0x00 序
之前学了蒸米大佬的ropx86,本次学习 ropx64
0x01 Leak Memory & Dynelf
蒸米大佬使用pwntools的Dynelf模块来获取函数地址,Dynelf模块的原理是,定义的leak函数至少可以泄漏出一个字节的数据,并且这个函数可以执行无数次(每次执行完 都会返回到函数起始继续执行 )然后经过Dynelf调用N次,pwntools经过对泄漏的数据进行求特征值这样一个操作,比较之后得到system函数地址。
使用方法:
-
定义leak函数
def leak(address):
payload1 = 'a'*140 + p32(plt_write) + p32(vulfun_addr) + p32(1) +p32(address) + p32(4)
p.send(payload1)
data = p.recv(4)
print "%#x => %s" % (address, (data or '').encode('hex'))
return data -
初始化Dynelf模块
d = DynELF(leak, elf=ELF('./level2')) -
获取system函数地址
system_addr = d.lookup('system', 'libc')如此操作之后,就可以得到system函数的地址,蒸米大佬的例题中有read和.bss
段,所以可以直接利用read读取/bin/sh到bss段当做system参数,当read之后有多余的三个参数怎么办,就需要清栈,清栈需要用到gadget,使用工具ROPgadget寻找到之后,布置payload即可。
0x02 x86与x64的区别
区别主要有两点
- 内存地址的范围发生变化,x64中可以使用的内存地址不能超过0x00007fffffffffff,就是说测试溢出点的时候崩溃的ip不会指向我们的输入的地址,因为ret改变ip时会发生异常,所以直接看esp的值就好
- 传参方式发生变化,前6个参数使用 RDI,RSi,RDX,RCD,R8,R9来传,从第七个参数开始仍然使用栈传参
0x03 使用工具寻找gadgets
ROPgadget: https://github.com/JonathanSalwan/ROPgadget/tree/master
ROPgadget --binary level4 --only "pop|ret"
工具使用很简单,就不多说了。
0x04 通用gadgets
x64下有一些万能gadgets可以使用,主要原因是因为__libc_csu_init()这个函数
参考链接:https://www.cnblogs.com/Ox9A82/Ox9A82/p/5487725.html
从而找到x64下调用一个参数,两个参数,三个参数的方法
0x05 EDB调试
EDB-debugger
https://github.com/eteran/edb-debugger