本文介绍了64位程序与32位程序在函数参数传递方式上的差异,特别是针对溢出攻击的情况。在64位系统中,前六个参数通过寄存器传递,溢出思路需覆盖edi寄存器来调用system函数。通过寻找特定的ROP gadget,如pop rdi; ret,可以实现给edi赋值为"/bin/sh"的地址,从而执行shell。文章还提到了搜索字符串、rop gadget地址和利用技术的步骤。
32位和64位的主要区别在于函数参数传递的方式
在32位程序运行中,函数参数直接压入栈中
调用函数时栈的结构为:调用函数地址->函数的返回地址->参数n->参数n-1->···->参数1
在64位程序运行中,参数传递需要寄存器
64位参数传递约定:前六个参数按顺序存储在寄存器rdi, rsi, rdx, rcx, r8, r9中
参数超过六个时,从第七个开始压入栈中
- -
Level2_x64
首先还是检查
和level2一样,开启了NX
拉进IDA看看
溢出思路也和32位的差不多,唯一不同的是,64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可以做到,利用程序自己的带有pop edi/rdi;ret语句达到给edi赋值的效果。pop edi语句是将当前的栈顶元素传递给edi,在执行pop语句时,只要保证栈顶元素是”/bin/sh”的地址,并将返回地址设置为system。
我们发现这里面有 bin/sh 和system
我们找一下地址
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
