这是一个创建于 3384 天前的主题,其中的信息可能已经有所发展或是发生改变。
buf_addr
ret_addr
这两个我都找出来了
并且用\xcc 填充到return然后劫持return触发Trap都成功了.
但是实际用:
buf = ('\x90' * (buf_len - len(payload))) + payload + struct.pack('<Q', ret_addr)
的时候劫持return并跳到了payload的位置但并没有成功启动payload
我在想是不是payload有问题.
我的payload size 是67 是不是对这个大小有要求?
0x7fffffffe930: 0x90909090 0x90909090 0x90909090 0x90909090
0x7fffffffe940: 0x90909090 0xec834890 0xc9314870 0x48ca8948
0x7fffffffe950: 0x28245489 0x622fba48 0x2f2f6e69 0x89486873
0xec834890是我payload开始的地方
ret_addr
这两个我都找出来了
并且用\xcc 填充到return然后劫持return触发Trap都成功了.
但是实际用:
buf = ('\x90' * (buf_len - len(payload))) + payload + struct.pack('<Q', ret_addr)
的时候劫持return并跳到了payload的位置但并没有成功启动payload
我在想是不是payload有问题.
我的payload size 是67 是不是对这个大小有要求?
0x7fffffffe930: 0x90909090 0x90909090 0x90909090 0x90909090
0x7fffffffe940: 0x90909090 0xec834890 0xc9314870 0x48ca8948
0x7fffffffe950: 0x28245489 0x622fba48 0x2f2f6e69 0x89486873
0xec834890是我payload开始的地方
5 条回复 • 2015-02-17 09:25:01 +08:00
 |
1
sNullp 2015-02-17 03:38:47 +08:00
是对什么程序的 buffer overflow?
|
 |
2
MrGba2z OP @sNullp
C 我用gdb发现 劫持return 并不是在strcpy执行完就return的 好像还会执行下面的语句.然后下面的语句又再次改写了buf里的内容. 就是感觉我劫持到一半,我的shellcode被后面的语句改写了导致运行不起来, 按理说我劫持了return 后面的语句应该不会执行才对啊 源程序 http://pastebin.com/XJz1DF25 |
 |
5
ricorico 2015-02-17 09:25:01 +08:00 via iPad
看了 Cee 菊苣的 blog 好像有这部分的东西…
|
Select Language