(Jarvis Oj)(Pwn) level2(x64)
首先用checksec查一下保护,和level2一样。
反汇编,程序和32位的程序几乎一致。找到溢出点。
那么溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可以做到,利用程序自己的带有pop edi/rdi;ret语句达到给edi赋值的效果。pop edi语句是将当前的栈顶元素传递给edi,在执行pop语句时,只要保证栈顶元素是”/bin/sh”的地址,并将返回地址设置为system。示意图如下:
通过ropgadget去找pop edi;ret的地址。
最后写得脚本。 <