pwn入门2

bof
首先输入2个网址，得到了一个源代码一个elf文件

#include 
#include 
#include 
void func(int key){
    char overflowme[32];
    printf("overflow me : ");
    gets(overflowme);   // smash me!
    if(key == 0xcafebabe){
        system("/bin/sh");
    }
    else{
        printf("Nah..\n");
    }
}
int main(int argc, char* argv[]){
    func(0xdeadbeef);
    return 0;
}

主函数调用了func韩束。
func函数中设置了一个数组，用gets读取。gets函数的作用是把输入数据填到堆栈中，不管数据有多长都一股脑放进去。
我们要做的就是设置一堆字符，让它覆盖掉func(0xdeadbeef);把0xdeadbeef修改为0xcafebabe
首先要明确的一点是0xdeadbeef*是main函数中的临时变量，存放在堆栈中。

ext:0000068A ; __unwind {
.text:0000068A                 push    ebp
.text:0000068B                 mov     ebp, esp
.text:0000068D                 and     esp, 0FFFFFFF0h
.text:00000690                 sub     esp, 10h
.text:00000693                 mov     dword ptr [esp], 0DEADBEEFh
.text:0000069A                 call    func
.text:0000069F                 mov     eax, 0
.text:000006A4                 leave
.text:000006A5                 retn
.text:000006A5 ; } // starts at 68A
.text:000006A5 main            endp

ida中反编译显示0xdeadbeef是放在了func栈桢之前。进入func函数先设置返回地址，设置ebp

这样存储数据

从func函数的部分可以看出来读入的变量存到ebp-2ch开始处了也就是44。
44+ebp（4）+func（4）=52个
52+0xCAFEBABE就构造完成了。