有对 buffer overflow 有了解的吗?

This topic created in 4133 days ago, the information mentioned may be changed or developed.

buf_addr
ret_addr
这两个我都找出来了

并且用\xcc 填充到return然后劫持return触发Trap都成功了.

但是实际用:

buf = ('\x90' * (buf_len - len(payload))) + payload + struct.pack('<Q', ret_addr)
的时候劫持return并跳到了payload的位置但并没有成功启动payload

我在想是不是payload有问题.
我的payload size 是67 是不是对这个大小有要求?

0x7fffffffe930: 0x90909090 0x90909090 0x90909090 0x90909090
0x7fffffffe940: 0x90909090 0xec834890 0xc9314870 0x48ca8948
0x7fffffffe950: 0x28245489 0x622fba48 0x2f2f6e69 0x89486873

0xec834890是我payload开始的地方

payload

0x90909090

0xec834890

5 replies • 2015-02-17 09:25:01 +08:00

sNullp

Feb 17, 2015

是对什么程序的 buffer overflow？

v2gba

Feb 17, 2015

@sNullp

C
我用gdb发现劫持return 并不是在strcpy执行完就return的好像还会执行下面的语句.然后下面的语句又再次改写了buf里的内容.

就是感觉我劫持到一半,我的shellcode被后面的语句改写了导致运行不起来,
按理说我劫持了return 后面的语句应该不会执行才对啊

源程序
http://pastebin.com/XJz1DF25

v2gba

Feb 17, 2015

@sNullp

NVM, 我解决了.
填充了一段\x90到会被修改的位置.

ricorico

Feb 17, 2015 via iPad

@Cee

ricorico

Feb 17, 2015 via iPad

看了 Cee 菊苣的 blog 好像有这部分的东西…