BUU RIP
具体的WP可以参照其他博主的WP。
这里我仅分享我对这两个payload可以成功的一些理解。
payload = b'a' * 23 + p64(0x401186 + 1)
payload = b'a' * 23 + p64(0x401198) + p64(0x401186)
相关知识点:
- 栈对齐:栈指针要能被16字节整除,(但是我用的64位Ubuntu20,是8字节)
而至于为什么这两个payload能用,感觉和我所理解栈对齐没什么关系。原因应该是system函数中有一条指令需要xxm0的值能被16字节整除(可能就是栈对齐的意思不过我没悟到那个点),而xxm0的值与rsp有关。具体参考链接:http://blog.eonew.cn/archives/958。接下来解释这两个payload为什么可以。
payload = b'a' * 23 + p64(0x401186 + 1)
0x401186对应的是程序pwn1中的system("\bin\sh")的起始地址。第一条指令是一条压栈指令push rbp,这个会导致栈的长度发生变化,也就是rsp会发生变化。而直接跳到下一条指令执行是不会影响到system函数的正常调用的。push rbp是为了保存上一个函数的栈帧,不过我们的目的是为了执行system函数,那么之后恢不恢复上一个栈帧也没啥必要了。
那么按照这个说法其实把push rbp 这条指令nop掉,然后payload中不+1也能够使用。
payload = b'a' * 23 + p64(0x401198) + p64(0x401186)
0x401198这个地址出对应的指令是一个ret,也就是说payload多了8字节,再加上system函数里的push指令的8字节影响,最后还是能够被16字节整除,也能正常执行。
以上仅为个人理解,如有错误请各位大佬批评指正。