看题目说是个栈溢出问题,下载下来让我们看看它的权限。
发现栈不可写,心想不能用shellcode注入
用ida来看一下
发现有个后门函数,心想这题用栈溢出改变返回地址直接到后门函数这里完成得到flag
从这里目前看没有发现溢出的问题
这里同理觉得没有溢出的痕迹
这里乍一看没有问题,关键的事是
这个函数是字符串copy的,意思就是把s覆盖dest上,但是如果s的长度足够长将会导致dest溢出从而导致修改返回地址从而到达后门函数。
但是s这个长度被限制了,只有4到8之间的长度才能进行复制,不仔细一看u,无符号数,就知道无符号数溢出完成这个条件了。
这里无符号8位它的取值范围应该是0到255,但是如果大于266会怎么样?
这样属于无符号数溢出,而8位无符号数应该是0000 0000 到0111 1111之间 如果传的长度为256那么1000 0000 此时长度为0 所以要想大于4小于8之间,那么传的buf的长度该为260-264 所以能满足复制字符串的条件。
而dest距离
ebp为0x14h加上4个字节的ebp就是0x18个字节 而s是由上一个函数buf传值的,所以payload应该为0x18个无效字节+后门函数地址+260-余下的字节。
完成!