我试图通过Capture-the-Flag实时虚拟机,并在尝试使用gdb更改堆栈上传递的值时被卡住(最后一项要推送):
system("date");
要
system("ash");
到目前为止,我的gdb工作如下:
堆
我感兴趣的地址是堆栈中的最后一项(首先在下面的堆栈列表中)
(gdb) p $esp
$1 = (void *) 0xbf902690
(gdb) x/32w 0xbf902690
0xbf902690: 0x080485ff 0x0000044c 0xb7783ff4 0xbf9026b8
0xbf9026a0: 0xb76a8fa9 0xb7797356 0x08048529 0x0000044c
0xbf9026b0: 0x08048520 0x08048410 0xbf902728 0xb7695cf7
0xbf9026c0: 0x00000001 0xbf902754 0xbf90275c 0xbf9026e4
....
(gdb) x/s 0x080485ff
0x80485ff: "date"
(gdb) x/s *0x080485ff
0x65746164: <Address 0x65746164 out of bounds>
(gdb)
尝试更改内存1
(gdb) set {const char [4] *}0x080485ff = "ash "
(gdb) x/s 0x080485ff
0x80485ff: "\b`\354\b"
(gdb)
正如你所看到的,我破坏了指针。
尝试更改内存2
(gdb) set *((const char *)0x080485ff) = "ash "
(gdb) x/s 0x080485ff
0x80485ff: "\bate"
(gdb)
更多错误 - 与错误解除引用有关?
尝试更改内存3
(gdb) set {int}0x080485ff = 68736100
(gdb) x/s 0x080485ff
0x80485ff: "d\324\030\004"
(gdb)
尝试使用ASCII值 - 不按计划进行。
任何帮助表示赞赏 - 现在已经刮了我的(光头)头......
由于
SC。
答案 0 :(得分:3)
set *((const char *)0x080485ff) = "ash "
这是错误的:地址0x080485ff的对象类型为char[5],而不是char*。虽然前者可以投射到后者,但它们并不完全相同。
set {const char [4] *}0x080485ff = "ash "
出于同样的原因,这是错误的:地址0x080485ff处没有指针。
set {int}0x080485ff = 68736100
这个没有意义,因为68736100是十六进制的0x418d464,而ASCII是垃圾。你可能意味着0x68736100。
实际上非常接近:
(gdb) x/s 0x080485ff
0x80485ff: ""
(gdb) x/s 0x080485ff+1
0x08048600: "ash"
问题在于0x68736100是"hsa\0" - 您已经正确地交换了字符,但是您已将终止NUL放在前面而不是后面。然后正确的调用是:
(gdb) set {int}0x080485ff = 0x687361
(gdb) c
Continuing.
sh: ash: command not found
有效!