В настоящее время я участвую в соревнованиях picoCTF 2018 .Уровень «переполнение буфера 1» дает следующий исходный код:
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/types.h>
#include "asm.h"
#define BUFSIZE 32
#define FLAGSIZE 64
void win() {
char buf[FLAGSIZE];
FILE *f = fopen("flag.txt","r");
if (f == NULL) {
printf("Flag File is Missing. Problem is Misconfigured, please contact an Admin if you are running this on the shell server.\n");
exit(0);
}
fgets(buf,FLAGSIZE,f);
printf(buf);
}
void vuln(){
char buf[BUFSIZE];
gets(buf);
printf("Okay, time to return... Fingers Crossed... Jumping to 0x%x\n", get_return_address());
}
int main(int argc, char **argv){
setvbuf(stdout, NULL, _IONBF, 0);
gid_t gid = getegid();
setresgid(gid, gid, gid);
puts("Please enter your string: ");
vuln();
return 0;
}
Так что используйте gets() в vuln(), чтобы перезаписать адрес возврата и перейти к win().Поскольку buf имеет размер 32, я ожидал, что стек будет выглядеть следующим образом:
|-------------------|
| ... |
| buf |
| buf |
| buf |
| buf |
|-------------------|
| saved ebp |
|-------------------|
| return after vuln |
|-------------------|
| ... |
|-------------------|
Поэтому я попытался ввести 36 случайных символов, а затем обратный адрес, что не сработало.Используя gdb, я обнаружил, что стек на самом деле выглядит так:
|-------------------|
| ... |
| buf |
| buf |
| buf |
| buf |
|-------------------|
| ??? |
| ??? |
|-------------------|
| saved ebp |
|-------------------|
| return after vuln |
|-------------------|
| ... |
|-------------------|
Между концом buf и сохраненным ebp есть 8 байтов.Мой вопрос: для чего эти 8 байтов?