一 记ret2lib2中的构造ROP链的通用方法
首先需要向栈中填充垃圾数据,覆盖子函数的最底部(父函数的ebp的值),在ret previous address内填充要调用的函数(目前我接触到的都是system或gets)。
在填充函数更高地址处填充pop_ret指令的地址,因为这样可以把子函数的参数弹出栈,不会影响下一个函数的调用。
假设子函数是system函数
过程:进入system函数,然后在栈中向上两个单位去寻找system函数的形参,执行完system后,esp指向pop_ret,这时候esp所指的位置是system上方的位置,也就是执行ret previous address的位置,所以,ip变为pop_ret的地址,程序转去执行pop_ret了,那么,pop掉"/bin/sh",esp指向下一个函数的地址,ret它,转去执行另一个函数喽。
二.pwntools所遇到的用法
1.elf=ELF(’ ') =elf.plt[“system”] (找到system函数所在的plt表地址)
2.plt
3.shellcode=asm(shellcraft.sh())自动生成shellcode
或者通过asm汇编和反汇编
4.
3.补码
4.程序执行时,libc会整体的存入到动态链接程序的虚拟内存
5.关于got表和plt表
PLT表中的每一项的数据内容都是对应的GOT表中一项的地址这个是固定不变的,到这里大家也知道了PLT表中的数据根本不是函数的真实地址,而是GOT表项的地址。