打开压缩包,看到了两个文件,surprise! 有个lib文件
checksec一波,发现没有保护栈
那就先找到可以栈溢出的地方哟,如下
可是问题来了,没有system函数,也没有/bin/sh字符串,但是在链接库(lib文件)中可以找到,如下
我们显然必须要知道system函数与/bin/sh字符在内存中的地址,之前我也不知道该怎么找,开始向大佬学姿势
key_point:函数在内存中的地址和libc文件中的偏移的差相等!!!!!!
发现了什么么,在第一个主文件中,我们可以分析出write函数的地址,那么根据偏移量就可以把system函数的内存地址求出来了
怎么构造缓冲区覆盖回去呢:
1. 恢复局部变量的ebp偏移(0x88个字节)
2. 覆盖保存的ebp(0x4个字节)
3. 覆盖返回地址(0x4个