标签：csapp retq ret attack level4 c3 rdi rax movq

完成了Part1前三个缓冲区注入代码改变返回地址的实验，现在来看看Part2.因csdn新手，所以上传pdf并不会。直接截图把



这里是介绍部分，大致说明了因为两个原因不能进行代码注入而写shellcode,一个是ALSR栈上地址随机化，一个是NX就是栈没有执行的权限。这样怎么攻击呢？有些聪明的人发现了新的攻击方式，简写ROP就是根据retq这条指令(可以理解pop rip)不断跳转所需要的代码段，最后通过多个ret连接成一个完整的攻击代码段。
就比如讲义举了个例子

void setval_210(unsigned *p)
{ 
  *p = 3347663060U;
}

这个函数反汇编，得到机器码

0000000000400f15 <setval_210>:
400f15: c7 07 d4 48 89 c7   movl $0xc78948d4,(%rdi)
400f1b: c3 retq

其中48 89 c7这个连续的机器码码表示 movq %rax, %rdi，即0x400f15这个地址放入到rip中会执行movq %rax, %rdi，c3表示retq。然后它给了一些指令对应的机器码。

进入重点，我们来看看phase_4

意思是可以用这四个指令来完成这个实验，然后它推荐gadgets从start_farm和mid_farm之间找。
我的第一想法
pop %rdi ret
cookie的值
ret
touch2 的地址
我也不知道其他人怎么找的gadget
我是用反汇编整个rtarget然后用管道符然后抓取关键字获取的

遗憾的没有5f这个指令。

所以只能 popq %rax, retq （58 ) (c3)
cookie的值
movq %rax,%rdi ,ret (48 89 c7) (c3)
touch2 返回地址

我看了看，选第一给比较靠谱，剩下俩58是字符串的一部分（经实验 第三个可以成功 而中间那个不知道为啥不能成功)
所以popq %rax, retq 为0x4019ab
cookie为0x59b997fa
同理

movq %rax,%rdi ,ret为 0x4019a2（之间的不行，最下边的可以成功，不知道为啥）
touch2的地址为

好了万事俱备，编写txt,注意小端序排序

(ab,可以写成cc, a2可以写成c5)
成功！

标签：csapp,retq,ret,attack,level4,c3,rdi,rax,movq
来源： https://blog.csdn.net/qq_25044201/article/details/110879795

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。