參考例題 https://blog.csdn.net/weixin_45556441/article/details/115091036

引子

隨著 NX 保護的開啟，以往直接向棧或者堆上直接注入代碼的方式難以繼續發揮效果。攻擊者們也提出來相應的方法來繞過保護，目前主要的是
ROP(Return Oriented Programming)，其主要思想是在棧緩沖區溢出的基礎上，利用程序中已有的小片段
(gadgets) 來改變某些寄存器或者變量的值，從而控制程序的執行流程。所謂 gadgets 就是以 ret
結尾的指令序列，通過這些指令序列，我們可以修改某些地址的內容，方便控制程序的執行流程。

之所以稱之為 ROP，是因為核心在于利用了指令集中的 ret 指令，改變了指令流的執行順序。ROP 攻擊一般得滿足如下條件

程序存在溢出，并且可以控制返回地址。

可以找到滿足條件的 gadgets 以及相應 gadgets 的地址。

如果 gadgets 每次的地址是不固定的，那我們就需要想辦法動態獲取對應的地址了。

解法利用思路:

第一次觸發漏洞，通過ROP泄漏libc的address(如puts_got)，計算system地址，然后返回到一個可以重現觸發漏洞的位置(如main)，再次觸發漏洞，通過ROP調用system(“/bin/sh”)

1.利用一個程序已經執行過的函數去泄露它在程序中的地址，然后取末尾3個字節，去找到這個程序所使 用的libc的版本。2.程序里的函數的地址跟它所使用的libc里的函數地址不一樣，程序里函數地址=libc里的函數地址+偏移 量，在1中找到了libc的版本，用同一個程序里函數的地址-libc里的函數地址即可得到偏移量3.得到偏移量后就可以推算出程序中其他函數的地址，知道其他函數的地址之后我們就可以構造rop去執 行system（’/bin/sh‘）這樣的命令 ————————————————

常用的 EXP 格式 語句

libc=LibcSearcher('puts',puts_addr) #找到libc版本 offset=puts_addr-libc.dump('puts') #算出偏移量 binsh=offset+libc.dump('str_bin_sh') #偏移量+libc函數地址=實際函數地址 system=offset+libc.dump('system')

32位程序運行執行指令的時候直接去內存地址尋址執行

64位程序則是通過寄存器來傳址，寄存器去內存尋址，找到地址返回給程序

查找 rdi, ret 地址的語句:ROPgadget --binary 文件名 --only "pop|ret"

ROPgadget --binary 文件名 --only "pop|ret" | grep rdi

總結

以上是生活随笔為你收集整理的CTF(Pwn) Rop + ret2libc 题型 常规解法思路 (初级)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。