描述

其實沒有描述。。就是一個檔案，careful.
打開發現輸入index和value，10個之後會打出來一個數組。

思路

先逆向，ida看看。
main函式很簡單，return一個init_array。
到init_array裡邊就比較好玩了，不想看彙編直接f5，大致函式如下

int initarray()
{
    int result;
    char s[20];
    int v2;
    int v3;
    int i;
    memset(s, 0, 0x14u);
    for (i = 0;i <= 9;i++)
    {
        printf
 
("input index:");
        fflush(stdout);
        scanf("%d", &v3);
        printf("input value:");
        fflush(stdout);
        scanf("%d", &v2);
        result = v3;
        s[v3] = v2;
        if (i > 10)
            return result;
    }
    result = printf("Your Array:");
    for (i = 0
 
;i <= 9;i++)
    {
        printf("%d ", s[i]);
        result = fflush(stdout);
    }
    return result;
}

(手打的，因為在虛擬機器裡邊複製不出來，可能跟原文不太一樣)
演算法比較簡單，就是讀入index和value，把value存入相應的index對應的位置。
存入的彙編:

mov eax, [ebp+var_10];index
mov edx, [ebp+var_14];value
mov [ebp+eax+s], dl;這裡的s即-0x28,是存s的地方

到這裡基本上就可以看出來了，先讀入index和value，然後存入s陣列，但是由於沒有下標判斷，所以造成任意位置寫，但是問題來了，寫可以改變返回地址，改變執行過程，可是改變到哪兒呢。gdb開啟之後checksec發現開了NX(堆疊不可執行)，所以寫入shellcode直接執行的想法肯定是不行了，不過需要注意觀察，有一個函式是沒有使用的。

通過觀察，發現位於0x08048615處有一個add函式，沒有使用到，而且輸出一個字串後使用system呼叫呼叫date。即system(“date”)。 既然有了system，剩下的就好辦許多了，通過一個工具，即rop-tool(本來是用來寫ROP的，不過這些時候也可以用一用)，可以查詢字串等，rop-tool search –string sh PROG ，可以查詢到程式裡的sh。

R-X 0x0804828e -> sh
 1 strings found.
 0 strings found.

於是我們找到了sh字串，不過還需要把他放到esp的地址處作為system呼叫的引數，esp地址處是函式呼叫的引數的地址，所以需要把sh的地址寫到呼叫system時的esp處。

剩下的工作:

1. 改變esp指向的值，指向sh
2. 改變儲存的eip，指向system呼叫

通過在gdb下加斷點，斷到initarray，可以看到ebp的值為0xffffcf28，在0xffffcf2c處記錄了返回地址，覆蓋掉返回地址，用一個位元組即可，通過計算0xffffcf2c和0xffffcf28-0x28的偏移，得到index應該為44，覆蓋為46（2e）,因為返回值本來儲存的是0x08040640,而system位於0x0804062e。再通過單步執行一次，到system時發現esp的值為0xffffcf30，於是用4個位元組覆蓋掉0xffffcf30的值，覆蓋為sh的地址，就成功打開了shell。