实验环境、代码、及准备

vul6

Vul6和vul2类似，可以覆盖foo的ebp的一字节。而这里有一个exit(0)，需要绕过。绕过思路见3.6exploit6

原理是运行/bin/sh 来得到shell，构造过程是将具有运行/bin/sh的C代码转换成有相同功能的机器码。注意代码中用到 0 的地方改成用 xor eax,eax，这样可以避免复制字符串时遇到/0 中断。

下面的shellcode长度为45字节（不含/0）

* Aleph One shellcode.

static const char shellcode[] =

"xebx1fx5ex89x76x08x31xc0x88x46x07x89x46x0cxb0x0b"

"x89xf3x8dx4ex08x8dx56x0cxcdx80x31xdbx89xd8x40xcd"

"x80xe8xdcxffxffxff/bin/sh";

由1.6vul6可知，除了覆盖ebp外，还需要绕过exit(0)。

Gdb /tmp/vul6

Set args 123131

B foo

B bar

可知ebp和buf分别的值。其中buf范围为0xbffffd70-fe38，如果修改ebp最后为00，0xbffffe00在buf当中

而已知p指针在ebp+4，a在ebp+8.

继续调试

Disas foo，可见 0x804858b，调用0x8048980的exit

Disas 0x8048380。

可见exit先是jmp到0x804a00c。

所以绕过的思路为：修改p，指向0x804a00c，然后修改0x804a00c的内容为shellcode地址。而shellcode地址其实就是buf地址（payload已经copy了）。

上面已知buf地址 0xbffffd70，ebp0xbffffe38，由vul2可知ebp修改为0xbfffef00后，p和a相对于ebp的位置不变。于是修改ebp-[0-3]就相当于修改p，ebp-[4-7]的位置就修改了a的值。

然后程序foo正常执行，exit->0x804a00c->a->shellcode。

这里ebp修改后距离buf 144字节，p的位置为相对140-143字节，a为139-136字节

注意和vul2的区别在于p，a相对ebp的位置是在低地址

Payload：

这里发现刚刚调试的时候用的payload是”hi there”，改为201字节的payload后有所更改

修改相应地址即可