-
-
[原创]第二阶段第一题答案
-
发表于: 2007-8-28 16:13
-
首先要把长度计算出来,就是求一个UINT64 x使得
DWORD(x*0x78CC02A869948F1B)=DWORD(0x5BE6FF82A5164785+0x0D)
编程解出来x=0x3D6365D6
然后构造溢出代码,由于VirtualAlloc返回的地址在有无加载ollydbg时不同,加载后是0x3F0000,不加载是0x3E0000,所以我写了两份test.txt。具体代码也无非就是加入字符串然后再拷贝过去,然后恢复寄存器,返回。
在我的XP2中文系统上是没问题了。可能对其他系统不能正常溢出吧,反正取决于那个分配的地址是多少了,不过我的过程应该基本差不多了,希望你们能给我加分。
DWORD(x*0x78CC02A869948F1B)=DWORD(0x5BE6FF82A5164785+0x0D)
编程解出来x=0x3D6365D6
然后构造溢出代码,由于VirtualAlloc返回的地址在有无加载ollydbg时不同,加载后是0x3F0000,不加载是0x3E0000,所以我写了两份test.txt。具体代码也无非就是加入字符串然后再拷贝过去,然后恢复寄存器,返回。
在我的XP2中文系统上是没问题了。可能对其他系统不能正常溢出吧,反正取决于那个分配的地址是多少了,不过我的过程应该基本差不多了,希望你们能给我加分。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
btw:大标题写错了。
重新写了一个,按照堆栈地址返回的,希望win2000下可以通过。 
|
|
|
|
|
|
用XP的2000兼容模式可以通过,请检查 重新换了新的头4个字节,这次应该差不多了。 |
|
|
|
|
|
|
