计算机系统基础 bufbomb 实验三

（答案––fizz.txt）

首先是偏移量与前一题相同，找出fizz函数的地址为0x08049681,由汇编截图可以看出fizz函数会将位于ebp+8即第二个参数与cookie值比较，cookie值为0x28eaa8f8，

实验题目3、Bang（让目标程序调用Bang函数，并篡改全局变量）

偏移量不变，题目要求修改全局变量为cookie值并跳到bang函数，因此想到shellcode,缓冲区的权限为可写可执行，因此将shellcode放在缓冲区开头即可，查看全局变量地址为0x0804E120,cookie值为0x28eaa8f8，查看bang函数地址为0x080496D4,

因此先写出需要的汇编代码再将其转为机器指令，如上图，得出需要的shellcode,接下来通过调试得到缓冲区起始位置，调试图如上，eax的值即为缓冲区起始位置 0x55683a58 ，需要将返回地址覆盖为这个值，随后便可执行shellcode，因此答案以及成功截图如下

实验题目4、Boom（让目标程序返回test函数，但不返回1，而是返回cookie值）

这一题和上一题思路类似，也是构造shellcode,需要将返回值修改为cookie值0x28eaa8f8，并且返回到test函数，因为返回原函数的原因，必须保持ebp不变，透过汇编可以看出返回值存在了eax中，因此需要修改eax的值为cookie,并在修改之后返回到原函数call的下一条指令，地址为0x080497FE,缓冲区起始位置不变

接下来通过调试获得ebp的值为0x55683aa0，构造汇编指令并转为机器指令如上图，因此答案以及成功截图如下

实验题目5、Nitro（让目标程序返回testn函数，但不返回1，而是返回cookie值）

这一题每次运行时栈内的地址会变，即缓冲区起始位置不确定，但代码段的地址不变，即函数的绝对地址不变，模仿了ASLR保护机制，NX没开，方法有很多种，比如说将栈迁移到代码段从而获得固定地址，或者利用jmp esp等特殊gadget,也可以使用滑雪橇。

栈迁移有些麻烦，因此舍弃，尝试第二种方法，利用ROPgadget寻找发现没有合适的gadget，因此行不通，结合高达520字节的缓冲区大小，看来这一题的标准答案便是滑雪橇了

由于栈地址不确定，因此不能直接给ebp赋值，因此可以利用esp与ebp的相对偏移来赋值，由如上汇编可知，一个push和一个sub使esp与ebp相差0x14+0x4,当执行完getbuf的leave ret时esp就指向ebp-0x18的位置，之后再执行shellcode时esp也不会变，随后查看call下一条指令的地址为0x08049879, 接下来通过调试确定缓冲区起始地址的大概范围，通过五次运行，地址最大的一次为0x556838e8,因此将这个作为入口点，前面的字节全是90，也就是eip+1（nop)的机器指令，由此一路滑到shellcode并执行，编写汇编代码并转为机器指令如上图，答案与成功截图如下

套盾

第一次在csdn上发表文章，所以文字排版等方面可能不太熟练，实验中有些细节可能说的不太清楚，欢迎反驳本菜鸟或与本菜鸟交流

₍˄·͈༝·͈˄*₎◞ ̑̑

注：这是第二次修改，刚发布完发现图片转存失败，因为是用手机写的，诸多不便，图片可能不清楚，如果因为此而给一些同学造成困扰的话，我很抱歉，请及时告诉我，我会尽快回答_(:з」∠)_