这是做的第三个pwn题,前两个都是问nc怎么用的,进新手村了,完全不明白pwn,希望有师傅评论区斧正。
用了linux的远程调试,提示这些东西
![](https://img-blog.csdnimg.cn/20210724232431300.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzIwNTMzMTY3,size_16,color_FFFFFF,t_70)
这里本来从main函数入手的,但是f5反编译后不大行,看了几个师傅WP直接找的func函数
反编译得到右边的伪代码
这里是一个栈溢出,由危险函数gets造成,gets只有读到\n才会停止,否则就会一直向下读取
![](https://img-blog.csdnimg.cn/20210724232431230.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzIwNTMzMTY3,size_16,color_FFFFFF,t_70)
![](https://img-blog.csdnimg.cn/20210724232431192.png)
比如说:A本来只有几个字节的内存空间,但是没有停止读取,直至读取覆盖B的区域,导致B的值可控,虽然B没有读取的操作,但B在缓冲区的占用被覆盖了,产生了新的B值
![](https://img-blog.csdnimg.cn/20210724232431137.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzIwNTMzMTY3,size_16,color_FFFFFF,t_70)
这里的41348000就是11.28125存储的十六进制,也就是我们需要给B(v2)覆盖的值
下面这张图来自
https://blog.csdn.net/qq_41560595/article/details/108783758这位师傅的文章,虚拟地址是这么找的
![](https://img-blog.csdnimg.cn/20210724232431220.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzIwNTMzMTY3,size_16,color_FFFFFF,t_70)
rbp是什么?
对于 x86-64 架构,共有16个64位通用寄存器,各寄存器及用途如下图所示:
![](https://img-blog.csdnimg.cn/20210724232431246.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzIwNTMzMTY3,size_16,color_FFFFFF,t_70)
-
每个寄存器的用途并不是单一的。
-
%rax 通常用于存储函数调用的返回结果,同时也用于乘法和除法指令中。在imul 指令中,两个64位的乘法最多会产生128位的结果,需要 %rax 与 %rdx 共同存储乘法结果,在div 指令中被除数是128 位的,同样需要%rax 与 %rdx 共同存储被除数。
-
%rsp 是堆栈指针寄存器,通常会指向栈顶位置,堆栈的 pop 和push 操作就是通过改变 %rsp 的值即移动堆栈指针的位置来实现的。
-
%rbp 是栈帧指针,用于标识当前栈帧的起始位置
-
%rdi, %rsi, %rdx, %rcx,%r8, %r9 六个寄存器用于存储函数调用时的6个参数(如果有6个或6个以上参数的话)。
-
被标识为 “miscellaneous registers” 的寄存器,属于通用性更为广泛的寄存器,编译器或汇编程序可以根据需要存储任何数据。
from pwn import *
p=remote('node4.buuoj.cn',28285)
payload="A"*44+p64(0x41348000)
暂时看不懂payload的意思
p.sendline(payload)
p.interactive()
参考文章: