buuctf之jarvisoj_level2

最新推荐文章于 2025-06-24 14:42:41 发布

原创

最新推荐文章于 2025-06-24 14:42:41 发布 · 774 阅读

12 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #ubuntu

一、查看属性

首先还是必要的查看属性环节：

可以知道该文件是一个x86架构下的32位小段ELF程序，开启了栈不可执行（NX）保护，ret2shellcode是不行的

简单执行可以看到有一个简单的输入后输出hello world

二、静态分析

主函数中必然调用了一个vulnerable_function()函数，之后是调用system函数输出hello world，主函数没有可以利用的点

我们进入vulnerable_function()中查看，发现了一个read函数

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

为萤

关注关注

14
点赞
踩
12

收藏

觉得还不错? 一键收藏
3
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

BUUCTF jarvisoj_level2 题解

qq_51802916的博客

08-20

602

可以看到程序中已经有了shell的字符串，由于是32位程序，函数的参数通过压栈传递，因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令，因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址，因此我们需要在这个地方随便填入一些值，然后在后面填入函数的第一个参数。，因此我们需要填充0x88个字符就能到达ebp的位置，然后再填充4个字符就能到达eip的位置，并且。可以看到是32位程序，栈上开启了不可执行保护，但是没有栈检测标志，推测需要进行缓冲区溢出。

BUUCTF jarvisoj_level0

m0_54262894的博客

10-27

398

先checksec，仅开启了NX保护运行一下放入ida中查看main函数没有什么关键信息，双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节，而我们可以输入更多的数据接着找找后门函数这道题很简单，已经把后门给我们展示出来了记住后门函数的地址0x400596 做完以上步骤我们就有思路了：覆盖buf 的80个字节因为是64位的文件，然后再加8个字节...

3 条评论您还未登录，请先登录后发表或查看评论

[BUUCTF] jarvisoj_level2

Lucien_Carr的博客

04-14

602

读取文件指从某一个已打开地文件中，读取一定数量的字符，然后将这些读取的字符放入某一个预存的缓冲区内，供以后使用。有危险函数read，而且调用了system函数（但是缺少了“/bin/sh”参数）handle：一个已经打开的文件句柄，表示从这个文件句柄所代表的文件读取数据。buffer：指缓冲区，即读取的数据会被放到这个缓冲区中去。n：表示调用一次read操作，应该读多少数量的字符。按“shift”+“F12”查看字符串，结果如下。进入文本视图查看system函数地址，如下图。

BUUCTF-jarvisoj_level2详解

最新发布

2301_76794844的博客

06-24

995

BUUCTF-jarvisoj_level2详解

[buuctf]jarvisoj_level2

逆向萌新的博客

06-19

563

[buuctf]jarvisoj_level2

【BUUCTF - PWN】jarvisoj_level2

古月浪子的博客

04-05

740

checksec一下，栈溢出 IDA打开看看，很容易找到溢出点，/bin/sh字符串程序里也有现成的 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) ru=lamb...

BUUCTF-Pwn-jarvisoj_level2

餐桌上的猫

02-15

2401

题目截图检查文件信息，开启了NX 用IDA打开查看字符串，存在/bin/sh，检查交叉引用发现并没有被使用查看函数表存在system函数进入主函数反汇编查看进入函数vulnerable_function()查看，发现存在栈溢出漏洞，就可以利用现有system函数和/bin/sh字符串getshell exp from pwn import* r=remote('node4.buuoj.cn',28083) str_bin_sh=0x804a024 call_system=0x8048

BUUCTF Pwn jarvisoj_level21解题步骤

2301_81505831的博客

02-04

402

这里需要注意的是，由于我们是直接调用system()而不是使用call指令，因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址，因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件，RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88，ebp到Return的距离是0xF。system的地址可以在plt中找到，双击system.plt。然后在输入shift+F12，可以查找。

BUUCTF---jarvisoj_level4

qq_33010875的博客

09-26

380

环境：WSL2，ubuntu16.04，python2 checksec文件: 将文件拖入ida 溢出点：和level3不同的是 read函数之前没有调用write函数，因此要泄露libc的基地址需要用read函数，利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(

BUUCTF jarvisoj_level2

、moddemod

06-12

578

exp from pwn import * context(log_level = 'debug') proc_name = './level2' p = process(proc_name) # p = remote('node3.buuoj.cn', 26643) elf = ELF(proc_name) system_addr = elf.sym['system'] main_addr = elf.sym['main'] bin_sh_str = 0x0804a024 payload = 'a'..

[BUUCTF-pwn]——jarvisoj_level2

Y_peak的博客

02-10

1406

[BUUCTF-pwn]——jarvisoj_level2 题目地址:https://buuoj.cn/challenges#jarvisoj_level2 checksec 一下下, 32程序 IDA中看下,发现了system函数还是两个,有可利用的栈溢出read函数,shift+F12,还发现了"/bin/sh"字符串. 所以exploit就如下 exploit from pwn import * p = remote("node3.buuoj.cn",28375) binsh = 0

[BUUCTF]PWN16——jarvisoj_level2

mcmuyanga的博客

09-01

2746

[BUUCTF]PWN16——jarvisoj_level2 附件步骤例行检查，32位，开启了nx保护试运行一下程序 32位ida载入，shift+f12查看一下程序里的字符串，发现了system函数和 /bin/sh 字符串双击跟进，ctrl+x本想查看调用该字符串的函数的，没有找到，但是程序里有这些字符串的位置， shell_addr=0x804a024 system_addr=0x8048320 我们可以直接利用这些构造 system（/bin/sh）去执行跟进试运行时候看到的字

【BUUCTF-PWN】8-jarvisoj_level2

燕麦葡萄干的博客

07-05

414

32位的分布是：返回地址+下一次的返回地址+参数1+参数2+…这里没有可以直接利用的后门函数，所以需要构造 system（/bin/sh）去执行。system的地址还不是0x0804A038，而是0x08048320。查看vulnerable_function()函数。需要找不是extern的system函数。/bin/sh的地址0x0804A024。read()函数存在缓冲区溢出漏洞。32位，开启了NX保护。

jarvisoj_level2【BUUCTF】

qq_41696518的博客

08-26

923

jarvisoj_level2【BUUCTF】

【BUUCTF】jarvisoj_level2

2201_75556700的博客

11-30

336

1、在kali中分析文件，该文件为32位文件，有NX保护。6、shift+f12查看调用了哪些函数，发现了后门函数。8、在segements中查看调用system函数的地址。3、使用32位的ida分析，这里调用了两个函数。4、双击第一个函数，存在栈溢出。5、查看buf数组的栈结构。

jarvisoj_level2[BUUCTF]

moonlightsunshin的博客

05-09

329

从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出，IDA会告诉我们buf数组与ebp在栈上的相对位置，即&buf=$ebp-0x88，因此我们需要填充0x88个字符就能到达ebp的位置，然后再填充4个字符就能到达eip的位置，并且system()的地址可以轻松在plt表中找到，为0x08048320，因此我们只需要在构造一个shell路径的字符转就可以getshell了。

[BUUCTF]PWN------jarvisoj_level2

BangSen1的博客

01-20

400

jarvisoj_level2 例行检查，32bit，开启NX保护。 nc 一下，Hello world，没什么信息用32位IDA打开，看到了/bin/sh,跟进一下。想查看调用函数的，但是看不了，所幸地址已经给出，所以shell_addr=0x804A024 system_addr=0x8048320 直接利用这些构造 system（/bin/sh）去执行找到输入点 buf的大小是0x88，读入的数据大小是0x100，多余空间足以构造rop exp flag ...

buuctf PWN jarvisoj_level2

wp568的博客

10-06

195

漏洞，buf数组只给了0x88的大小，但是最多可以读入0x100个字节的数据，所以多读入的数据就会向下把栈给覆盖掉。把function函数的返回地址覆盖成system函数的入口地址，然后把参数改成"bin/sh"字符串的地址0x0804A024。地址为：0x0804845C。地址为：0x0804849E。

jarvisoj_level2

m0sway的博客

03-20

968

jarvisoj_level2 WriteUP BUU_PWN