一个啥也不会的小菜鸡！

再分析题目时候发现存在mportect函数可以开启bss的执行权限,由于arm程序没有和pop和push一样的指令来连续调用函数,所以采用ARM架构下的csu_init的gadget(和x86的一样只是使用arm指令完成的),所以利用这个gadget可以实现两次调用!栈帧1是main函数的栈帧,栈帧2是main函数里面的函数调用产生的栈帧,发现返回地址存放在栈顶位置。这段gadget主要是将需要的参数传递给不同的寄存器:x19,x20,x21,x22,x23,x24。

通过IDA动态调试和符号表恢复找到目标函数,存在read函数溢出再通过pwndbg来计算栈溢出的长度是112再通过RopGadgets找到gadget,用来传参和调用函数由于是静态程序就一定会存在很多字符串和system函数找到地址然后就是利用了!

libc版本：ARM PWN：Codegate2018_Melong详细讲解-爱代码爱编程 (icode.best)ctf-wiki ARM ROP Codegate2018_Melong题解_elf 32-bit lsb executable, arm, eabi5 version 1 (s-CSDN博客ARM PWN：Codegate2018_Melong详细讲解_pwn arm melong-CSDN博客第一次栈溢出调用puts的plt表获取libc的地址。

libc版本：ArmPwn学习_arm pwn 栈迁移-CSDN博客存在一个0x10的溢出点,太短了可能无法调用shellcode,又因为本题是使用qemu模拟出来的所以每个区段再靶场上都是可执行的所以只需要通过栈迁移将sp指针指向bss段并向bss段写入shellcode就可以获得flag了第一步栈溢出构造覆盖main函数的栈帧地址和放回地址,当调用POP {R11,PC}就可以劫持R11和PC寄存器,这样就可以调用gadget,