ROP-Ret2Shellcode-64位实例
/usr/include/x86_64-linux-gnu/asm/unisted_64.h
编写64位shellcode,思路和32位是一样的
(1)想办法调用execve("/bin/sh",null,null)
(2)借助栈来传入字符串/bin/sh
(3)系统调用execve
rax = 0x3b(64bit)
rdi = bin_sh_addr
rsi = 0
rdx = 0
实例代码如下:
setvbuf函数的作用是优化io流,在服务器上时,或者是比赛时,一般都会有这个函数。
我们还发现了最重要的切入点 get()
我的大刀已经饥渴难耐了
实例开始
step1 检查保护
step2 查看buf2
step3 查601080的段是否可执行
我们利用vmmap看看601080
rwxp权限,可以执行
step4 计算偏移
cyclic 300
cyclic -l +异常地址
但是pwndbg只能读四字节的
![[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)(上)](https://ucc.alicdn.com/pic/developer-ecology/96b3bb9db6d7479785f5d31e9c27a24a.png?x-oss-process=image/resize,h_160,m_lfit)
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例(下)](https://ucc.alicdn.com/pic/developer-ecology/72717981f16f45b2b8bbac48f04b5810.png?x-oss-process=image/resize,h_160,m_lfit)
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例(上)](https://ucc.alicdn.com/pic/developer-ecology/fac4985ac26445a0bdd73c074b9871b0.png?x-oss-process=image/resize,h_160,m_lfit)
![[PWN][进阶篇]ROP-Ret2Shellcode-64位实例(下)](https://ucc.alicdn.com/pic/developer-ecology/73b072553dcd42c2ae5cb72b1355cd54.png?x-oss-process=image/resize,h_160,m_lfit)
![[PWN][高级篇]ROP-ret2libc基础知识](https://ucc.alicdn.com/pic/developer-ecology/4bbb345c1edd4425a6e7b42eed3f06da.png?x-oss-process=image/resize,h_160,m_lfit)