缓冲器攻击切入点的寻找
由于程序错误的处理机制不同,会有不同的报错的弹窗。我们可以通过不同的外在表现来判断处理的不同出错。
首先我们先压入字符,如果不够的话是不会溢出的,如果出现
或者是
代表了我们已经溢出。
上图中就是我们覆盖的A太多,可能不仅覆盖过了EIP的地方,而且还覆盖了其他一些程序要用的参量,如果在程序返回前,要对那些参量改写,但参量的地址被改成‘41414141’,是根本不能写的,所以就造成了写(write)类型错误。
查找的话一般有两种方法
比较常见的是使用二分法,进行多次的尝试。先前0x150太长,就改成0x75,如果0x75太短,不能覆盖返回地址没有报错,那又改长一点,改成0x115的长度,以此类推。
第二个是在课堂上看到同学说的通过发送 AAAABBBBCCCCDDD……这样的组合字符串看到底是哪里覆盖了返回地址。”给了我新的思路
我们一次以十六进制0x41~0x4A这十个数的循环,进行充填。
另一次以10为一段长度,每段分别为0x41、0x42……来填充。
通过第一次溢出时报错的最小值m-41,可以得到尾数
再通过在第二次溢出时报错的首值f,而此时是从0x41开始,每10个数为一段。所以在以这个值-41,再乘以10“
所以我们可以计算出程序的返回点位置是: (0xf-0x41)×10+(0xm-0x41)