静态链接ropchain利用 inndy_rop

ollydbg · 2023-8-14 20:45:34

在做题拼接pop_rdi_ret这种gadget的时候经常在想，是不是能整一个程序通过拼接程序中的gadtget来达到getshell的目的。今天做题的时候终于发现了原来ROPgadget中本身就实现了这种功能。

题目来源

buuctf——pwn——inndy_rop

参考链接

https://blog.csdn.net/Tokameine/article/details/120168519
https://trustfoundry.net/2019/07/18/basic-rop-techniques-and-tricks/

题目信息

32位程序，题目提示Ubuntu16
静态链接ropchain利用 inndy_rop - ollydbg_UltraDebug

IDA中显示900+函数，大概率是静态链接，没有使用动态链接

找了一圈没有找到system函数和execve函数
静态链接ropchain利用 inndy_rop - ollydbg_UltraDebug

这一点在patchelf的时候也得到了证实
静态链接ropchain利用 inndy_rop - ollydbg_UltraDebug

溢出点在overflow函数中
静态链接ropchain利用 inndy_rop - ollydbg_UltraDebug

解题思路

自己构造ropchain，通过int 80指令中断至内核态，进而通过[[系统调用表调用execve函数getshell。

关键步骤

利用下面的命令可以自动生成本静态链接程序的利用代码。

ROPgadget --binary rop --ropchain

可以自动生成ROPChain，参考链接2可以更好的理解下面的步骤。

[Asm] 纯文本查看 复制代码

ROP chain generation
===========================================================
 
- Step 1 -- Write-what-where gadgets
 
    [+] Gadget found: 0x8050cc5 mov dword ptr [esi], edi ; pop ebx ; pop esi ; pop edi ; ret

还有更多的精彩内容，作者设置为付费后可见

Noshiming · 2025-6-17 15:41:50

账号		自动登录	找回密码
密码			立即注册

[CTF] 静态链接ropchain利用 inndy_rop