需要放到对应

jarvisoj_level2_x64解题步骤