ropemporium ROP -- write432

faqiadegege

使用IDA反编译文件，获取代码逻辑 main函数中调用了pwnme函数，改函数来自压缩包中包含的库文件libwrite432.so
在libwrite432.so中，pwnme函数伪代码如下，存在溢出问题
除此之外，该文件中同其他Emporium用例一样，包含usefulFunction函数，伪代码如下，其中调用了函数print_file，该函数使用堆栈传递一个字符串参数


在libwrite432.so中print_file函数伪代码如下


该用例的最终目标是，利用已有的函数，通过溢出rop调用print_file，最终读取目录下的flag.txt文件内容 思路：1、通过pwnme中溢出跳转执行print_file函数2、pirnt_file的参数指向flag.txt的地址3、在.data段中写输入flag.txt这个字符串4、构造堆栈向.data中写数据flag.txt难点在于最后第四点，这里溢出后，只能使用栈，那就只能使用栈将数据写到.data中去 而在栈中一次只能写入4个字节例如，pop eax; pop ebx  -> mov [eax], ebx这一次将写入四个字节，比如写入flag，同样的再来一次再写入.txt即，在程序中尝试寻找pop, pop, ret和mov, ret在程序中找到如下汇编代码



首先确认溢出长度使用gdb调试程序




如上面三部分图片所示，通过使用100字节的字符串作为输入进行验证，确定溢出长度为44字节查看.data段



构造利用链1、 构造基本溢出调用print_file



2、 构造写flag.txt到.data段并链结整个利用链即，第一步的flag.txt_address，构造这个地址中存储数据flag.txt根据前面的分析和ROP gadget寻找到的数据，得到如下栈结构



利用脚本


bingo



同样的，可以写/bin/sh到.data段，调用system，是一样的原理