ropemporium ROP -- write4

faqiadegege

使用pattern_create和pattern_offset确定溢出长度
生成100个随即负载


输入负载，触发溢出段错误，这里rip指向了一个地址，无法通过这里直接使用pattern_offset确定溢出长度

使用info命令查看栈帧状态，可见rip指向的地址中存放的是负载的字符串，使用pattern_offset得到溢出长度为40

同x86的逻辑是相同的，寻找gadget，pop xxx, pop xxx ret 和 mov [xxx], xxx ret如下，可见r14, r15这一对的使用符合要求


查看.data段，这里可以判断.bss段也是可以使用的


获取print_file地址

对于x64程序，函数的传参是使用寄存器，前 6 个参数 使用寄存器传递（RDI, RSI, RDX, RCX, R8, R9），这里print_file一个参数，使用rdi即可，而在上面的gadget中是为了将字符串写到某一地址，这时候，需要一个gadget将字符串地址（该地址）传递给rdi即可


这里要注意的是，x64写数据一次可写入8字节综上有如下payload构造逻辑



构造flag.txt数据存储后payload结构


利用脚本




根据前面的查验知道。bss段同data拥有相同的权限，且该段长度为8字节，所有，同样使用bss段作为字符串的写入地址，也可完成利用