用到的例子是蒸米的level5

x64 下面有一些万能的 gadget：objdump -d ./level5 显示特定的汇编（-D 显示全部的）

观察一下 _libc_csu_init 一般来说，只要是调用了 libc.so 就会有这个函数来对 libc.so 进行初始化

这里面有一些对寄存器操作的，需要注意的是 AT&T 与 8086 汇编语法有些区别

这些前面带百分号的极有可能是 AT&T 汇编，它的源操作数与目的操作数跟 8086 是反着的

通过构造栈上的数据，调用 1 然后返回到 2 就可以控制寄存器

首先通过溢出把一堆数据写在栈上，此时返回地址覆盖为 gadgets1，调用 gaegets1 的时候 rsp+8 通过 gadgets1 把栈上的数据写在寄存器里面，同时把 rsp 再加一下让程序返回到 gadgets2

gadgets2 会把之前寄存器上存的数据放在需要的寄存器上（参数存放顺序：RDI, RSI, RDX, RCX, R8 和 R9）

把 write 函数需要的参数部署好之后通过 call (r12+rbx*8) 之前把 rbx 设置成了 0，当程序执行完 write 函数以后会自己回到这里（因为是 call，正常调用）所以不用管返回地址，继续执行，此时还会执行 gadgets1 上面那张图那样子，gadgets1 里面有一段 add rsp,38h 所以还要填充 38h 个字节把这一段填充掉，使得程序返回的时候是我们写在栈上的 main_addr

write 函数原型是 write (1,address,len) ，1 表示标准输出流 ，address 是 write 函数要输出信息的地址 ，而 len 表示输出长度

第一发 payload

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)