知识点主要是:缓冲区溢出缓冲区溢出的利用方式return to dl resolve 堆溢出off by one 格式化字符串漏洞
需要用到的程序是gdb、gdb-peda、gcc、python、pwntools、socat、rp++、readelf
缓冲区溢出简介:(栈)
ps:这个图方便大家理解栈的结构
可以看出这个函数的有一个参数和两个局部变量,因为局部变量和参数会放在函数的栈帧上而且这个栈帧的大小是编译时就确定好的,所以可以局部变量1大小是4字节局部变量2的大小是8字节。ebp和return addr是用来保存栈帧基址和函数返回地址的对程序员透明。
如果我们给局部变量2输入16个字节会发生什么呢。
可以看出因为及局部变量2只有8字节大小的内存空间多出来的8字节会覆盖ebp和return addr 。在这个函数执行完后会返回到aaaa这个地址也就0x61616161去执行下面的指令。
如果我们把return adr 换成事先部署好在内存的恶意指令再把return addr换成这块地址则程序会执行我们部署好的恶意指令 ,这就是缓冲区溢出的基本原理。
如何编译呢?
#include<stdio.h>
void func()
{
char name[0x50];//0x100大小的栈空间
read(0, name, 0x100);//输入0x200大小的数据
write(1, name, 0x100);