pwn3_x64
1.程序分析
file一下,发现是64位程序:
checksec一下,发现pie没开:
ldd一下,找到需要的动态链接库:
ida分析:
思路和上一题32位的一样,没啥好分析的
64位与32的不同在于传参:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9
因此需要ROP链找到rdi, rsi, rdx。
用ROPgadget查看下:
发现有现成的pop rdi; ret。
但是没有现成的pop rdx,只有pop rsi。
但是我们只需要write输出的长度大于等于8即可,如果寄存器rdx原来的值就已经大于等于8,我们其实不需要赋值了,到时候recv()时,只接收8字节即可。
gdb调试一下,看调用read()函数时的rdx值:
发现是0x200,那就不需要去pop_ret了。
2.栈帧设计
3.exp编写
from pwn import *
context