在做 pwn 题时,难免会遇到64位的栈溢出程序,处理32位和64位程序会有所不同。这里总结一下64位和32位程序的差异,并结合两道例题给出解题方法
0x00 差异
1.64 位函数调用需要使用寄存器传参,前三个参数存放在寄存器 rdi、rsi、rdx 中,32 位函数调用使用栈传参(具体看下面的例子)
2.64程序一个存储单元占8个字节,32位占4个字节。所以在填充 ebp(rbp) 时会有差异,这是经常会出现的错误
3.利用gadget时会有差异。64位程序中可以使用一些更巧妙的技巧例如 ret2__libc_csu_init 来构造寄存器的值看传递函数参数。
0x01 level2 x64
反汇编代码
main函数
vulnerable_function函数
32位的程序函数是使用栈来传递参数
64位的程序函数是使用寄存器来传递参数,前几个参数的顺序分别为 rdi, rsi, rdx, rcx, r8, r9
看下面画的图也许会清楚一点:
将需要传递的参数放在 pop rdi 的下面,执行 pop rdi 时,就将栈顶的值赋值给rdi,即此时:rdi = "/bin/sh"
0x02 解题思路
程序里有 system 函数可以直接使用,shift+F12 发现也有 /bin/sh 字符串,所以可以根据上图64位程序的方式进行填充
1、将 a*n 填充完 rbp 后,依次填充 pop rdi,/bin/sh
2、执行到返回地址后,执行了 pop rdi,也就是 rdi = '/bin/sh'
3、将 rdi 作为参数执行 system 函数
0x03 解题脚本