말그대로 PPR 없이 ROP 하는 방법입니다.
체이닝을 이어가는 방법은 fake ebp 와 유사한 방법이지만 이를 계속해서 하는것이 좀 다릅니다.
먼저 일반 RTL 만 가능하더라도 ret 를 2번바꿀수 있다는 점을 이용합니다.
먼저 sfp 를 조작함으로써 ebp 를 어디든 쓸수있는 공간으로 옮깁니다.
그후 함수를 하나 호출해 주고 이 함수의 ret 부분에 leave ret 가젯을 넣어줌으로써 esp 는 아까 옮긴 ebp가 있는곳으로 갈겁니다.
그러면 아까 ebp 를 옮긴 곳에는 다시 sfp, ret 과 같은 역할을 하는주소가 형성되게 되고, 같은 방식으로 해주면 channing 이 되게 됩니다!
'Analysis' 카테고리의 다른 글
| Full Relro 우회법 (0) | 2017.10.15 |
|---|---|
| Pwntools 기본적인 사용법 - 2 (0) | 2017.10.11 |
| Pwntools 기본적인 사용법 - 1 (1) | 2017.09.22 |
| SROP (0) | 2017.08.25 |
| Off By One (3) | 2017.08.24 |