详细的请见大神的博客:https://sploitfun.wordpress.com/2015/06/23/integer-overflow/,我这里只介绍我的实操。
gdb调试函数
用gdb调试函数知道,passwd_len存放在离ebp-9的字节处,由于存放的是字节,那么当字符串长度大于255的时候,会发生溢出,绕过了比较,然后进行字符串的拷贝,字符串拷贝发生缓冲区溢出。因为这里主要要计算,缓冲区离返回地址的值。从拷贝字符串函数前可以看出,ebp-0x14,知道缓冲区离ebp有20字节,加上ebp自身4字节。因此要覆盖eip的值,要填充24字节。
我们使用 "A"24+"B"4来测试下:
gdb调试程序
可以看到B覆盖了返回地址,然后记录esp的值。编码exp.py。
返回地址为ESP+一定NOP长度,我这里加上0x40。即:0xbffff040
(照理说不用NOP值的,直接ESP,但是不行)。
shellcode利用程序
直接执行此程序,获取shell。
获取shell
