BUU RIP网上WP的个人理解

BUU RIP

具体的WP可以参照其他博主的WP。

这里我仅分享我对这两个payload可以成功的一些理解。

payload = b'a' * 23 + p64(0x401186 + 1)

payload = b'a' * 23 + p64(0x401198) + p64(0x401186)

相关知识点:

  • 栈对齐:栈指针要能被16字节整除,(但是我用的64位Ubuntu20,是8字节)

在这里插入图片描述

而至于为什么这两个payload能用,感觉和我所理解栈对齐没什么关系。原因应该是system函数中有一条指令需要xxm0的值能被16字节整除(可能就是栈对齐的意思不过我没悟到那个点),而xxm0的值与rsp有关。具体参考链接:http://blog.eonew.cn/archives/958。接下来解释这两个payload为什么可以。

payload = b'a' * 23 + p64(0x401186 + 1)

0x401186对应的是程序pwn1中的system("\bin\sh")的起始地址。第一条指令是一条压栈指令push rbp,这个会导致栈的长度发生变化,也就是rsp会发生变化。而直接跳到下一条指令执行是不会影响到system函数的正常调用的。push rbp是为了保存上一个函数的栈帧,不过我们的目的是为了执行system函数,那么之后恢不恢复上一个栈帧也没啥必要了。
那么按照这个说法其实把push rbp 这条指令nop掉,然后payload中不+1也能够使用。

payload = b'a' * 23 + p64(0x401198) + p64(0x401186)

0x401198这个地址出对应的指令是一个ret,也就是说payload多了8字节,再加上system函数里的push指令的8字节影响,最后还是能够被16字节整除,也能正常执行。

以上仅为个人理解,如有错误请各位大佬批评指正。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值