注:学习笔记来自安全牛课堂。感谢倪群主,感谢苑老师!
上面测试有溢出漏洞,下面就是精确到哪里有溢出了。
下面的脚本得多留意一下。
运行上面的脚本之后,看下面的图:
另外,这里有点奇怪的是,只有发送4379个字符才会溢出,而不是说超过4379就能溢出。和之前的windows差距比较大。windows是只要超过一定的数值,就能溢出了。所以,这里要注意。还有,如何知道是4379个字符是溢出的???(crossfire程序的服务比较奇怪,必须要是一个固定的数值,才会溢出。至于怎么测试到时4379的,没有细说)
我估计,是利用唯一字符法,先找到EIP里面的地址,然后,逐步测试ESP里面的值。由于是四个一组,每次测试都是都是加4,4368+4=4372,4372+4=4376,这里已经到了ESP的前四个字符了。后面再测试4380估计失败了。于是又减少字符量,测试到4379刚好溢出成功。EIP也准确写入四个字符。我估计是这么回事。
由于必须精确字符数量,这就导致了在ESP中只能存7个字符,存7个字符又无法写shellcode。所以,思路是找到一个固定的地址,能存入shellcode的地址。因此,现在的问题就是如何找到这个地址。
