黄瓜成版人app污版下载,久久精品3,国产99久久久国产精品～～牛

在組織payload時(shí)候需要調(diào)換下順序，沒太理解

Student 2023-5-23 894

師傅想請教一下第6步中6.ROPgadget --binary ./ret2syscall --only "pop|ret" | grep "ebx" | grep "ecx" | grep "edx"，這里您提到了一句這里我們需要的是pop ebx ; pop ecx ; pop edx ; ret ，但是得到的結(jié)果反了是pop edx ; pop ecx ; pop ebx; ret，您說只不過順序和我們的不同，在組織payload時(shí)候需要調(diào)換下順序，這里您指的調(diào)整payload就是調(diào)整后面分別對(duì)應(yīng)ebx ecx edx的參數(shù)一一對(duì)應(yīng)即可，意思就是這里對(duì)ebx、ecx、edx他們?nèi)齻€(gè)pop順序是沒有要求的是嗎，我們只要保證這三項(xiàng)分別存入對(duì)應(yīng)的參數(shù)/bin/sh、0、0，然后返回到int 0x80就可以了是嗎，我可以理解為假如這里我們尋找到的是pop ebx ; pop ecx ; pop edx ; ret，那么exp中payload應(yīng)該改成

1	`payload` `=` `'a'*offset` `+` `pop_eax` `+` `p32(0xb)` `+` `pop_edx_ecx_ebx` `+` `bin_sh` `+` `p32(0)` `+` `p32(0)` `+` `int_0x80`

就可以了呢？

1條回答

Roger 2023-5-23 2023-5-23編輯

您仔細(xì)想一下就明白了，這里我們提前在棧里覆蓋了參數(shù)，這些參數(shù)是要pop到寄存器中的，而我們在棧中存放數(shù)據(jù)的時(shí)候，預(yù)想的彈棧順序是ebx，ecx，edx，而我們找到的代碼小片段只有edx，ecx，ebx，這就導(dǎo)致我們必須調(diào)整棧中參數(shù)的存放位置。

我們找到程序小片段中的ebx，ecx，edx的順序是無所謂的，這無非就是設(shè)置寄存器的順序不同而已，您在設(shè)計(jì)棧中的數(shù)據(jù)時(shí)，和指令片段的順序一致即可。64位需要使用寄存器+系統(tǒng)調(diào)用號(hào)來實(shí)現(xiàn)調(diào)用函數(shù)，32位程序使用棧傳參，64位程序使用寄存器傳參