- Bellek taşması noktasını belirliyoruz: Kaynak kod analizi sırasında, hedef programda bir bellek taşmasının gerçekleşebileceği noktaları tespit ediyoruz. Bu noktalarda, kullanıcı inputlarının hedef programın bellek alanının sınırlarını aşabileceği bir zafiyet olabilir.
- İstenilen işlevi çağırmak için payload oluşturma: Bellek taşması noktasını belirledikten sonra, hedef programın kontrolünü ele geçirebilmek için bir payload (zararlı veri) oluşturmanız gerekecektir. Bu payload, hedeflenen işlevin adresini ve gerekli parametreleri içerecektir
Şimdi örnek kodumuzu inceleyelim :
Gördüğünüz gibi login fonksiyonunda buffer length olarak 18 verilmiş ve bizden scanf ile input alınıyor
main içerisinde bu login çağırılıyor ve piratica() functionu çağırılmamış kodda peki biz buraya nasıl geçit yapıcaz?- Tabii ki bufferi taşırcaz
===============================================================================================================================================================================
İlk önce checksec kullanarak binaryimizi inceleyelim :
(protection bulunmuyor)
Şimdi EIP instructionun offsetini bulalım peki burada offset ne anlama geliyor? - yani eip instructionumuzun return adresine üzerine yazmadan önce ne kadar char yazmamız gerek
EIP programın çalışma zamanında bir sonraki talimatın adresini tutar. İşlemci, EIP kaydındaki değeri kullanarak bellekteki talimatların sırasını takip eder. Her bir talimatın bellek adresi, EIP'nin gösterdiği adresle belirlenir. İşlemci, EIP'nin gösterdiği talimatı yürütür ve ardından EIP'yi bir sonraki talimatın adresine günceller.
Örneğin, bir C programını çalıştırdığınızda EIP kaydı programın ilk talimatının bellek adresini gösterecektir. İşlemcinin çalışma sırasında EIP'yi güncellemesi ile programdaki talimatlar sırayla çalıştırılır.
buffer overflow gibi güvenlik açıklarının sömürülmesi durumunda hedef programın EIP-sini kontrol altına alinarak istenilen talimatın adresini yerleştire biliriz . Böylece istediğimiz kodu çalıştırırız.
===============================================================================================================================================================================
pwndbg kullanarak cyclic ile pattern oluşturalım:
(burada 100 baytlık bir karakterler veriyor ve her 4 karakter bir-birinden farklıdır bu yolla return adresin offsetini bula biliriz)
Sonra run yapıp binaryimizi başlatalım input olarak paterni giriyoruz sonrasında program crash oluyor ve şimdi EİP-de hangi charların tutulduğuna baka biliriz:
cyclic -l "aaia" yazarak offsetin 28 olduğunu bulduk şimdi exploitimiz bu şekilde olucak(pwntools kullanilmistir) :
not: burada p32() fonksiyonu little endian ile binaryni pack edip yollar 
outputda exploitden dolayi sussy ama sonuçta codeda çağrılmayan fonksiyona gele bildik 
Benden bu kadar hoşçakalın 
