Jarvis OJ --level4

最新推荐文章于 2024-07-23 14:30:34 发布

_n19hT

最新推荐文章于 2024-07-23 14:30:34 发布

阅读量313

点赞数

CC 4.0 BY-SA版权

分类专栏： # pwn

本文链接：https://blog.youkuaiyun.com/weixin_43092232/article/details/103003265

这篇博客详细介绍了如何在没有system、"/bin/sh"和libc的情况下，通过DynELF技术泄露system函数地址，利用read函数将字符串写入bss段，并最终调用system("/bin/sh")获取shell。内容涵盖了level4的保护机制分析和解决思路，包括write函数泄露、read函数利用及 DynELF 技术的应用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

level4与level1、2、3的区别在于：无system、无"/bin/sh"、无libc
要点：使用DynELF函数leak system函数真实地址，然后用read函数写"/bin/sh\x00"到bss段，然后调用system("/bin/sh")去getshell。
题目链接：
level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0
先查看开了哪些保护：
在这里插入图片描述
和level3一样，只有栈不可执行。区别在于没有给libc。

ssize_t vulnerable_function()
{
   
   
  char buf; // [esp+0h] [ebp-88h]

  return read(0, &buf, 0x100u);
}

显然还是需要read()函数的溢出和rop。本题需要介绍到DynELF技术(即无穷leak直到找到libc)。
思路：
1.利用write函数泄露system地址
2.利用read函数将"/bin/sh"字符串写到bss段中
3.调用system("/bin/sh")

exp：

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

_n19hT

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF---jarvisoj_level4

qq_33010875的博客

09-26

378

环境：WSL2，ubuntu16.04，python2 checksec文件: 将文件拖入ida 溢出点：和level3不同的是 read函数之前没有调用write函数，因此要泄露libc的基地址需要用read函数，利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(

Jarvis OJ--level3

Kni9hT's Blog

11-10

298

要点：通过read()的溢出构造rop链，获得write()函数的真实地址，再利用libc的偏移算出system和“/bin/sh”的地址，再次利用write()溢出，执行system，就能得到shell。添加链接描述 flag： CTF{d85346df5770f56f69025bc3f5f1d3d0} ...

参与评论您还未登录，请先登录后发表或查看评论

Jarvis OJ Level4

qq_39153421的博客

09-19

491

写在最前面：在漏洞利用的时候，如果没有给出libc库，可以先泄漏两个函数的地址，然后再去查libc的版本号。但是，这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址，然后再往一个地方写’/bin/sh’字符串并构造调用system函数的栈。下面以Jarvis OJ中的level4这道题为例，使用DynELF实现漏洞利用。在写之前先了解...

jarvisoj——[XMAN]level4

王嘟嘟的博客

07-19

498

题目 Wp 检查基础项，有NX保护 ida看的时候还是之前的那种，但是没有给lib，需要自己去找那么这里第一步，肯定是找到system的地址第二步将/bin/sh写入bss字段第三部调用即可

jarvis oj level4

发蝴蝶和大脑斧的博客

12-05

640

与level3相比没有提供libc.so文件。学习使用Dynelf: def leak(address):

jarvisoj_level4

m0sway的博客

11-25

996

jarvisoj_level4 使用checksec查看： NX，估计还是一道栈题目，拉进IDA中查看：主函数中给出了漏洞函数，跟进查看： read()读取了0x100，buf变量距离ebp0x88，存在栈溢出。程序没有system和/bin/sh，需要自己泄露libc去找，一道标准的ret2libc题目。 exp： from os import sendfile from pwn import * #start r = remote("node4.buuoj.cn",27632) # r =

jarvis oj PWN - level3

最新发布

07-23

324

1.使用write 泄漏出 got地址, 通过libc计算偏移得到system, binsh。关键传参: write_addr, 返回地址, 1, output, 4(4字节)3.这次覆盖ebp执行system /bin/sh。2.覆盖ebp返回主函数再次执行。

pwn学习-jarvisoj-level4-无libc的漏洞利用

qq_45653588的博客

12-20

350

这题下载文件下来，文件与level3反编译后伪代码基本一样，只是相比level3少了一个libc文件。level3 vulnerable_function()中存在明显的栈溢出，分配了0x88的空间，能输入0x100的内容。 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] return read(0, &buf, 0x100u); } 同样以payload payload = 'a' * 0x8c + p32

JarvisOJ level4

PLpa的博客

07-08

2442

这题与level3相比就是就是题目并没有给出对应的libc文件，这里就要学习使用一波DynELF函数了，这是pwntools的一个函数，使用前请确认安装完整pwntools工具。前言： DynELF函数是通过已知函数，迅速查找libc库，并不需要我们自己本身知道对应版本的libc文件。这是DynELF函数使用的一个模板： def leak(address): payload=pad+p...

jarvisoj level4 wp ROP及DynELF模块

ditto的博客

12-31

601

拿到题目开启了NX。放IDA里：栈溢出。程序本身没有调用system函数无法ret2plt。且题目本身没有给出目标的动态库的版本。题目本身有write函数，可以泄露内存，则可以利用pwntools的DynELF模块，找到system函数。本身程序段没有/bin/sh的字符串，则需要使用read函数将字符串读入，read函数有三个参数，这就需要pop pop pop ret这...

[BUUCTF]PWN-jarvisoj_level4

红凳子的博客

04-07

603

[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一：使用LibcSearcher寻找libc版本方法二：使用DynELF函数进行泄露前言在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用提示：以下是本篇文章正文内容，下面案例可供参考一、程序分析从中可以看出，32位程序，i386架构，开启了NX保护。输入点在vulnerable_function里，read试图向长度0x88的地址空间写入0x10

(Jarvis Oj)(Pwn) level4

Nothing

05-01

1200

(Jarvis Oj)(Pwn) level4 先看一下保护措施，没什么奇怪的地方。这次并没有给libc的文件，开始通过泄露得到的__libc_start_main地址对照libc库，并没有成功。于是就学了一波DynELF，这个模块的原理还是不太清楚（玄学），以后来填。总之利用这个模块可以找到system的地址，但是找不到”/bin/sh”这个字符串位置，但是我们可以控制read函数，所...

[Jarvis OJ - PWN]——[XMAN]level4

Y_peak的博客

02-16

266

[Jarvis OJ - PWN]——[XMAN]level4 题目地址: https://www.jarvisoj.com/challenges 题目: checksec一下 IDA中思路 0x100 - 0x88 = 120, 多余的空间足够我们进行栈溢出利用但是我们没有system和’/bin/sh’地址。也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和’/bin/sh’地址。再返回main进行循环调用,第二次就可以直接控制返回到system。 e

BUUCTF-jarvisoj_level4

Rt1Text的博客

12-04

578

很明显的栈溢出,没有system(bin/sh) 32位的ret2libc3老规矩的脚本

[BUUCTF]PWN--------jarvisoj_level4

BangSen1的博客

04-02

481

jarvisoj_level4 例行检查，32位，开启NX保护运行一下用IDA打开。查看主函数查看vulnerable_function()函数 buf存在溢出漏洞。是一道ret2libc类型的题目。利用第一次溢出泄露libc版本，从而获取system函数和"/bin/sh"的地址，并且返回重新执行主函数。再利用第二次栈溢出跳转执行system("/bin/sh") from pwn import * from LibcSearcher import * context(os = "

jarvisoj_level0

08-14

引用是一段关于利用pwntools库对jarvisoj_level0进行攻击的代码。代码中使用了remote()方法建立了远程连接，并构造了一个payload来利用栈溢出漏洞，最终执行callsystem()函数来获取shell权限。引用也是类似的代码，...