pwn学习（2）

0x00 序

​ 之前学了蒸米大佬的ropx86，本次学习 ropx64

0x01 Leak Memory & Dynelf

​ 蒸米大佬使用pwntools的Dynelf模块来获取函数地址，Dynelf模块的原理是，定义的leak函数至少可以泄漏出一个字节的数据，并且这个函数可以执行无数次（每次执行完 都会返回到函数起始继续执行 ）然后经过Dynelf调用N次，pwntools经过对泄漏的数据进行求特征值这样一个操作，比较之后得到system函数地址。

​ 使用方法：

• 定义leak函数

  def leak(address):
      payload1 = 'a'*140 + p32(plt_write) + p32(vulfun_addr) + p32(1) +p32(address) + p32(4)
      p.send(payload1)
      data = p.recv(4)
      print "%#x => %s" % (address, (data or '').encode('hex'))
  return data
  

• 初始化Dynelf模块

  d = DynELF(leak, elf=ELF('./level2'))
  

• 获取system函数地址

  system_addr = d.lookup('system', 'libc')
  

  如此操作之后，就可以得到system函数的地址，蒸米大佬的例题中有read和.bss
  
  段，所以可以直接利用read读取/bin/sh到bss段当做system参数，当read之后有多余的三个参数怎么办，就需要清栈，清栈需要用到gadget，使用工具ROPgadget寻找到之后，布置payload即可。

0x02 x86与x64的区别

区别主要有两点

1. 内存地址的范围发生变化，x64中可以使用的内存地址不能超过0x00007fffffffffff，就是说测试溢出点的时候崩溃的ip不会指向我们的输入的地址，因为ret改变ip时会发生异常，所以直接看esp的值就好
2. 传参方式发生变化，前6个参数使用 RDI，RSi，RDX，RCD，R8，R9来传，从第七个参数开始仍然使用栈传参

0x03 使用工具寻找gadgets

ROPgadget: https://github.com/JonathanSalwan/ROPgadget/tree/master

ROPgadget --binary level4 --only "pop|ret"

工具使用很简单，就不多说了。

0x04 通用gadgets

x64下有一些万能gadgets可以使用，主要原因是因为__libc_csu_init()这个函数

参考链接：https://www.cnblogs.com/Ox9A82/Ox9A82/p/5487725.html

从而找到x64下调用一个参数，两个参数，三个参数的方法

0x05 EDB调试

EDB-debugger
https://github.com/eteran/edb-debugger

参考资料

https://sp4n9x.github.io/2018/05/11/一步一步学ROP之Linux_x64篇-蒸米/